|
Titel: Trojaner auf Pleite-was-nun Beitrag von: Dauerstress am 28. Dezember 2009, 18:59:58 Auf Grund einer Virenattacke war das Forum seit heute Morgen nicht erreichbar. Gleich nach dem Bekanntwerden habe ich alle betroffenen Teile der Webseite, so auch das Forum, offline genommen und mich an die Bereinigung gemacht. Inzwischen sollte wieder alles schadcodefrei sein und auch ordnungsgemäß funktionieren.
Im Moment ist mir noch nicht klar, welche Virenscanner diesen Trojaner erkennen. Internet Security 2010 schlägt jedenfalls nicht an, Kaspersky meldet nach Angabe einiger User "Trojan-Clicker.JS.Iframe.db ". Im Netz habe ich dazu bereits einige Informationen gefunden: Übelster Virus, Trojaner oder Hack im Umlauf (http://www.crazytoast.de/2009/12/tipps-und-tricks/uebelster-virus-trojaner-oder-hack-im-umlauf-trojan-agent-gen.html) FAQs und Schritte gegen den Virus Trojaner (http://www.crazytoast.de/2009/12/tipps-und-tricks/faqs-und-schritte-gegen-den-virus-trojan-agent-gen.html) Sollte jemanden etwas ungewöhnliches Auffallen, ein Virenscanner oder eine Firewall eine Meldung hier auf der Webseite verursachen oder irgendeine Funktion nicht ordnungsgemäß ausgeführt werden, dann bitte ich um kurze Info hier im Thread, per PN oder Mail. Offensichtlich habe ich eine infizierte Webseite besucht und mir so selber einen Trojaner eingefangen. Dieser hat anscheinend die Zugangsdaten aus meinem FTP-Programm dazu genutzt, diese Website sowie 3 weitere Domains zu infizieren. Dabei wurden einige Dateien mit einem Java-Script-Code versehen, der beim Ausruf wiederum versucht, diesen Trojaner beim Besucher zu platzieren. Den Java-Scriptcode von den Webseiten zu entfernen ist noch relativ einfach, gibt es dafür inzwischen ein kleines Script, welches alle betroffenen Dateien aufspürt um, wenn die nötigen Rechte vorliegen, auch gleich bereinigt. Der Trojaner selber ist allerdings hartnäckig und deutlich gefährlicher. Es ist nicht auszuschließen, dass dieser auch andere Zugangsdaten übermittelt oder weiteren Schadcode nachlädt. Erste Anzeichen für den Trojaner ist eine ungewöhnlich hohe Prozessorauslastung. Berichten zufolge belegt der svchost.exe-Prozess bis zu 100%, bei meinem Duo Core waren das 50%. Dies kann man sich mittels des Prozessmanagers ansehen, macht sich aber auch durch ein ungewöhnlich langsames System bemerkbar, wenn man nicht gerade mehr Prozessorkerne hat. Der Leelaufprozess bei Windows XP liegt bei mir z.B. ohne gestartete Anwendungen bei ca. 99%. Außerdem kann man ihn über msconfig finden. Dazu über die Schaltfläche „Start“ -> „Ausführen“ anwählen und im Fenster „msconfig“ eingeben. Unter dem Reiter „Systemstart“ findet man dann alle Programme, die beim Systemstart gestartet werden. Auf einem infizierten System ist dort „siszyd32.exe“ eingetragen. Hier sieht man auch wo sich die Datei befindet. Wer das Häkchen davor entfernt „übernehmen“ und „ok“ drückt und dann den PC neu startet, kann ihn deaktivieren, allerdings ist er dann noch nicht entfernt. Außerdem wird er, sobald man den „Normalen Systemstart“ anwählt wieder aktiv. Ich habe auf meine Suche kein Programm gefunden, dass den Schädling direkt im laufenden System findet. Auch nicht, wenn man ihn vorher mit msconfig abschaltet. Evt. funktioniert ein Onlinescan oder eines der vielen anderen Virenprogramme, allerdings hatte ich nicht die Zeit, dies zu prüfen. Gefunden wird der Trojaner von a-spared Free, wenn Windows im abgesicherten Modus (http://www.tippscout.de/windows-in-abgesicherter-modus-starten_tipp_2895.html) läuft, im Regelfall im Startmenü. Auch ein entfernen ist dann problemlos möglich. Von daher empfehle ich allen betroffenen Besuchern, die Pleite-was-nun in der Zeit von Sonntag, den 27.12.2009 von 14.00 Uhr bis Montag, den 28.12.2009 ca. 11.00 Uhr besucht haben, einen Scan mit a-squared Free (http://www.chip.de/downloads/a-squared-Free_12992945.html) im abgesicherten Modus. Betroffene Webseitenbetreiber, die Passwörter in ihren FTP-Programmen speichern, sollten darüber hinaus diese vorsorglich ändern, auch wenn ihre Webseiten bisher nicht betroffen sind. Utilities, die helfen könnten: a-squared Free (http://www.chip.de/downloads/a-squared-Free_12992945.html) Viren Scanner Microsoft Security Essentials (http://www.microsoft.com/Security_Essentials/) Echtzeitschutz für Microsoft Kunden http://seoforums.org/ (http://seoforums.org/site-optimization/118-script-gnu-gpl-try-window-onload-function-var.html) Info für betroffene Webseitenbetreiber mit HoTo zum Entfernen des Trojaners Sobald mir weitere Informationen vorliegen, werde ich die hier veröffentlichen. Bekannte Probleme: Titel: Re: Trojaner auf Pleite-was-nun Beitrag von: paps am 29. Dezember 2009, 10:15:36 Nachdem mich mein Virenscanner bei dem Besuch des Forums aufmerksam machte, dass die Website geschlossen wurde, da einige Aktionen als "verdächtig" eingestuft waren, hatte ich die ja informiert.
Prallel dazu kamen auch von einigen Usern Warnmeldungen bei mir per Mail an. Dafür, an dieser Stelle, nochmals allen aufmerksamen Nutzern Danke. Im Übrigen hat Avira den Tr nach dem Update vom 28.12. sofort gefunden. War im Userordner/Favoriten (eigener) versteckt. Titel: Re: Trojaner auf Pleite-was-nun Beitrag von: Dauerstress am 29. Dezember 2009, 13:58:42 Neben paps hatten sich auch bei mir auch zwei besorgte User gemeldet, bei denen ich mich schon per Mail bedankt habe.
@paps Scann sicherheitshalber noch mal im abgesicherten Modus oder schau mal im Prozessmanager auf die laufenden Prozesse. Der Trojaner steckte bei mir im Autostartordner und nannte sich siszyd32.exe |