Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: isb.bayern.de | anscheinend verseucht | wie vorgehen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.09.2007, 18:40   #1
denis_std
 
isb.bayern.de | anscheinend verseucht | wie vorgehen? - Standard

isb.bayern.de | anscheinend verseucht | wie vorgehen?



Hallo zusammen!

Meine Mutter hat vor ein paar Minuten auf ihrem PC ein ActiveX Script auf der Seite des ISB Bayern ausgeführt. (w*w.isb.bayern.de)

Das Script befindet sich auf folgender Seite:

h**p://taskiranzafer.sitemynet.com/ramazan.htm

und ist in die Seite eingebaut als folgendes Skript:

Code:
ATTFilter
<script>document.location="h**p://taskiranzafer.sitemynet.com/ramazan.htm"</script>
         
Könnt Ihr mir sagen wie ich auf dem PC weiter vorgehen kann? Er ist vom Netz getrennt.

An wen kann ich bzw sollte ich das ganze noch melden?

Gruß!

Alt 15.09.2007, 18:51   #2
BataAlexander
> MalwareDB
 
isb.bayern.de | anscheinend verseucht | wie vorgehen? - Standard

isb.bayern.de | anscheinend verseucht | wie vorgehen?



die Seite ist defaced worden und mit einem Bidlchen und einem Song versehen worden.
Die Seite solltes bis zur Behebung nicht besucht werden, hier kann alles eingepflanzt werden.
Nachricht an webmaster@bayern.de (eine habe ich grade geschickt)
__________________

__________________

Alt 15.09.2007, 18:53   #3
denis_std
 
isb.bayern.de | anscheinend verseucht | wie vorgehen? - Standard

isb.bayern.de | anscheinend verseucht | wie vorgehen?



Zitat:
Zitat von BataAlexander Beitrag anzeigen
die Seite ist defaced worden und mit einem Bidlchen und einem Song versehen worden.
Das heisst für mich? Kein Virus kein Trojaner? Wie sicher ist das ganze. Kenn mich nicht wirklich aus und müsste schon sicher gehen bevor ich ihr Online Banking und weitere Späße erlaube.

Gruß!
__________________

Alt 15.09.2007, 18:57   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
isb.bayern.de | anscheinend verseucht | wie vorgehen? - Standard

isb.bayern.de | anscheinend verseucht | wie vorgehen?



Schädlingsbefall kann man nicht ausschließen. V.a. dann nicht wenn ihr noch einen älteren IE benutzt hab.
Besser wäre ein alternativer Browser wie Firefox oder Opera im eingeschränkten Benutzerkonto.

Poste doch mal ein Hijackthis-Logfile von der kiste.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.09.2007, 19:00   #5
denis_std
 
isb.bayern.de | anscheinend verseucht | wie vorgehen? - Standard

isb.bayern.de | anscheinend verseucht | wie vorgehen?



Zitat:
Zitat von cosinus Beitrag anzeigen
Schädlingsbefall kann man nicht ausschließen. V.a. dann nicht wenn ihr noch einen älteren IE benutzt hab.
Besser wäre ein alternativer Browser wie Firefox oder Opera im eingeschränkten Benutzerkonto.

Poste doch mal ein Hijackthis-Logfile von der kiste.
Es ist der aktuelle IE auf dem Rechner installiert (und ja sie sollte FF benutzen, aber wie es halt so ist mit den Damen ) und alle Win Sicherheitsupdates und ein Kaspersky Virenscanner.

Hijackthis Logfile folgt!

Gruß und Danke schonmal für die Hilfe!


Alt 15.09.2007, 19:05   #6
BataAlexander
> MalwareDB
 
isb.bayern.de | anscheinend verseucht | wie vorgehen? - Standard

isb.bayern.de | anscheinend verseucht | wie vorgehen?



