|
"thesoulfoodcafe", Scareware? Hallo, ich versteh die Welt nicht mehr. Ich beachte wirklich alle üblichen Sicherheitsregeln beim surfen im Netz und mein System ist gut abgesichert. Auch habe ich nichts installiert meines Wissens nach die letzte Zeit. Nun öffnete sich, nachdem ich oben in google-Suchfeld einen Begriff eingab, eine Seite die im Namen folgendes hatte: "dns.thesoulfoodcafe.com" und ein gefakter Scan startete mit natürlich 100 Funden von Viren, usw. Ich habe die angepriesene Software natürlich nicht runtergeladen. Ich habe dann einen Scan mit Antivir Personal 10 durchgeführt und es wurde nichts gefunden (wie im Übrigen bei einer vorherigen Infektion von vor ein paar Monaten auch nicht. Diese Infektion habe ich mir eingefangen, als ich ein Programm runterladen wollte, mit dem man angeblich Fussballbundesliga gucken könnte. Diese Installation habe ich wissentlich gemacht, kann also nachhalten, warum ich nacher nen Trojaner auf dem Rechner hatte. Natürlich mache ich jetzt sowas nicht mehr.....Software aus zweifelhaften Quellen runter laden und installieren....). Dann habe ich mit Malwarebytes einen Scan durchgeführt: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4122 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 21.05.2010 10:06:37 mbam-log-2010-05-21 (10-06-37).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 139627 Laufzeit: 4 Minute(n), 34 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl\1 (Malware.Trace) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Habe den Registrierungswert natürlich entfernt. Was um alles in der Welt ist/war das für eine Infektion? Wie kam die auf meinen Rechner? Ist bzw. war das "schlimm"? Ist sie jetzt weg oder muss ich neu Aufsetzen, was ich unter allen Umständen vermeiden will. Es handelt sich im Übrigen um meinen Arbeitsrechner mit dem ich ALLES mache, wie z. B. online banking usw. Es sind wichtige Daten und Programme drauf; das Neuaufsetzen des Systems würde Ewigkeiten dauern. Und noch eine (vielleicht etwas merkwürdige) Frage: Wäre es theoretisch möglich, dass mir jemand, der mich nicht mag und der einen eigenen Blog betreibt, den ich manchmal besuche, so eine Infizierung unterschiebt, wenn ich mit seiner Seite verbunden bin? EDIT: Oh Mann. Das Problem ist immer noch vorhanden. Gebe ich oben in das Suchfeld beim ff einen Begriff ein werde ich auf diese ominöse Seite umgeleitet und ein Fenster mit dem angeblichen Scan meines Computer startet. Man kann es auch nicht Abbrechen. Zum Schluss kommt dann die Anfrage meines Betriebssystem, ob ich eine "setup" - Datei installieren will, was ich natürlich nicht gemacht habe. |
Hallo, ich habe seit heute genau dasselbe Problem. Deshalb frag ich mich ob es nicht doch eher an Firefox liegt?! |
Ja, das denke ich ja auch, zumal ja auch "nur" ein Registry-Wert verändert war, (wenn dieser Fund von Malwarebytes überhaupt irgendwas damit zu tun hat). Ich habe gerade ff neu installiert und das Problem ist seitdem nicht mehr vorhanden. Mir geht es bloß darum, ganz sicher zu sein, dass das System niemals kompromittiert war/ist, was ich allerdings nicht wirklich glaube. |
Oh ist es weg? dann werd ich es wohl auch neu installieren. Also ich denke nicht, das etwas am System schaden genommen hat. |
Es SCHEINT weg zu sein. Ich habe ja auch nichts installiert. Die UAC ist bei mir auf höchste Stufe. Hätte es also mitbekommen müssen, falls sich Malware bei mir installieren wollte (meines Wissens nach). Mich würde bloss mal interessieren, wie firefox dann manipuliert wurde bzw. wie das dann genau abläuft. Schon merkwürdig. |
