Joomla-Website 3x gehackt - lt. Admin Trojaner auf meinem PC?
 

Hallo,
meine Webseite (Joomla-Installation) wurde innert 6 Monaten zum dritten mal gehackt, mit Schadcode infiziert und auf russische Webseiten weitergeleitet. Darum kümmert sich der Admin der Seite - hab kaum Ahnung davon. Er meinte nun, da bei ihm und auf dem Server alles sicher wäre, müsste ich einen Trojaner auf meinem System haben, der den Zugang ausgespäht hat?
Ich hab Vista 32bit, Avira Free Antivir, system mit Windows Firewall komplett zu, wo nur erlaubte Programme freigeschaltet werden, Spybot S&D mit TeaTimer. Surfe mit Firefox 13.0.1 und Adblock plus.
Ein vollständiger Suchlauf mit MalwareBytes fand nichts verdächtiges.
Avira fand in letzter Zeit ein paar Mal einen Schädling, der immer sofort gesperrt wurde, und den ich dann löschte. Aktuell nach einem Komplett-Durchlauf kein Fund.
Was mir auffällt in den letzten Monaten, dass mein System manchmal fast einfriert und im Hintergrund etwas arbeitet - ich höre es rattern. Im task manager kann ich dabei aber keine Tätigkeit beobachten, obwohl die CP-Auslastung bei 100% liegt - geht aber immer dann sofort runter, wenn ich ihn aufrufe, und das rattern/arbeiten hört auf. Mit etwas Paranoia könnte man denken, da versteckt sich was im Hintergrund, das nicht gesehen werden möchte...?!

Hab eure Anfangsliste mit Defogger und OTL abgearbeitet. Folgende Ergebnisse: (siehe zips im Anhang)
Das Programm Gmer hat bei mir, unter Beachtung der Anleitung, 4 x zu einem Bluescreen geführt (Anzeige: "bad_pool_caller"), auch im abgesicherten Modus, deshalb hier leider keine Ergebnisse.
Wie geht es jetzt weiter? Macht es überhaupt Sinn, weiter zu suchen, wenn es scheinbar auf meinem Rechner keine Probleme gibt?
Vielen Dank schon mal im voraus
Gerhard

hi
öffne avira, poste die fundmeldungen
öffne malwarebytes poste logs mit funden.

Hallo,
danke für die Antwort - hatte eigentlich auf email-benachrichtigung gestellt bei Antworten, aber irgendwie keine bekommen.
Also - die Funde von Avira:
zweimal, am 8.7. und am 9.7. diese Meldung:
Und am 2.7. diese:
Der Bericht des letzten malwarebytes-Durchlaufs (Quickscan) vom 9.7.:
Danke vorab schon mal für´s checken!
Gruß
Gerhard

also, bei deinem pc lohnt sich das nachgucken eig gar nicht.
du hast keinerlei windows updates instaliert.
das würde + malware bereinigung sehr viel zeit in anspruch nehmen.
du solltest neu aufsetzen, pc absichern und dann kann ich dir sicherheitshinweise für pc und webseite geben.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
  Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• recovery cd oder recovery partition.
• falls dies ein fertig pc ist, nenne hersteller + typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

???
Entschuldige, was meinst du damit? Wie kommst du darauf? Da muss ein Irrtum vorliegen - ich update regelmäßig, das letzte Windows Update laut Updateverlauf in der Systemsteuerung war am 10.5.2012. Insgesamt sind seit Inbetriebnahme des Rechners am 19.9.2008 schätzungsweise über 200 Updates in der Liste aufgeführt!?
Danke jedenfalls für die anderen Tipps, aber ich weiß ja immer noch nicht, ob ich überhaupt Malware auf dem Rechner habe! Genau das würde ich doch erst gerne herausfinden. Kannst du dazu überhaupt etwas sagen unter diesen Umständen?
Die PC-Absicherungliste kannte ich noch nicht so, danke auch dafür.
Viele Grüße
Gerhard

