Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Script.Iframer

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.02.2011, 18:43   #1
LadyPurple
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



Liebe Leute!

Fassungslos sitze ich vor meinem PC und sehe wie alle meine Websites gesperrt wurden da sie als attackiert gelten.
Ich habe einen Trojaner der anscheinend auf alle Joomla-Seiten zugegriffen hat.

Nachdem ich diese Webseiten alle beim gleichen Host am gleichen Server habe sind sie alle attackiert.
Dieses Ding setzt auf alle .html dateien unten ein script dran und damit hat man nur noch Fehlermeldungen. Bei Joomla hat man viele Ordner mit vielen Dateien und ich sitze hier und es ist wie wenn ...die Welt untergeht.
Betroffen sind 5 verschiedene Pages.

Es ist: Trojan.Script.Iframer

Einige Leute hatten dies hier ja auch schon gemeldet - aber ich habe keine Antworten gefunden die auf eine Lösung hindeuten?

Was kann bzw. soll ich tun, rumheulen hilft ja leider auch nicht weiter.
lg
Purple

Alt 04.02.2011, 19:11   #2
markusg
/// Malware-holic
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



hast du Joomla auch immer aktuell gehalten? falls nein, könnte es daran liegen.
wobei benötigst du genau hilfe, beim aufspüren?
dann poste mal den link.
aber nicht klickbar (hxxp)
__________________

__________________

Alt 04.02.2011, 19:22   #3
LadyPurple
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



hilfe beim retten meiner pages bräuchte ich
ich kann jetzt nicht mehr genau sagen wann ich da überall das letzte mal geupdatet hab

h**p://www.hagazussa.tv
h**p://www.heidenarbeit.at
h**p://www.psychosozial.net

da gibt es noch subdomains und noch weitere 3 - megaseufz

danke
lg
Purple
__________________

Alt 05.02.2011, 10:58   #4
markusg
/// Malware-holic
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



1. bei websites ist es nicht anders wie bei pcs, updates müssen sofort eingespielt werden. überleg mal, je mehr besucher du hast, desto mehr verantwortung trägst du doch, dass sie deine web auftritte gefahrlos betreten können.
hast du backups die du zurückspielen kannst?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 05.02.2011, 11:09   #5
LadyPurple
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



hi natürlich hab ich keine gescheiten backups weil ich leider nicht verstanden hatte das ich natürlich diese datenbanken speichern muss und die ordner im ftp ohne dem nutzlos sind

ich bin eben nur ein user und weiß nicht mehr weiter
ich habe begonnen pages zu löschen, datenbank löschen usw. habe es neu aufgesetzt und nach 1 stunde hat google die seite wieder gesperrt weil was drauf war
ich hab keinen schimmer wo ich suchen soll und was ich machen soll

alle 7 pages löschen an denen ich seit jahren arbeite ist einfach schlimm

wie finde ich heraus wo die sicherheitslücke genau ist?

ist der trojaner oder was das ist einfach weg wenn ich alle seiten lösche und mühsam alle homepages neu mache?

lg
purple


Alt 05.02.2011, 11:16   #6
markusg
/// Malware-holic
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



schau dir mal ganz oben das java script an
das muss auf jeden fall raus.

dann durchsuche mal alle pages nach diesem script bzw ähnlichen und lösche sie.
dann update Joomla und alles sonstige und bringe die pages noch mal online, vorher alle zugangsdaten endern! also passwörter.
__________________
--> Trojan.Script.Iframer

Alt 05.02.2011, 11:25   #7
LadyPurple
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



also ich habe begonnen in den ordnern überall dieses script zu löschen
aber in joomla gibt es viele ordner mit vilen dateien und gestern nacht habe ich nach 5 stunden aufgehört, in allen .html dateien ist es drinen und in allen default.php und noch in einigen anderen.

dann habe ich wie gesagt eine neue datenbank angelegt, neues joomla drauf gegeben und wollte eine der seiten die gerade am wichigsten ist neu installieren - gleich wieder gesperrt worden obwohl ich noch nichtmal die installation durchgeführt habe

lg
purple

Alt 05.02.2011, 11:30   #8
markusg
/// Malware-holic
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



diese google sperrung wird nicht sofort aufgehoben denke ich...
nunja, dass du alles per hand löschen musst... will nicht herzlos klingen, aber hättest du nen backup...
will mal deinen pc ansehen.

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 05.02.2011, 11:56   #9
LadyPurple
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



die eine datei war zu gross - hoffe das zip geht auf

dankeschön

lg
purple

Alt 05.02.2011, 13:05   #10
markusg
/// Malware-holic
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



adware sehe ich.

download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 05.02.2011, 14:21   #11
LadyPurple
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5683

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

05.02.2011 15:18:40
mbam-log-2011-02-05 (15-18-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 159428
Laufzeit: 6 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> 3460 -> No action taken.