Das Gleich problem hatte ich gestern auch. ich habe nicht mal etwas herunter geladen ich war in Leo unterwegs und suchte nach einer englisch übersetzung als plötzlich firefox sich mit dieser Ominösen seite verbindet. Was danach passiert wissen wir ja alle. Was mich verwundert das Firefox sich danach immer wieder ab und zu mit dieser Seite verbindet oder wen man such begriffe eingibt die mit dem im zusammen hang stehen könnte, wie zb soul. Was ich mich auch frage was ist das für eine seite es wird kein Quellcode angezeigt und eine flash animation ist es auch nicht obwohl einem da so was wie einen Animation eines Viren befall vor gegaukelt wird. Es muss aber was ganz neues sein gestern fand ich noch keinen einzigen Forum eintrag betreffend diesem problem. Die seite selber The Soul Food Cafe existiert schon jedoch bin ich mir zu 100 sicher das ich nie auf dieser Seite war. da der schädlingspfad ja URL: dns.thesoulfoodcafe.com/main.php?e=4&h=www.thetwats.co.uk&i=Jcivi9cfo/ulgBj7VsdDz54XpA== ist. Naja warscheinlich agiert die seite ja auch nur als proxi dier sich mit den verschiednen Dns ports verbindet. jedoch ist mein Port absolut gesichert. Ah ja auch bei mir war es das gleiche antivre von avira hat nichts schädliches gefunden oder so. |
Ich habe auch dieses Problem und auch ich habe keine ominösen seiten besucht noch etwas runtergeladen, wo ich mir nich sicher war/bin das es meinem pc nicht schadet... :killpc: edit: scheinbar hängt es (nur) mit google zusammen...habe mal yahoo getestet, kam keine meldung |
So nun gehts ja los ey... Wenn ich unsere Hompages anwählen will, dann kommt gleich eine weiterleitung zu dieser Adresse: hxxp://dns.thesoulfoodcafe.com/main.php?i=Jc+jgtUbo/ysihj7VspBzZsXpA==&e=3 Anscheind hat jemand unseren server gehackt keine Ahnung, wenn meine kumpels unsere Hompages anklicken passiert das selbe daher befindet sich der Virus nicht auf meinen Rechner sondern irgendwo versteckt und unaufindbar auf unseren server anscheind. Verdammte Viren, die Leute die sowas erfinden sollten gehängt werden!!! Mfg. calle |
das ist nun eine sehr wage vermutung...vor kurzem waren ja einige (bzw. viele) .de domains nicht zu erreichen...gibt es vllt. auch eine möglichkeit, etwas zu basteln, das sich bei manchen .de domains die weiterleitung aktiviert? ich hab nicht sehr viel ahnung davon, also bitte nicht :aufsmaul: ist nur so ne idee ;) |
ZITAT hi, myself and other users have been getting warnings of a trojan when we visit the site. avg pops up with this. "The page you are trying to access has been identified as a known exploit, phishing, or social engineering web site and therefore has been blocked for your safety. Without protection, such as that in the AVG Security Toolbar and AVG, your computer is at risk of being compromised, corrupted or having your identity stolen. Please follow one of the suggestions below to continue. URL: dns.thesoulfoodcafe.com/main.php?e=4&h=www.thetwats.co.uk&i=Jcivi9cfo/ulgBj7VsdDz54XpA== Name: Rogue MCOS (type 1041)" when i checked inside the .htaccess file in the php folder it contains this content "ErrorDocument 500 hxxp://dns.thesoulfoodcafe.com/main.php ... 4XpA==&e=0 ErrorDocument 502 hxxp://dns.thesoulfoodcafe.com/main.php ... 4XpA==&e=2 ErrorDocument 403 hxxp://dns.thesoulfoodcafe.com/main.php ... 4XpA==&e=3 RewriteEngine On ... is it ok for me to simply delete this file and replace it with one from a backup? how did they mange to get access to our forum to do this? this is our second hack this year, the previous one was sending out mass emails. why do folks get kicks out of doing this stuff? ZITAT ENDE (konnte kein "quote" posten) anscheind haben nicht nur wir das problem |
Und konnte dem jemand schon weiterhelfen? Habe meine .htaccess Datei überprüft und siehe da, tatsache es befinden sich dort mehrere Einträge, allerdings kann ich damit jetzt nix anfangen da ich keine Ahnung von html usw. habe, das macht immer unser Webmaster und der hat sein Handy aus:pukeface: Edit: Habe mal bisschen nachgeforscht: hxxp://www.who.is/whois/thesoulfoodcafe.com/ Mfg. calle |
Da kam nur folgenden Antwort: Zitat:
Seit dem ich google nicht mehr benutzt habe, hatte ich auch keine probleme mehr |
Echt? Dann geh mal auf unsere Hompage und sage mir mal bitte ob diese bei dir funktioniert: www.ghettosoldiers.de Mfg. calle |
Sach, mal geht hier den ab?? Ich habe gerade die homepage www.ghettosoldiers.de angklickt und schon bin ich wieder auf der thesoulfoodcafe-Seite. Also ich versteh so langsam gar nichts mehr? Bin ich nun wieder infiziert bzw. war ich es überhaupt jemals? |
