Seite 1 von 1
Virus auf eigener Homepage
Verfasst: Mo 26. Nov 2007, 15:35
von Rbohli
Hallo ich mache über unsere Spieler eine eigene Seite.
Seit paar Tagen hab ich auf meiner Homepage einen Virus drauf.
Der kommt nur übern IE.
Kaspersky meldet sich gleich beim aufrufen der Startseite.
Kann mir wer sagen was der Trojaner auf meiner Seite bezweckt?????
Wie könnt ich eigentlich meine Seite Scannen?
Ein Backup von meiner Seite hab ich leider nich gemacht , selber Schuld , ich weis.
Als anmerkung vieleicht noch... der isses
Trojan-Downloader.JS.Psyme.hz
was macht der denn??? aber wie werd ich den auf meiner Internetseite wieder los???
Bitte echt um hilfe........ und zwar hier
http://www.CDP-Team.de
Viele Grüßeee
Re: Virus auf eigener Homepage
Verfasst: Mo 26. Nov 2007, 16:26
von thbrueck
Also, deine Homepage funktioniert soweit, ohne daß Virusmeldungen auftauchen. Ich vermute mal, daß das Virus, falls es überhaupt eines ist, auf deinem Rechner zu suchen ist. Evt. versuchen andere Kollegen hier auch mal, ob sie beim Besuch der Homepage eine Virusmeldung bekommen...
Gib mal bitte an, welcher Virenscanner dieses Virus meldet, am besten einen Screenshot der Meldung !
Gruß,
TB
Re: Virus auf eigener Homepage
Verfasst: Mo 26. Nov 2007, 16:51
von thbrueck
Recherchen haben ergeben, daß JS.Psyme.hz über ein sog. IFrame auf der Homepage über Javascript Malware auf Clients, die die verseuchte Homepage besuchen, laden, sofern kein Viren- oder Malwarescanner dies verhindert. Es soll sich um ein Virus handeln, das auf den IRC Worm
Fagot aufbaut und sich über solche Kanäle wie ICQ verbreitet. Das sind aber auch nur wage Spekulationen.
Ich gehe mal davon aus, daß deine Homepage ein vorgefertigter Baukasten eines Anbieters ist. Im Quellcode konnte ich auch kein IFrame finden...
Also sollte man tatsächlich die Meldung deines Virenscanners präzise auswerten - alles andere ist sinnlose Spekulation !
Gruß,
TB
Re: Virus auf eigener Homepage
Verfasst: Mo 26. Nov 2007, 18:48
von Rbohli
Ja recht vielen Dank bisher für eure schnellen Antworten ! ! klasse....
Antivir hat gleich 3 Viren angemeckert : HTML/ADODB.Exploid.gen
TR/PWS.Sinowal.gen
und den in meinem ersten Beitrag
danach kam noch "//.....tmpms h5.exe konnte nicht gefunden werden.stellen sie sicher.................
also sollte da was gestartet werden?Nur diese Exe kenn ich von keinem Programm auf meinem Rechner
also muß da schon was sein....
Aber was mach ich denn nun?
Leider kommen neuerdings die Virenwarnungen auch bei Firefox.
Wie krieg ich das wieder weg?Auch bei anderen Usern der Seite kommen diese Warnungen....
diesen Screen hab ich mit Kaspersky gemacht , Antivir hab ich gelöscht...
Und auf meine Seite komm ich auch nich mehr,wird ja geblockt.
Die Seite ist mit PHP-Kit 1.6.1 gemacht.Das Design ist ist ein vorgefertigtes,jedoch von mir mit viel Mühe umgeändert.....
Wie kann ich denn überhaupt meine Seite auf Viren oder sowas Scannen????Ich wüßt jetzt nicht wie .Einfach ein Antiviren Programm hochziehen und installieren?
Re: Virus auf eigener Homepage
Verfasst: Mo 26. Nov 2007, 20:57
von thbrueck
So, nun habe ich mal deine Homepage erneut mit anderen PC aufgerufen:
Der
Avast Virenscanner meldet dies hier:
Das bedeutet, daß tatsächlich "aktiver" Malwarecode versucht auf das PC- System zu gelangen, um evt. sich dort einzunisten. Schau dir genau deine Scripte an, die du geschrieben hast, ob du dort irgendwo den Text
http://tipocnt.com/id/ment/index.php?b=3 finden kannst. Das müßte eigentlich direkt auf deiner Startseite zu finden sein. Warum ist dort dieser Eintrag ?
