Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: JS/Blacole.KH.3 auf hompage vom schachverein gefunden.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.03.2013, 22:24   #1
looser
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



Hallo liebe Helfer,

ich habe die Pflege der Homepage unseres Schachvereins "www.Schachfreunde Sasel.de" zeitweilig zusammen mit einem anderen Mitgleid übernommen. Wir haben seit Anfang des Jahres das Problem das wir eine Malware auf der Hompage haben. Beim aufrufen der Seite wird sofort Avira aktiv und meldet einen Fund " JS/ Blacole.KH.3" wurde gefunden. Das passierte nicht nur bei uns, sondern auch bei anderen Mitgliedern. Darauf hin habe ich mich im Netz schlau gemacht und erfahren das es sich wohl um exploit malware handelt. Diese kommt meist über Gästebücher. Daraufhin habe ich das Gästebuch dichtgemacht,
beide PC´s mit Malwarebytes durchsucht und nichts gefunden.

Dann in Quarantäne Ordner von Avira den PFAD verfolgt, die Malware tauchte im Cache auf.

Also Cache gelöscht ,dann cc-Cleaner runtergeladen und alle temporären Dateien gelöscht überflüssige Datein und Programme gelöscht registry bereinigt.

Die homepage gelöscht und neu installiert. Das ganze hat eine Woche gehalten, dann war das Problem wieder da.

Im Anhang habe ich die txt-Dateien von den Punkten 1-3 für hilfesuchende.

Ich hoffe Ihr könnt mir hefen. Danke im vorraus.
Angehängte Dateien
Dateityp: log defogger_disable.log (476 Bytes, 138x aufgerufen)
Dateityp: log 04.03.2013 looser.log (2,2 KB, 136x aufgerufen)
Dateityp: txt Extras.Txt (49,0 KB, 146x aufgerufen)

Alt 04.03.2013, 22:25   #2
markusg
/// Malware-holic
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



hi, nutzt ihr ein cms (wordpress) zb, wenn ja welche Version?
__________________

__________________

Alt 04.03.2013, 22:29   #3
looser
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



nein, erstellt über nvu
__________________

Alt 04.03.2013, 22:30   #4
markusg
/// Malware-holic
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



hattet ihr passwörter geändert?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 04.03.2013, 22:34   #5
looser
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



nein noch nicht weil ich nicht der Ersteller bin, die Seite ist schon etwas älter und wir sind gerade am forschen, wer die erstellt hat.

Ich weis das ich 2 befallene Dateien auf dem Rechner habe, was mich wundert ist das sie nicht erkannt werden.


Geändert von looser (04.03.2013 um 22:44 Uhr)

Alt 05.03.2013, 19:47   #6
markusg
/// Malware-holic
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



wieso kannst du auf der seite inhalte löschen aber nicht das passwort ändern, dass muss dir doch dann bekannt sein...?
__________________
--> JS/Blacole.KH.3 auf hompage vom schachverein gefunden.

Alt 06.03.2013, 07:40   #7
looser
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



Ja das ist mir bekannt, das ist aber nur das PW für die Bearbeitung. Wenn ich es ändern will fragt der Server nach einer Mail-Adresse, und wenn ich meine eingebe sagt es, dass es die falsche Mail-Adresse ist.

Alt 06.03.2013, 17:39   #8
markusg
/// Malware-holic
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



schon mal mit dem hoster auseinander gesetzt, eine Bereinigung der seite macht nich so viel sinn, wenn das passwort gleich bleibt.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 06.03.2013, 21:33   #9
looser
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



Hatte ich auch schon versucht , die konnten aber auch nicht helfen, vielleicht sollte ich mal mit stilllegen drohen.

Alt 08.03.2013, 20:55   #10
markusg
/// Malware-holic
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



hmm ist ja deine Seite, von ner stillegung währst ja nur du betroffen
ich würd überlegen, einfach ne leere index seite zu setzen und dann einfach ne andere domain zu nutzen.

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.03.2013, 07:01   #11
looser
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



Das könnte ich mal ausprobieren mit der anderen Domain, auf jeden Fall hab ich den Webersteller mal gemailt.

Otl- Bericht steht schon oben, als Zip-Datei.

Alt 13.03.2013, 18:38   #12
markusg
/// Malware-holic
 
JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Standard

JS/Blacole.KH.3 auf hompage vom schachverein gefunden.



hi,
Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu JS/Blacole.KH.3 auf hompage vom schachverein gefunden.
aktiv, anderen, anhang, avira, cache, dateien, dateien gelöscht, exploit, fund, gelöscht, homepage, malware, malwarebytes, melde, meldet, neu, nichts, ordner, problem, programme, quarantäne, registry, seite, temporäre, woche, zusammen



Ähnliche Themen: JS/Blacole.KH.3 auf hompage vom schachverein gefunden.


  1. JS/Blacole.EB.11
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (15)
  2. JS/Blacole.DH.2
    Plagegeister aller Art und deren Bekämpfung - 28.06.2013 (4)
  3. eMail mit Link, der auf php endet / schadhafte Datei gefunden (Exploit:JS/Blacole/GB)
    Log-Analyse und Auswertung - 12.02.2013 (11)
  4. JS/Blacole.KH.3 durch Antivir gefunden, malwarebytes meldet nichts
    Log-Analyse und Auswertung - 11.02.2013 (11)
  5. EXP/JS.blacole.dt
    Plagegeister aller Art und deren Bekämpfung - 10.11.2012 (3)
  6. Bedrohung: JS:Blacole-AV (Trj) von Avast gefunden
    Log-Analyse und Auswertung - 28.10.2012 (12)
  7. Bedrohung: JS:Blacole-AV (Trj) von Avast gefunden, Ingdiba z.B: gesperrt
    Log-Analyse und Auswertung - 17.10.2012 (6)
  8. Exploit-CVE2012-1723.f und Exploit-PDF!Blacole.o gefunden
    Log-Analyse und Auswertung - 02.10.2012 (11)
  9. Exploit JS Blacole!E2 gefunden - was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (12)
  10. Trojaner Blacole mit McAffee gefunden
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (25)
  11. (2x) JS/Blacole.P gefunden - was tun?
    Mülltonne - 02.07.2012 (1)
  12. JS/Blacole.P gefunden - was tun?
    Log-Analyse und Auswertung - 02.07.2012 (1)
  13. Exploit:Java/Blacole.ET in C\Users\***\AppData\Local\Temp\jar_cache... gefunden
    Log-Analyse und Auswertung - 06.04.2012 (8)
  14. (2x) herunterladen und bezahlen Trojaner/Virus von der iload.to Hompage eingefangen
    Mülltonne - 19.03.2012 (1)
  15. Diverse Trojaner gefunden? (Blacole.A u.a.) - unsicher über nächste Schritte
    Plagegeister aller Art und deren Bekämpfung - 18.01.2012 (15)
  16. Hompage aber wie und wo ???
    Diskussionsforum - 07.11.2008 (30)
  17. Hompage vorgegaukelt
    Plagegeister aller Art und deren Bekämpfung - 29.10.2005 (14)

Zum Thema JS/Blacole.KH.3 auf hompage vom schachverein gefunden. - Hallo liebe Helfer, ich habe die Pflege der Homepage unseres Schachvereins "www.Schachfreunde Sasel.de" zeitweilig zusammen mit einem anderen Mitgleid übernommen. Wir haben seit Anfang des Jahres das Problem das wir - JS/Blacole.KH.3 auf hompage vom schachverein gefunden....
Archiv
Du betrachtest: JS/Blacole.KH.3 auf hompage vom schachverein gefunden. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.