Nein das ist ja das was ich meine... es scheinen bestimmte server so wie unserer davon befallen zu sein, so das wenn man diese Hompages anwählt man sofort weitergeleitet wird auf diese drecks Hompage von den hacker leuten. Ich weiß im Augenblick nur das wir ohne unseren Webmaster hier nicht weiter kommen, es sei den jemand hat hier ein guten Tip. Edit: Das lustige ist, es reicht schon wenn man bestimmte seiten googelt, also nicht anklickt sondern nur ergoogelt wie z.b. ghettosoldiers, googel zeigt die gesuchten Ergebnisse an und schwubs schon meldet sich Norton Antivirus wieder ohne das man auf die Hompage gecklickt hat. Das ist verrückt sowas habe ich noch nie erlebt, da hat sich jemand richtig Mühe gegeben lol. Mfg. calle |
Ich bin ja nicht so der Experte. Ist es dann so eventuell zu verstehen, dass diverse Server gehackt wurden? Und wie ist das dann zu erklären, wenn ich nur einen bestimmte Suchbegriff in das google-Suchfeld von ff eingebe, sich sofort die Seite öffnet. Letztes ist bei mir übrigens nach der Neuinstallation nicht mehr vorhanden. Naja......aber wenigstens ist mein System sauber...so wie ich mir das jetzt erkläre. Zitat:
|
Ja es sollen mal Bitte die Trojaner board experten uns mit ihrenm Wissen beglücken^^ Nun ja da es scheint das immer mehr leute das Problem haben. Man findest auch immer wie mehr englische Einträge über das problem sogar Chinesische habe ich gefunden wen ich mein system und alles auf Chinesisch um stelle das gleich gilt auch für Spanisch, aber auch da sind es erst hilfe rufe und noch keine Antworten. |
Ha, mein Webmaster war online und hat unsern server wieder hinbekomm, noch weiß ich nicht genau was er jetzt gemacht hat und wie sowas überhauptmöglich ist, aber werde noch bericht erstatten ;) Mfg. calle |
Hallo allerseits, Unser kleines Forum ist ebenfalls betroffen. Klickt man oben den Link "Neue Beiträge", passiert folgendes: Das GData-Protokoll sieht so aus: Code: Beim Schließen der Datei "C:\Dokumente und Einstellungen\Dark-Raven\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\oytjxciz.default\Cache\A119749Bd01" wurde der Virus "JS:FakeAV-EI [Trj]" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein. |
Ok auch die Franzoesen hat es erwischt^^ Bonjour, voila j'ai été sur un site normal ( en l'occurance Univers Harry Potter). Lorsque je clique sur le lien pour afficher le site, la page se charge puis au bout de quelques secondes elle se ferme et une petite fenetre apparait. Sur celle ci il est marqué en anglais que mon ordi est blindé de virus et autres logiciels malveillants et qu'une analyse complete du systeme est necessaire. Sur cette meme fenetre 2 choix : soit accepter soit annuler. Mais lorsque je clique sur annuler,la croix rouge ou meme accepter il se passe le meme phenome : la petite fenetre s'ouvre et une page s'affiche avec la meme organisation que lorsque que l'on clique sur l'icone ordinateur du bureau (vous savez avec les differents disques durs (c..) et peripheriques). Sur cette meme page une barre de progression apparait et au fur et a mesure qu'elle avance il ma marque qu'il y a de plus en plus de trojan. J'ai donc fait une analyse avec malwarebytes,avira et spybot mais ils ont rien trouvé. Ce qui est bizare c'est que la page contenant les differents lecteurs et disques durs differe bcp de lamienne et autre fait etrange c'est ce qui est marqué sur l'entete de la petite fenetre :dns.thesoulfoodcafe.com. Ca sonne pas du tout virus ou autre. Du coup j'angoisse de plus en plus. Ca fait des années que je vais sur ce site et c'est la 1ere fois que j'ai un truc pareil qui m'arrive. Quelqu'un a deja rencontré se genre de phenomene? Est ce dangereux? connaossez vous un bon logiciel gratuit et efficace? merci d'avance Hallo voila Ich war auf einer normalen Webseite (nach Veranstaltungen in den Harry-Potter-Universum). Wenn ich auf den Link klicken, um die Website anzuzeigen, die