Infizierte Speichermodule:
c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288} (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SearchSettings (PUP.Dealio) -> Value: SearchSettings -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGSRES409.DLL (PUP.Dealio) -> Value: SEARCHSETTINGSRES409.DLL -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> No action taken.
c:\program files\search settings\kb128\searchsettingsres409.dll (PUP.Dealio) -> No action taken.
c:\program files\search settings\kb128\searchsettings.dll (PUP.Dealio) -> No action taken.

Alt 05.02.2011, 14:28   #12
LadyPurple
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5683

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

05.02.2011 15:27:32
mbam-log-2011-02-05 (15-27-32).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 159773
Laufzeit: 4 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\SearchSettings.BHO.1 (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\SearchSettings.BHO (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} (PUP.Dealio) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\KB128\SEARCHSETTINGS.DLL (PUP.Dealio) -> Value: SEARCHSETTINGS.DLL -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Value: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\search settings\kb128\searchsettings.dll (PUP.Dealio) -> Quarantined and deleted successfully.

Alt 05.02.2011, 14:42   #13
markusg
/// Malware-holic
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



meine gute, ich sprach von einem vollständigem, also komplett scan :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 05.02.2011, 16:39   #14
LadyPurple
 
Trojan.Script.Iframer - Standard

hier ist es



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5683

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

05.02.2011 17:37:34
mbam-log-2011-02-05 (17-37-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 347794
Laufzeit: 1 Stunde(n), 40 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Dealio) -> Value: SEARCHSETTINGS.EXE -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\search settings\searchsettings.exe (PUP.Dealio) -> Quarantined and deleted successfully.
c:\Users\administrator\AppData\Roaming\desktopicon\ebayshortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.

Alt 05.02.2011, 16:41   #15
markusg
/// Malware-holic
 
Trojan.Script.Iframer - Standard

Trojan.Script.Iframer



sieht für mich alles ok aus.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Trojan.Script.Iframer
.html, antworten, attackiert, dateien, gefunde, gemeldet, gesperrt, hilft, leute, liebe, lösung, ordner, schei, script, server, setzt, sitze, troja, trojaner, verschiedene, webseite, webseiten, websites, worte



Ähnliche Themen: Trojan.Script.Iframer


  1. Windows 7: Trojan.Script.472335
    Log-Analyse und Auswertung - 25.03.2015 (1)
  2. HEUR:Trojan.Script.Generic
    Plagegeister aller Art und deren Bekämpfung - 09.05.2014 (39)
  3. HEUR:Trojan.Script.Generic
    Plagegeister aller Art und deren Bekämpfung - 24.04.2014 (3)
  4. win32.Trojan-spy.VIS.A, Script. Trojan-Spy.VIS.B (engineB) - Bankpassworttrojaner gefunden!
    Plagegeister aller Art und deren Bekämpfung - 31.03.2014 (19)
  5. [Win XP] botnet: ntp-muliplier; desinfect: Trojan.Script.Iframer, Trojan.Heur.TP, Win.Trojan.Iniduoh, Win.Trojan.Ramnit
    Log-Analyse und Auswertung - 08.02.2014 (16)
  6. Systemdatum verstellt - "HEUR:Trojan.Script.Iframer" mit desinfec't gefunden
    Log-Analyse und Auswertung - 06.01.2014 (21)
  7. HEUR:Trojan.Script.Generic
    Log-Analyse und Auswertung - 10.12.2013 (17)
  8. Trojan.Script.Generic und not-a-virus
    Log-Analyse und Auswertung - 03.10.2013 (3)
  9. GVU-Trojaner - Trojan.Script.488158
    Plagegeister aller Art und deren Bekämpfung - 07.07.2013 (20)
  10. HEUR:Trojan.Script.Generic
    Plagegeister aller Art und deren Bekämpfung - 29.01.2013 (3)
  11. Trojan.Script.23483 (Engine A)
    Plagegeister aller Art und deren Bekämpfung - 09.01.2011 (25)
  12. HEUR:Trojan.Script.Iframer auf meiner website!
    Plagegeister aller Art und deren Bekämpfung - 18.05.2010 (0)
  13. Trojan.Generic.IS.541395 und Trojan.Script.190190
    Plagegeister aller Art und deren Bekämpfung - 29.03.2010 (17)
  14. HEUR:trojan.script.Iframer helft mir
    Plagegeister aller Art und deren Bekämpfung - 10.08.2009 (2)
  15. HEUR:Trojan.Script.Iframer
    Plagegeister aller Art und deren Bekämpfung - 27.04.2009 (1)
  16. Kaspersky /HEUR:Trojan.Script.Iframer
    Antiviren-, Firewall- und andere Schutzprogramme - 04.04.2009 (3)
  17. Trojan.Script.Iframer (buxflow.com)
    Plagegeister aller Art und deren Bekämpfung - 30.03.2009 (1)

Zum Thema Trojan.Script.Iframer - Liebe Leute! Fassungslos sitze ich vor meinem PC und sehe wie alle meine Websites gesperrt wurden da sie als attackiert gelten. Ich habe einen Trojaner der anscheinend auf alle Joomla-Seiten - Trojan.Script.Iframer...
Archiv
Du betrachtest: Trojan.Script.Iframer auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.