Trojaner auf meiner Seite

Hallo,

mein Antivirusprogramm sagt das auf meiner seite ein trojaner sein unwesen treibt.

was kann ich dagegen nun unternehmen um den angeblichen trojaner loszuwerden? wäre nett wenn mir jemand helfen könnte^^

meine seite: www.seelen.bplaced.net

erstmal die genaue Meldung posten :wink:

[quote]
Das Objekt ist mit Trojan-Downloader.JS.Pegel.c infiziert[/quote]

Seht nach einen neueren Trojaner aus. *
google.ch/search?hl=de&q=%22 … Pegel.c%22

Poste evtl. den Quelltext hier ins Forum. (MySQL Logins Username, PWs ect… mit ***** überschreiben)

Die Index Datei hier => virustotal.com/de/ Hochladen.

// Edit: *ist es auch - kaspersky.com/viruswatchlite … irus=Pegel (Evtl. “false positive”)

Mir ist es wichtig, die komplette Meldung zu kennen, weil darin oft steht, welche Datei genau infiziert sein soll

Mir ist es wichtig, die komplette Meldung zu kennen, weil darin oft steht, welche Datei genau infiziert sein soll[/quote]

Hier, die Meldung von Kaspersky:

Gehört das in den Quellcode?

[code]

[/code]

[quote=„iNaD“]Gehört das in den Quellcode?

[code]/Exception/ document.write(’

[/code][/quote]

lol, KIS erkennt den Virus wenn ich deinen Beitrag Zitiere :ps:


iNaD von wo hast du denn Code her? (Linux User :slight_smile: )

@sumda:
Du hast so wie es ausseht einen neuen Virus auf deinem PC der (vermutlich) in .php,.php4,*.php5, *.htm, *.html ect. ein Script einschleust.

Fast wie Gumblar, kaspersky.com/de/news?id=207566269. :wink:

Das Script stammt aus dem Seitenquelltext der Index (nicht durch die tk-Domain, die ja nur einen Frame darstellt) ganz unten.

Scheint wahrlich ein Schadcode zu sein…

ok,
ich habe jetzt die index datei gelöscht und sie nochmal von meinem jetzt nicht mehr infizierten computer hochgeladen…
scheint jetzt wieder alles normal zu sein…

danke für eure Hilfe :wink:

@fishi: also mein Windows 7 Professional + FF 3.6 + Avira Antivir Free haben mich nicht dran gehinder das zu sehen :ps: auch nicht mein Proxy^^ Man muss halt mal nach Auffälligkeiten schauen :wink:

Avira Antivir hat ja auch kein Webschutz wie z.B. Avast! ihn hat :stuck_out_tongue: Oder halt einige Kaufprogramme aber dennoch net alle.

Webschutz hin oder her, Avira hat bei der Free Version einen Guard, dieser Sucht auch im Cache (Aktiv!) nach Schädlichen Inhalten. - Könnte sein das Avira den noch nicht in der Datenbank hat. Dies ist auch der fall… virustotal.com/de/analisis/9 … 1264449808
Anmerkung: Nur den Code von viewtopic.php?p=292668#p292668 in dieser .html Datei! - Wer es nicht glaubt kann es ja Testen…ABER DIE DATEI NICHT ÖFFNEN!

Jap fishi hat Recht. Sobald eine Seite einen Virus in den Cache schreibt, welchen Antivir kennt, ansonsten kann es ihn schlecht erkennen^^, meldet sich Antivir. Also hier mal keine Behauptungen aufstellen das könnte es nicht…

Hallo Erstmal! Wie ich sehe, hast Du ebenfalls das Problem, einem alten “bekannten” von mir…
Ich hatte dasselbe Problem (Pünktlich zum 1.1.2010 fing es an…). Bei mir waren von diesem Script ca. 60 meiner Websites “betroffen”! Wie sich im Nachhinein herausgestellt hat, ist ein Hacker durch (wie ich leider zugeben muss) durch eine auf meinem Rechner gespeicherte Excel Tabelle in den Besitz meiner SÄMTLICHEN FTP Passwörter gelangt, und hat jegliche index*.* sowie *.js dateien mit dem selben script infiziert! Da ich zunächst NICHT angenommen habe, das mein (lokaler) PC infiziert war, habe ich SÄMTLICHE FTP Passwörter geändert, und UMGEHEND den Schad-Code entfernt bzw. die kompletten Dateien durch Backups ersetzt! Wie sich aber leider Zeigte, dauerte es keine 12 Stunden, und schon wieder war der Schad-Code ERNEUT in meinen Websites! Nachdem ich (von einem 100% NICHT Infizierten Rechner aus meine FTP Passwörter geändert, und erneut die “Sauberen” Dateien wieder hochgeladen hatte, war endlich Ruhe! Also ich kann Dir nur Raten, Deinen Rechner zu Scannen (besser noch - wie ich auch), das Komplette Betriebssystem NEU aufzusetzen( Bei der Gelegenheit habe -ich zumindest- direkt von Win XP auf das -etwas sicherere- Win 7 umgestellt). Nach meinen Infos war dieser Hacker, wenn man es so nennen kann, “SEHR FLEISSIG”! Habe eine Site gefunden, auf der Unzählige Varianten des MEHRFACH veränderten Versionen zu finden sind, bei denen Subdomains wie G**gle und vielen anderen NAMHAFTEN Websites vor die immer auf *.RU endenden TLDs geschrieben wurden, um “Seriösität” vorzutäuschen! Zusätzlich wurde “KACKDREIST” noch GNU / GPL vor das Schad-Script geknallt! Falls jemand sich die Mühe macht, die IP Adresse oder (NOCH LIEBER) die Wohn-Anschrift des Hackers zu ermitteln, wäre ich über eine Info SEHR Dankbar! Denn ich würde den/diejenigen gerne mal zu Hause Besuchen, um mich PERSÖNLICH für den entstandenen Schaden + Arbeitsaufwand PERSÖNLICH zu “bedanken”!

Falls weiterer Informationsbedarf zu meinen Recherchen besteht, oder mir jemand die Möglichkeit geben möchte, mich persönlich bei dem/den Hackern zu “bedanken” einfach PN an mich!

Gruss mazze