Ok - jetzt schwant mir was. Hab gestern abend ein manuelles Windows-Update gestartet im Laufe der Überprüfung deiner Aussage. Da fand Windows Update eine Updatedatei von 2009, die als "Wichtig" eingestuft war - die aber noch nie angezeigt wurde, denn ich schau mir ja imer an, was ansteht, und installiere alle als "Wichtig" eingestuften Updates, ausser die Tools zum Entfernen der bösartigen Software. Auf irgend eine Art und Weise scheint mir dieses kleine Update damals durch die Lappen gegangen zu sein und wurde seitdem nicht mehr angezeigt. Nach einem Neustart und einer neuerlichen Update-Abfrage empfahl er plötzlich Vista-Service-Pack... das scheinbar in der Update-Erkennung von diesem kleinen vorhergehenden Update abhängig war, denn wie gesagt: ich habe über 200 manuelle Updates nach Benachrichtigung gemacht, und noch NIE wurde mir der Service-Pack Vista empfohlen - ich hab schlichtweg noch nie davon gehört!
Und jetzt, heute morgen, zeigt er mir 62 weitere Updates an, die scheinbar alle auf den Service-Pack aufbauen... und bei meinen regelmäßigen manuellen Updates, die immer auf die Benachrichtigung meines Rechners hin erfolgen (so hab ich das eingestellt), nie angezeigt wurden. Was für ein Mist.
Und ich war mir sicher, immer auf dem aktuellen Stand zu sein - wie gesagt, über 200 Updates hab ich ja gemacht. Hab 2008, als ich den Laptop mit VISTA neu bekam, irgendwo auf einer (sog.?) Profi-Seite die Empfehlung gelesen, nicht alles, was Windows für VISTA empfiehlt, zu installieren, sondern immer erst zu überprüfen. Hatte deshalb auf manuelles Update gestellt, und vermeintlich alle relevanten, wichtigen und empfohlenen Sicherheitsupdates runtergeladen. Nun ja. Salat.
Bin gerade dabei, alles nachzuholen. Ich werd dann auf dem aktuellen Stand nochmal alle Suchprogramme (Antimalware, Antivir, Spybot) drüberlaufen lassen.
Du sagst, das bringt es nicht. Nochmal: mir sind keine aktuellen Probleme bewusst. Wie finde ich raus, ob ich überhaupt Befall habe?
Danke für deine Kompetenz. Hätte ich mal früher gebrauchen können...:headbang:
Gruß
Gerhard

Aktualisierung: mittlererweile (13h) hab ich Service Pack 1 und 2, einen neuen Windows Updater und über 200 weitere kleine Sicherheits-Updates nachgeladen und installiert. Ich frage mich dennoch, wie es sein kann, dass alle diese Updates NIE angezeigt wurden in der Empfehlungsliste und scheinbar alle von diesem einem einzigen Update abhingen, das ich im jahr 2009 nicht geladen hatte? Wie kann es sein, dass mir bei der Update-Abfrage immer wieder einige wichtige Updates angezeigt wurden, die ich ja dann installiert habe (über 200 seit 2008!), aber nie die Service Packs und diese weiteren über 200 Updates? Also sorry, ja, ich hab da was verpasst damals, mein Fehler, aber dass das nie mehr empfohlen, nie mehr darauf hingewiesen wurde, wo ich doch viele Male die Update-Funktion benutzt habe, das geht in meinen Kopf nicht rein. Ist das mal wieder nicht nachvollziehbare Windows-Logik? Oder überseh ich da irgendwas?
Nun, hilft ja alles nix. Ich bleib dran.
Gruß
Gerhard

weil du windows update nicht vernünftig konfiguriert hast.
nun müssen wir den pc trotzdem untersuchen, deswegen habe ich ja gesagt, mache ihn gleich neu, dann hättest du nämlich viel arbeit gespart und nen garantiert sauberes system gehabt
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

Hallo Markus,
hab ich genau so gemacht, Problem: der Log/Report von tdss-killer lässt sich nicht kopieren, Rechts-Klick-Menü ist im gesamten Programm deaktiviert?
Hab die 10 Funde jetzt als 2 Bildschirmfotos angehängt. Hoffe, man kann es lesen. Scheint mir aber alles unverdächtig zu sein nach meinem Laien-Verständnis, zumindest meine ich die jeweiligen Programme, zu denen sie gehören, zu kennen.
Brauchst du den gesamten ausführlichen Report? Nur wie?
Wie geht´s weiter?
Besten Gruß
Gerhard

