Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   isb.bayern.de | anscheinend verseucht | wie vorgehen? (https://www.trojaner-board.de/43514-isb-bayern-de-anscheinend-verseucht-vorgehen.html)

denis_std 15.09.2007 17:40
isb.bayern.de | anscheinend verseucht | wie vorgehen?
 
Hallo zusammen!

Meine Mutter hat vor ein paar Minuten auf ihrem PC ein ActiveX Script auf der Seite des ISB Bayern ausgeführt. (w*w.isb.bayern.de)

Das Script befindet sich auf folgender Seite:

h**p://taskiranzafer.sitemynet.com/ramazan.htm

und ist in die Seite eingebaut als folgendes Skript:

Code:
<script>document.location="h**p://taskiranzafer.sitemynet.com/ramazan.htm"</script>
Könnt Ihr mir sagen wie ich auf dem PC weiter vorgehen kann? Er ist vom Netz getrennt.

An wen kann ich bzw sollte ich das ganze noch melden?

Gruß!

BataAlexander 15.09.2007 17:51
die Seite ist defaced worden und mit einem Bidlchen und einem Song versehen worden.
Die Seite solltes bis zur Behebung nicht besucht werden, hier kann alles eingepflanzt werden.
Nachricht an webmaster@bayern.de (eine habe ich grade geschickt)

denis_std 15.09.2007 17:53
Zitat:
Zitat von BataAlexander (Beitrag 293820)
die Seite ist defaced worden und mit einem Bidlchen und einem Song versehen worden.
Das heisst für mich? Kein Virus kein Trojaner? Wie sicher ist das ganze. Kenn mich nicht wirklich aus und müsste schon sicher gehen bevor ich ihr Online Banking und weitere Späße erlaube.

Gruß!

cosinus 15.09.2007 17:57
Schädlingsbefall kann man nicht ausschließen. V.a. dann nicht wenn ihr noch einen älteren IE benutzt hab.
Besser wäre ein alternativer Browser wie Firefox oder Opera im eingeschränkten Benutzerkonto.

Poste doch mal ein Hijackthis-Logfile von der kiste.

denis_std 15.09.2007 18:00
Zitat:
Zitat von cosinus (Beitrag 293822)
Schädlingsbefall kann man nicht ausschließen. V.a. dann nicht wenn ihr noch einen älteren IE benutzt hab.
Besser wäre ein alternativer Browser wie Firefox oder Opera im eingeschränkten Benutzerkonto.

Poste doch mal ein Hijackthis-Logfile von der kiste.
Es ist der aktuelle IE auf dem Rechner installiert (und ja sie sollte FF benutzen, aber wie es halt so ist mit den Damen :) ) und alle Win Sicherheitsupdates und ein Kaspersky Virenscanner.

Hijackthis Logfile folgt!

Gruß und Danke schonmal für die Hilfe!

BataAlexander 15.09.2007 18:05
Für Dich besteht bisher keine Gefährdung.
Bisher weil der Eindringling bis zur Beitigung des Problems Zugriff auf den Server hat und beliebiges Nachladen lassen kann.
Im Quelltext der Seite ist bisher nichts für Dich gefährliches zu finden.
Der Hack ist bisher auch nur eine Weiterleitung mittels document.location Java Weiche, ohne Java solltes es nicht funktionieren)kann ich aber grad nicht prüfen).

Edit: Mit ohne Java wird die Seite normal dargestellt, trotzdem erstmal nicht besuchen!

----------
Zur Info
Zitat:
<html>

<head>
<meta http-equiv="Content-Language" content="tr">
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta http-equiv="Content-Type" content="text/html; charset=windows-1254">
<title>..::Hayýrlý Ramazanlar::..</title>
</head>

<body>

<p align="center">
<object id="aba_MediaPlayer0" height="2" width="1" classid="CLSID:6BF52A52-394A-11d3-B153-00C04F79FAA6" align="middle"><br />
<param NAME="rate" value="1"><br />
<param NAME="balance" value="0"><br />
<param NAME="currentPosition" value="0"><br />
<param NAME="defaultFrame" value><br />
<param NAME="playCount" value="99"><br />
<param NAME="autoStart" value="-1"><br />
<param NAME="currentMarker" value="0"><br />
<param NAME="invokeURLs" value="-1"><br />
<param NAME="baseURL" value><br />
<param NAME="volume" value="92"><br />
<param NAME="mute" value="0"><br />
<param NAME="uiMode" value="invisible"><br />
<param NAME="stretchToFit" value="-1"><br />
<param NAME="windowlessVideo" value="0"><br />
<param NAME="enabled" value="-1"><br />
<param NAME="enableContextMenu" value="0"><br />
<param NAME="fullScreen" value="0"><br />
<param NAME="SAMIStyle" value><br />
<param NAME="SAMILang" value><br />
<param NAME="SAMIFilename" value><br />
<param NAME="captioningID" value><br />
<param name="URL" value="http://indexarsivi.web1000.com/vah.MP3" ref><br />
<param name="enableErrorDialogs" value="0"><br />
<param name="_cx" value="370"><br />
<param name="_cy" value="370">
<br />
<br />
<EMBED TYPE="application/x-mplayer2" <br />
<br />
NAME="aba_MediaPlayer"><br />
<br />
</EMBED></object></p>

<p align="center">
&nbsp;</p>

<p align="center">
<img border="0" src="ramazan.jpg" width="700" height="458"></p>

</body>
<script language=JavaScript>
<!--

//Disable right click script III- By Renigade (renigade@mediaone.net)
//For full source code, visit Dynamic Drive DHTML(dynamic html) & JavaScript code library

var message="";
///////////////////////////////////
function clickIE() {if (document.all) {(message);return false;}}
function clickNS(e) {if
(document.layers||(document.getElementById&&!document.all)) {
if (e.which==2||e.which==3) {(message);return false;}}}
if (document.layers)
{document.captureEvents(Event.MOUSEDOWN);document.onmousedown=clickNS;}
else{document.onmouseup=clickNS;document.oncontextmenu=clickIE;}

document.oncontextmenu=new Function("return false")
// -->
</script>

</html>

denis_std 15.09.2007 18:09
So hier das Logfile:

ubuntuusers - No Paste Service

Zitat:
Bisher weil der Eindringling bis zur Beitigung des Problems Zugriff auf den Server hat und beliebiges Nachladen lassen kann.
Im Quelltext der Seite ist bisher nichts für Dich gefährliches zu finden.
Naja wie gehe ich nun am besten vor? Cache löschen? Und ansonsten was kann ich noch tun? (außer die Seite natürlich nicht mehr aufrufen)

Gruß!

BataAlexander 15.09.2007 18:18
Du musst nicht tun, gar nichts ist am besten :D
Im Ernst, die Seite ist keine Gefahr, es wurden keine Dateien nachgeladen. Den Cache kannst Du löschen, Dein HJT Log ist clean, bis auf ein kleines Java Update. :daumenhoc

denis_std 15.09.2007 18:22
Zitat:
Zitat von BataAlexander (Beitrag 293829)
Du musst nicht tun, gar nichts ist am besten :D
Im Ernst, die Seite ist keine Gefahr, es wurden keine Dateien nachgeladen. Den Cache kannst Du löschen, Dein HJT Log ist clean, bis auf ein kleines Java Update. :daumenhoc
Super! Das höre ich gerne. Ich hätte keine Lust auf formatieren oder ähnliche Späße gehabt. Nun hat sie endlich das eingeschränkte Benutzerkonto und den FF aktzeptiert. ;) Naja vielleicht bring ich sie irgendwann ja zu Ubuntu. (o.ä) :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131