Moin zusammen,

das mit dem vom Netz nehmen war ja schon beantwortet, schon der Hammer das einfach mal das Netz "ausfällt".

Aktuell habe ich die Seite noch nicht vom Netz genommen, ich habe die Seite gerade gestartet und wieder eine komische Nachricht bekommen.

hxxp://img208.imageshack.us/img208/9139/unabletoaccessjarfile.jpg

Was soll das für ein jar file sein was er jetzt plötzlich nicht mehr aufrufen kann?

Wenn es ein Problem mit der Seite gibt, dann wenn man die Admin Seite aufruft, da habe ich auch immer die Windows Defender Warnung bekommen.

Bevor ich alles neu aufsetze würde ich gerne wissen ob die Seite tatsächlich irgendwie infiltriert ist.

Wie macht mann denn die Seite platt? Einfach mit Filezilla alles löschen oder muss man noch irgendwie desinfizieren?

Was meinen Rechner angeht werde ich die vorige Prozedur ganz einfach nach ein paar Tagen nochmal machen, sind dann wieder Trojaner drauf mach ich den Rechner platt.

Übrigens schon mal vielen Dank für Eure Hilfe bis hierher.

Habt ihr denn auf der hochgeladenen Anlage was gefunden?

Zitat:

Zitat von bredoinv

Was soll das für ein jar file sein was er jetzt plötzlich nicht mehr aufrufen kann?

Woher sollen wir dies wissen?
Aber eine .jar-Datei ist (wie du wohl weißt) eine Java-Datei, die Benennung 001 wenig aufschlussreich, aber auch deshalb durchaus schon suspekt. Die IP-Adresse gehört nach Rumänien.
Also ist von harmlos eher weniger auszugehen, außer du hättest da Verbindungen.

Zitat:

Zitat von bredoinv

Wenn es ein Problem mit der Seite gibt, dann wenn man die Admin Seite aufruft, da habe ich auch immer die Windows Defender Warnung bekommen.

Was für eine Admin-Seite? Wordpress? Oder login.1&1

Zitat:

Zitat von bredoinv

Bevor ich alles neu aufsetze würde ich gerne wissen ob die Seite tatsächlich irgendwie infiltriert ist.

Ist schwer zu sagen - vorallem nicht ob sie NICHT infiltriert ist. Hast du schon mal einen Blick draufgeworfen (wie gestern beschreiben)

Zitat:

Zitat von bredoinv

Wie macht mann denn die Seite platt? Einfach mit Filezilla alles löschen oder muss man noch irgendwie desinfizieren?

Wenn man davon ausgeht dass der 1&1-Server an sich sauber wäre, alles löschen, aber sicherheitshalber vorher in den FileZilla-Optionen anwählen "alles anzeigen erzwingen" (sinngemäß)
Unbedingt auch neues und starkes Passwort erstellen und nutzen, am besten auch neuen FTP-Nutzer und alten löschen.
Alles aber NUR von einem sauberen PC aus.
Nachtrag: Es mag aber sein, dass da einiges von 1&1 schon an Ordner vorhanden ist oder auch nicht. Ich kenne da natürlich dein Webhostingpaket nicht und kann da keine wirkliche Info geben, ob irgendwas bleiben müsste bzw. nur durch 1&1 neu erstellt werden kann und was deine Website aber braucht.
In der Regel sind solche (anbieterseitigen) Dateien und Verzeichnisse aber "außerhalb" - je nach Vertrag

Aaah, ok, Rumänien, nee da kenn ich niemand, alles klar, ganz sicher ist das irgendein Angriff.

Admin Wordpress habe ich gemeint, sorry.

Aber offensichtlich passiert schon was wenn man nur die Seite aufruft.
Irgendwas versucht also mit Java an irgendeine IP in Rumänien Kontakt aufzunehmen. Ich hab auch Bedenken das mit Java was nicht stimmt, derzeit habe ich eine Update-Meldung Meldung von Java!!!

Man wird richtig schizo wenn man so einen Dreck auf dem Rechner hat.

Ich würde ja so gerne nachweisen woher das kommt :-). Vielleicht tue ich den Herren ja unrecht und hab mir den Mist selbst eingefangen.