Hallo Markus,
habs eben geschafft mit Tastaturkürzeln. Hier der Report:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hallo Markus,
hab ich gemacht, die txt.-Datei ist im Anhang.
Gruß
Gerhard

Hallo Markus,
du bist sicherlich erholt vom Wochenende zurück! :kaffee: Wie geht es jetzt weiter?
Besten Gruß
Gerhard

lade den CCleaner standard:
CCleaner Download - CCleaner 3.20.1750
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Alles klar, hab ich gemacht. liste der installierten programme im Anhang. Eigentlich kenne ich alles bis auf eines.
Guten Abend
Gerhard

öffne ccleaner, analysieren,starten
öffne otl, cleanup, pc neustarten testen wie er läuft

So, hab ich alles gemacht und jetzt mal gestern und heute aufgepasst, wie er so läuft. Scheint alles ok zu sein. Die Hänger traten in diesen zwei Tagen zumindest nicht auf. Seh ich das richtig, das aller Wahrscheinlichkeit nach nix Böses auf dem rechner war/ist?
Müssen wir noch was machen, oder war´s das jetzt? Fühlt sich auf jeden fall schon ganz gut an.
Du hast eingangs was von PC-Absicherung gesprochen - steht das noch an zusätzlich? Was macht Sinn?
Besten Dank bis hierher schon mal!:daumenhoc
Gerhard

sieht gut aus.
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.72

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

passwort sicherheit:
jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort
bei der passwort verwaltung und erstellung hilft roboform
Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager

Hallo Markus,
sorry, war verreist, deswegen meld ich mich erst jetzt zurück.
Hab schon einiges ausgeführt von deinen Tipps.
Avira hab ich de-, Avast installiert, funzt alles. Wie konfiguriere ich avast am besten? hab die Erkennungsgenauigkeit überall auf "Hoch" gestellt, aber das bezahlt man anscheinend mit perfomance/Geschwindigkeit, hab ich das Gefühl, v.a. beim Surfen.
Hab ich natürlich gleich damals gemacht, als ich es bemerkte. Alles jetzt auf automatisch, so wie du es auch beschreibst - das soll mir nicht nochmal passieren...:headbang:
Alle Updates waren zu dem Zeitpunkt schon manuell nachinstalliert.
Da war ich doch erstaunt. Hab alles, was von Google kommt, als Datenkrake im Kopf. Hab ihn aber mal installiert. Hab jetzt schon alle Meldungen an Google unterdrückt, und die add-ons "Deaktivierungs-Add-on von Google Analytics" und "Keep My Opt-Outs" installiert, um meine Daten zu schützen.
Da war leider kein link dabei - kannst du den nochmal setzen bitte?
Zur Sandbox: ist das wirklich nötig? Scheint mir sehr aufwendig zu sein. In Avast ist ja scheinbar eine rudimentäre Sandbox integriert - reicht nicht deiner Meinung nach, was?
Gibt es ein empfehlenswertes freeware-Programm mit ähnlichen Funktionen?
Ich benutze Areca und mache (mehr oder weniger) regelmäßig Backups.
Soweit erstmal.
Allerbesten Dank bis hierher erst mal schon!:daumenhoc
Beste Grüße
Gerhard

Lieber Markus,
aus dem Urlaub zurück sehe ich, dass du nicht mehr geantwortet hast und gehe so davon aus, dass du deinen Job als getan ansiehst. Sicherlich macht es mehr Sinn, dich weiteren Hilfesuchenden zuzuwenden als Details der PC-Sicherheit hier zu diskutieren.
So bleibt nur, dir hier an dieser Stelle herzlich zu danken für deine nüchterne, professionelle und kompetente Begleitung. :dankeschoen:
Wie gut, dass es Leute wie dich und euch gibt!:party:
Auf eine zeit, wo das irgendwann nicht mehr nötig sein mag! :Boogie:
Mit besten Grüßen
Gerhard

sorry, fragen übersehen:
ich weis das mit der freeware nicht genau, würde das empfohlene nutzen.
mach dein backup programm denn backups des gesammten systems?