Seite geladen wird dann nach ein paar Sekunden und es schließt sich ein kleines Fenster angezeigt. Auf diese ist es in Englisch beschriftet, wie mein Computer vor Viren und anderer schädlicher Software und eine vollständige Analyse des Systems abgeschirmt ist notwendig. Auf diesem Fenster zwei Möglichkeiten: entweder akzeptieren oder zu kündigen. Aber wenn ich auf Abbrechen klicken, öffnet sich das Rote Kreuz oder sogar akzeptieren es passiert das gleiche Phänomen: das kleine Fenster und zeigt eine Seite mit der gleichen Organisation, wenn Sie auf das Symbol klicken Desktop-PC (Sie wissen, mit verschiedenen Festplatten (c..) und peripheren). Auf der gleichen Seite ein Fortschrittsbalken angezeigt wird und wie es voran und es ist meine Marke, die mehr und mehr Trojaner. Also habe ich einen Scan mit Malwarebytes, Avira und Spybot fanden aber nichts. Was ist bizare ist, dass die Seite mit den verschiedenen Laufwerken und Festplatten bcp Lamien und andere seltsame Tatsache unterscheidet, ist, was auf den Kopf der kleinen Fenster gestempelt: dns.thesoulfoodcafe.com. Es klingt keine Viren oder andere. Plötzlich Ich mache mir Sorgen mehr und mehr. Es ist Jahre her, seit ich auf diese Seite gehen und ist das erste Mal habe ich so etwas passiert mir. Jemand hat bereits erfüllt ist Art von Phänomen? Ist das gefährlich? connaossez Ihnen eine gute Freeware und effektiv? |
Ok und da eine antwort: Tu as surement un rogue (Faux anti-virus) On va analyser ton PC Télécharge ZHPDiag sur ton bureau Télécharger ZHPDiag Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) - Clique sur la loupe pour lancer l'analyse. - Laisse l'outil travailler, il peut être assez long. - Ferme ZHPDiag en fin d'analyse. - Pour transmettre le rapport clique sur ce lien : Cijoint.fr - Service gratuit de dépôt de fichiers - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). - Sélectionne le fichier ZHPDiag.txt. - Clique sur "Cliquez ici pour déposer le fichier". - Un lien de cette forme : Cijoint.fr - Service gratuit de dépôt de fichiers est ajouté dans la page. - Copie ce lien dans ta réponse. Hallo Sie haben wahrscheinlich ein Schelm (Fake Anti-Virus) Wir analysieren Ihren PC Holen Sie sie auf Ihrem Desktop ZHPDiag Télécharger ZHPDiag Sobald der Download abgeschlossen ist klicken Sie doppelt auf ZHPDiag.exe und folgen den Anweisungen. /! Benutzer von Vista und Windows 7: Rechter Mausklick auf das Logo ZHPDiag.exe, "Ausführen als Administrator" Vergessen Sie nicht, das Kästchen, dass Sie eine Verknüpfung auf dem Desktop wird gestellt ticken. - Doppelklicken Sie auf die Verknüpfung auf Ihrem Desktop ZHPDiag zu starten. (/! Das Tool verfügt über zwei Ikonen und ZHPDiag ZHPFix erstellt) - Klicken Sie auf die Lupe, um die Analyse zu starten. - Lassen Sie das Werkzeug arbeiten, kann es ziemlich lange. - Farm ZHPDiag Ende Analyse. - Zur Übertragung der Bericht auf diesen Link klicken: Cijoint.fr - Service gratuit de dépôt de fichiers - Klicken Sie auf Durchsuchen, und für das Verzeichnis, in dem Sie installiert ZHPDiag (normalerweise C: \ Program Files \ ZHPDiag aussehen). - Wählen Sie die Datei ZHPDiag.txt. - Klicken Sie auf "Klicken Sie hier, um die Datei zu entfernen". - Ein Link zu diesem Formular: Cijoint.fr - Service gratuit de dépôt de fichiers ist an der Seite hinzugefügt. - Kopieren Sie diesen Link in Deine Antwort. |
Habe den Link mal auf einem virtuellen PC gestestet...Tatsächlich es ist der selbe Scan wie die anderen auch. Habe die Datei mal runtergeladen und installiert. Hat sich aber nichts getan komischer weise. Ich denke, dass es Antivirus 2010 sein wird. |
Seitdem ich auf Trojaner-board gegangen bin, hat sich gerade die Seite WinRAR archiver, a powerful tool to process RAR and ZIP files geöffnet. Die Seite sieht ein bisschen komisch aus.. |
was hat es nun da mit aufsich??? h xx p://www.pragmamx.org/Forum-topic-31301-start-msg198633.html ( soll keine werbung sein ;) ) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:44 Uhr. |
Copyright ©2000-2024, Trojaner-Board