Da hast Du natürlich recht, es ist schwer nachzuweisen das NICHTS mehr da ist, da dies wenig wahrscheinlich ist, das nicht doch irgendwo was schlummert gibt es nur die eine Möglichkeit, platt machen!

Ich hab eine ganz normales Webhosting-Paket, das ist absolut nix drauf, das Wordpress Paket lädt man hoch und es funzt. Ich werd mich aber nochmal erkundigen bei 1und1.

Nur mal zur Info (und als Hinweis auch Wordpress auf aktuellen Stand zu setzen): http://www.heise.de/security/meldung...ss-996270.html

sehr interessant!!!

Die Windows Defender Meldung kommt nicht mehr wenn ich die Website investorsadvice.de aufrufe.

Was sich auch geändert hat, ich konnte im Admin Bereich plötzlich nichts mehr schreiben, d.h. im Fenster für die Erstellung von neuen Artikeln war nichts mehr zu sehen man hat getippt und es blieb alles weiß. Eigentlich noch ein Hinweis das dies ein gezielter Angriff war.

DAS GEHT JETZT WIEDER! Also vielleicht doch nichts auf der Website.
Ich werde sie dennoch platt machen und wieder aufsetzen.

Erneuter Malwarebytes scan blieb ohne Ergebnis.

alles Schei..., alles wieder da.

Muss etwas auf der Website und/oder auf meinem Rechner sein.

Plötzlich wieder ein Syntax Fehler in Zeile 229 auf der Website, ich dann wieder den ganzen Ordner ausgetauscht d.h. hoch geladen, dann auch wieder die Defender Warnung von Windows und danach im Scan 7 verschiedene Trojaner. Genau wie beim ersten Mal.

Übrigens!!! Der Link auf der Heise Seite zu diesem Dede, ist eine heiße Sache wenn man diesen Code einbaut den er vorschlägt wird man umgehend aufgefordert irgendwelche malware zu installieren. Entweder gehackt oder

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen!

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

Vista:

Um die Wiederherstellungskonsole zu starten, einfach die Windows Vista DVD in das Laufwerk legen und davon booten.
Nach kurzer Zeit wird nach den gewünschten Länder und Spracheinstellungen gefragt.

Im anschließenden Fenster kann man über den Eintrag "Systemwiederherstellungsoptionen" die Wiederherstellungskonsole öffnen.

Durch klicken auf "Weiter" wird Windows veranlasst nach gültigen Windows Installationen auf der Festplatte zu suchen. Anschließend wird eine Liste der gefundenen Installationen zur Auswahl angezeigt.

Nach der Auswahl der gewünschten Windows-Version wird ein neues Fenster geöffnet welches die folgenden Möglichkeiten anbietet:

- Systemreparatur: Automatisches Reparieren von Windows Startproblemen (Bootsector usw.)
- Systemwiederherstellung: Herstellen von Windows über vorhandene Wiederherstellungspunkte
- Windows Komplett Wiederherstellung: Komplettes wiederherstellen eines Windows-Backups
- Windows Speicher Diagnose Tool: Arbeitsspeicher auf Fehler überprüfen (Neustart erforderlich)
- Eingabeaufforderung: Kommandozeile/Eingabeaufforderung

Öffne die Eingabeaufforderung, gib Bootrec.exe ein drücke Enter.

Wähle die /FixMBR Option. fixmbr reinschreiben und Enter drücken.


XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.


Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Außerdem sollte die Sicherung über eine LiveCD geschehen da sich Viren gerne an Dateien anhängen oder externe Datenträger infizieren.
Das wird durch die Nutzung einer LiveCD verhindert.
Auf Grund der bekannten Oberfläche empfehle ich VistaPE.
Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.hitech-blog.com/wp-conten...pcwVistaPE.zip
Downloade dir das Paket, entpacke es in einen eigenen Ordner und starte das Setup durch einen Doppelklick auf die pcwVistaPE.exe.
Es öffnet sich ein Setup welches dich in mehreren Schritten durch den Installations- und Brennvorgang führt. Danach steht dir eine LiveCD zur Verfügung welche du in dein Laufwerk einlegst und den Rechner neustartest.
Der PC sollte dann von der LiveCD booten, dass heisst er startet das Mini Betriebssystem von der CD.
Sollte er das nicht tun so musst du im BIOS den First Boot Device auf CD/DVD-Rom ändern. Wie das geht findest du bei google...


Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!