Für Dich besteht bisher keine Gefährdung.
Bisher weil der Eindringling bis zur Beitigung des Problems Zugriff auf den Server hat und beliebiges Nachladen lassen kann.
Im Quelltext der Seite ist bisher nichts für Dich gefährliches zu finden.
Der Hack ist bisher auch nur eine Weiterleitung mittels document.location Java Weiche, ohne Java solltes es nicht funktionieren)kann ich aber grad nicht prüfen).

Edit: Mit ohne Java wird die Seite normal dargestellt, trotzdem erstmal nicht besuchen!

----------
Zur Info
Zitat:
<html>

<head>
<meta http-equiv="Content-Language" content="tr">
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta http-equiv="Content-Type" content="text/html; charset=windows-1254">
<title>..::Hayýrlý Ramazanlar::..</title>
</head>

<body>

<p align="center">
<object id="aba_MediaPlayer0" height="2" width="1" classid="CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6" align="middle"><br />
<param NAME="rate" value="1"><br />
<param NAME="balance" value="0"><br />
<param NAME="currentPosition" value="0"><br />
<param NAME="defaultFrame" value><br />
<param NAME="playCount" value="99"><br />
<param NAME="autoStart" value="-1"><br />
<param NAME="currentMarker" value="0"><br />
<param NAME="invokeURLs" value="-1"><br />
<param NAME="baseURL" value><br />
<param NAME="volume" value="92"><br />
<param NAME="mute" value="0"><br />
<param NAME="uiMode" value="invisible"><br />
<param NAME="stretchToFit" value="-1"><br />
<param NAME="windowlessVideo" value="0"><br />
<param NAME="enabled" value="-1"><br />
<param NAME="enableContextMenu" value="0"><br />
<param NAME="fullScreen" value="0"><br />
<param NAME="SAMIStyle" value><br />
<param NAME="SAMILang" value><br />
<param NAME="SAMIFilename" value><br />
<param NAME="captioningID" value><br />
<param name="URL" value="http://indexarsivi.web1000.com/vah.MP3" ref><br />
<param name="enableErrorDialogs" value="0"><br />
<param name="_cx" value="370"><br />
<param name="_cy" value="370">
<br />
<br />
<EMBED TYPE="application/x-mplayer2" <br />
<br />
NAME="aba_MediaPlayer"><br />
<br />
</EMBED></object></p>

<p align="center">
&nbsp;</p>

<p align="center">
<img border="0" src="ramazan.jpg" width="700" height="458"></p>

</body>
<script language=JavaScript>
<!--

//Disable right click script III- By Renigade (renigade@mediaone.net)
//For full source code, visit Dynamic Drive DHTML(dynamic html) & JavaScript code library

var message="";
///////////////////////////////////
function clickIE() {if (document.all) {(message);return false;}}
function clickNS(e) {if
(document.layers||(document.getElementById&&!document.all)) {
if (e.which==2||e.which==3) {(message);return false;}}}
if (document.layers)
{document.captureEvents(Event.MOUSEDOWN);document.onmousedown=clickNS;}
else{document.onmouseup=clickNS;document.oncontextmenu=clickIE;}

document.oncontextmenu=new Function("return false")
// -->
</script>

</html>
__________________
--> isb.bayern.de | anscheinend verseucht | wie vorgehen?

Alt 15.09.2007, 19:09   #7
denis_std
 
isb.bayern.de | anscheinend verseucht | wie vorgehen? - Standard

isb.bayern.de | anscheinend verseucht | wie vorgehen?



So hier das Logfile:

ubuntuusers - No Paste Service

Zitat:
Bisher weil der Eindringling bis zur Beitigung des Problems Zugriff auf den Server hat und beliebiges Nachladen lassen kann.
Im Quelltext der Seite ist bisher nichts für Dich gefährliches zu finden.
Naja wie gehe ich nun am besten vor? Cache löschen? Und ansonsten was kann ich noch tun? (außer die Seite natürlich nicht mehr aufrufen)

Gruß!

Alt 15.09.2007, 19:18   #8
BataAlexander
> MalwareDB
 
isb.bayern.de | anscheinend verseucht | wie vorgehen? - Standard

isb.bayern.de | anscheinend verseucht | wie vorgehen?



