Hallo,
ich habe über domainfactory die Domain www.eddiespizza. de geordert. Ich habe Joomla 3.1 auf dem Website intstalliert und dann meine Seite angepasst. Vor ein paar Tagen, hatte ich ständig einen seltsamen Code in der index.php des Templates. Jetzt habe ich Kaspersky installiert und es hat sich rausgestellt, dass es wohl ein Trojaner ist. Die Seite ist offline, und die Kaspersky Fehlermeldung taucht sofort auf, wenn man die Seite aufruft.

Der Trojaner ist folgender:
trojan-downloader.js.iframe.deb

Die Index.php zeigt den Fehler im Code nicht mehr, trotzdem scheint er irgendwo versteckt zu sein, denn bei einem Securitydurchlauf der Seite auf eine Website (deren Namen ich leider vergessen habe), wurde mir der entsprechende Code angezeigt. Leider nur nicht, in welcher Datei er sich befindet.

Ich versuche seit zwei Tagen das Problem zu lösen und bin mittlerweile total verzweifelt:-(.
Erbarmt sich jemand und hilft mir?

Hier nun auch der problematische Schnipsel in der index.php (rot markiert):
<!-- Body -->
<div id="fb-root"></div>
<script>(function(d, s, id) {
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) return;
js = d.createElement(s); js.id = id;
js.src = "//connect.facebook.net/de_DE/all.js#xfbml=1";
fjs.parentNode.insertBefore(js, fjs);
}(document, 'script', 'facebook-jssdk'));</script>
<div class="body">
<div class="container<?php echo ($params->get('fluidContainer') ? '-fluid' : '');?>
<?
#2b8c75#
echo " *** JS Loader entfernt ***

#/2b8c75#
?>
<?

?>">
<!-- Header -->
<?php if ($this->countModules('oben')) : ?>
<div class="row-fluid-up">
<div class="oben">
<jdoc:include type="modules" name="oben" style="none" />
</div>
<?php endif; ?>
<div class="header">
<div class="header-inner clearfix">
<a class="logo" href="<?php echo $this->baseurl; ?>">
<?php echo $logo;?> <?php if ($this->params->get('sitedescription')) { echo '<div class="site-description">'. htmlspecialchars($this->params->get('sitedescription')) .'</div>'; } ?>
</a>
<div class="header-search pull-right">
<jdoc:include type="modules" name="position-0" style="none" />
</div>
</div>
</div>
<?php if ($this->countModules('position-1')) : ?>
<div class="navigation">
<jdoc:include type="modules" name="position-1" style="none" />
</div>
<?php endif; ?>
</div>
<jdoc:include type="modules" name="banner" style="xhtml" />
<div class="row-fluid">
<?php if ($this->countModules('position-8')) : ?>
<!-- Begin Sidebar -->
<div id="sidebar" class="span3">
<div class="sidebar-nav">
<jdoc:include type="modules" name="position-8" style="xhtml" />
</div>
</div>
<!-- End Sidebar -->
<?php endif; ?>
<div id="content" class="<?php echo $span;?>">
<!-- Begin Content -->
<jdoc:include type="modules" name="position-3" style="xhtml" />
<jdoc:include type="message" />
<jdoc:include type="component" />
<jdoc:include type="modules" name="position-2" style="none" />
<!-- End Content -->
</div>
<?php if ($this->countModules('position-7')) : ?>
<div id="aside" class="span3">
<!-- Begin Right Sidebar -->
<jdoc:include type="modules" name="position-7" style="well" />
<!-- End Right Sidebar -->
</div>
<?php endif; ?>


<?php if ($this->countModules('bottom')) : ?>
<jdoc:include type="modules" name="bottom" style="bottom" />
<?php endif; ?>

</div>
</div>
</div>
<!-- Footer -->
<div class="footer">
<div class="container1<?php echo ($params->get('fluidContainer') ? '-fluid' : '');?>">
<hr />
<jdoc:include type="modules" name="footer" style="none" />
<p class="pull-right"><a href="#top" id="back-top"><?php echo JText::_('TPL_PROTOSTAR_BACKTOTOP'); ?></a></p>
<p>&copy; <?php echo $sitename; ?> <?php echo date('Y');?></p>
</div>
</div>
<jdoc:include type="modules" name="debug" style="none" />
</body>
</html>
s" name="debug" style="none" />
</body>
</html>
e="debug" style="none" />
</body>
</html>


Leider generiert er sich immer wieder neu, wenn ich ihn raus nehme

Hi,

mit dem Code kann ich nicht helfen. Von wo gehst Du mit FTP auf den Server? Nur von Deinem Rechner? Dann scheint der verseucht zu sein. Auf jeden Fall von einem anderen REchner FTP Daten ändern.

Hello,

danke für die rasche Antwort. Ich habe meinen Rechnern bereits von allen Seiten gesäubert. Erhältst du denn nicht die Fehlermeldung wenn du auf eddiespizza.de gehst?
Ich habe jetzt mal alle Daten vom Online-Server runtergezogen und hoffe, da irgendwas zu finden.

Bin auf Arbeit, daher kein Zugriff auf die Seite wegen Proxy. Wenn der Rechner wirklich sauber ist, Passwörter ändern vom FTP, saubere Seiten neu hochladen und das Problem sollte beseitigt sein.

Also ich habe jetzt den entsprechenden Ordner auf meinem Rechner. Jedoch findet Kaspersky darin den Trojaner nicht mehr, obwohl er definitiv da ist.
Hier die gewünschten Logfiles.
Ah, ich verzweifle!

Ich kann die OTL. log und den den gmer-log nicht hochladen, da die Dateien zu groß sind!

AHHHH, help!

Ah, interessant, der Trojaner hat sich verändert. Nun heißt er "Trojan-Clicker.JS-Iframe.gz" sobald man die seite eddiespizza.de aufruft. Ich verstehe gar nichts mehr.

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

zur Not logs einzeln posten.

Tja, auf das zippen hätte ich auch kommen können. Bitte entschuldige die Umstände.
Also hier alle drei Pakete.

Zitat:

O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 adobeereg.com
O1 - Hosts: 127.0.0.1 adobe.activate.com

Dateien, wie Crack.exe, Keygen.exe oder Patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten

Oh, oh, ja dann werde ich das wohl machen und die ganze Website neu machen. Yuchuu, da geht die Sonne auf. Na ja trotzdem vielen Dank für die Mühe.

Kein problem