Du musst nicht tun, gar nichts ist am besten
Im Ernst, die Seite ist keine Gefahr, es wurden keine Dateien nachgeladen. Den Cache kannst Du löschen, Dein HJT Log ist clean, bis auf ein kleines Java Update.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 15.09.2007, 19:22   #9
denis_std
 
isb.bayern.de | anscheinend verseucht | wie vorgehen? - Standard

isb.bayern.de | anscheinend verseucht | wie vorgehen?



Zitat:
Zitat von BataAlexander Beitrag anzeigen
Du musst nicht tun, gar nichts ist am besten
Im Ernst, die Seite ist keine Gefahr, es wurden keine Dateien nachgeladen. Den Cache kannst Du löschen, Dein HJT Log ist clean, bis auf ein kleines Java Update.
Super! Das höre ich gerne. Ich hätte keine Lust auf formatieren oder ähnliche Späße gehabt. Nun hat sie endlich das eingeschränkte Benutzerkonto und den FF aktzeptiert. Naja vielleicht bring ich sie irgendwann ja zu Ubuntu. (o.ä)

Antwort

Themen zu isb.bayern.de | anscheinend verseucht | wie vorgehen?
activex, bayern, befindet, code, eingebaut, folge, folgender, folgendes, hallo zusammen, melde, melden, minute, minuten, mutter, schei, script, seite, skript, verseucht, vorgehen, zusammen



Ähnliche Themen: isb.bayern.de | anscheinend verseucht | wie vorgehen?


  1. Zeus Bot anscheinend auf PC// Brief von Telekom
    Plagegeister aller Art und deren Bekämpfung - 10.06.2015 (21)
  2. (Anscheinend) Nicht entfernbarer Virus
    Plagegeister aller Art und deren Bekämpfung - 04.03.2015 (15)
  3. Anscheinend Trojaner auf Windows 7/64 bit
    Plagegeister aller Art und deren Bekämpfung - 19.10.2014 (11)
  4. W32/Patched.UC - services.exe anscheinend infiziert.
    Log-Analyse und Auswertung - 02.07.2013 (17)
  5. Bayern: "Cyberallianz-Zentrum" für mehr Sicherheit im Internet
    Nachrichten - 12.04.2013 (0)
  6. Malware die anscheinend nicht wegzukriegen ist
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (15)
  7. Ein paar Gratler aus Bayern fordern den Staatstrojaner!
    Diskussionsforum - 23.08.2012 (6)
  8. Datenschützer prüft alle 22 Trojanereinsätze in Bayern
    Nachrichten - 24.11.2011 (0)
  9. Anscheinend mit Trojaner von Facebook infiziert
    Log-Analyse und Auswertung - 24.10.2011 (25)
  10. Bayern stoppt vorerst Einsatz des Staatstrojaners
    Nachrichten - 11.10.2011 (0)
  11. onlinebanking gesperrt da anscheinend trojaner auf pc?
    Antiviren-, Firewall- und andere Schutzprogramme - 14.10.2010 (4)
  12. Anscheinend wider ein Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.06.2010 (7)
  13. Dropper.Gen und anscheinend Sasser
    Log-Analyse und Auswertung - 08.06.2010 (13)
  14. Hab da anscheinend nen Trojaner^^
    Log-Analyse und Auswertung - 05.05.2010 (13)
  15. anscheinend trojaner
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (6)

Zum Thema isb.bayern.de | anscheinend verseucht | wie vorgehen? - Hallo zusammen! Meine Mutter hat vor ein paar Minuten auf ihrem PC ein ActiveX Script auf der Seite des ISB Bayern ausgeführt. (w*w.isb.bayern.de) Das Script befindet sich auf folgender Seite: - isb.bayern.de | anscheinend verseucht | wie vorgehen?...
Archiv
Du betrachtest: isb.bayern.de | anscheinend verseucht | wie vorgehen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.