Ich konnte den Eintrag im Quelltext nicht finden...
Evt. ist der Link auch getarnt und geht erst einen anderen Weg ?
Das sind die externen Links, die ich finden konnte. Alles andere sind interne Links innerhalb deines Webspaces. Du bist der Webmaster und kannst die Links temporär deaktivieren und einzeln wieder nacheinander aktivieren. So kannst herausfinden, welches das "faule Ei" ist. Wenn es ein interner Link ist, kannst du ja alle Daten per FTP oder HTTP downloaden und mit einem Virenscanner und/oder Malwarescanner überprüfen. Ein weiterer Aspekt wäre, ob du deinen (kostenlosen) Anbietern vertrauen kannst. Tatsache ist, daß du eine potentiell gefährliche Homepage besitzt, die aus dem Verkehr genommen gehört, wenn du nicht schnellst möglich was unternimmst.
Es wäre also auch zu klären, wie und womit du die Websites erstellt hast...
Außerdem solltest du unbedingt die vorhandenen Viren auf deinem PC löschen. Allem Anschein nach befinden sie sich in den Temp- Verzeichnissen deiner Browser und konnten dank des Virenscanners noch nicht aktiv werden. Lösche die kompletten Temp- Ordner am besten im abgesicherten Modus. Scanne anschließend nochmals mit Virenscanner und Antimalwaretool.
Melde dich dann wieder! (Jede Info kann wichtig sein...)
Gruß,
TB
Re: Virus auf eigener Homepage
Verfasst: Mi 28. Nov 2007, 21:38
von Rbohli
Also mein Rechner ist Clean.Den Satz hier
http://tipocnt.com/id/ment/index.php?b=3 konnt ich nirgens finden.Wenn du mal meine Seite schaust,ich hab alle Kategorien gesperrt,jedoch kommt immer noch die Virus-warnung.Also ist alles direkt auf der Startseite.Ich bin nun ratlos.Ich denke das ich die Seite komplett neu aufsetze,jedoch wo ist die Sicherheitslücke ?Würde ja kaum was nützen wenn ich 3 Wochen später den selben mist wieder habe...
Die Links die du oben aufgeführt hast sind auch alle soweit ok.
Ich werd mal alle Bilder uploaden,obwohl ich nich glaube das da der Trojaner hängt,aber irgendwo muß ich ansetzen....ich meld mich wieder,für Hilfe oder Ratschläge bin ich dankbar ! ! !
Aber eins will ich auch noch loswerden : Ein kleines Forum mit großer Hilfe hier !! Ich hab mich ans PC-Weld-Forum vorher gewand.....das Ergebnis kann man stecken lassen......Danke nochmals an "FORENWANDLER "für den Tip!!!
Re: Virus auf eigener Homepage
Verfasst: Do 29. Nov 2007, 11:50
von thbrueck
Hallo
Rbohli,
ich bin nun zu dem Schluß gekommen, daß es sich um ein sog.
False Positive handelt, also ein Fehlalarm verschiedener Virenscanner.
Dazu hier mal das Ergebnis von
http://www.virustotal.com:
Wie man sieht, sind sich die Virenscanner untereinander nicht einig. Die Namen der angegebenen Viren unterscheiden sich bzw. beschreiben nicht eindeutig ein bekanntes Virus. Vermutlich bist du mit einem
Javascript verdächtig nahe an eine Heuristik eines JS- Exploits herangekommen. Nach meiner Einschätzung gibt's auf deiner Homepage kein Virus (Exploit), jedoch Besucher werden durch evt. Warnungen des entsprechenden Virenscanners alarmiert. Das kann nicht in deinem Sinne sein! Du solltest testweise mal deine Startseite gegen ein einfaches
"Hallo Welt mit gewöhnlichem HTML austauschen. Ich bin mir weitgehend sicher, daß dann kein Virenscanner mehr anschlägt.
IFrames konnte ich nicht entdecken...
Dir bleibt nichts anderes übrig, als deine Startseite jeweils neu hochzuladen und dabei der Reihe nach, die einzelnen
Javascripts mal temporär rauszunehmen, damit du das vermeintlich als
Exploit erkannte Script herausfiltern kannst. Wenn du es gefunden hast, kann man evt. durch kleine Veränderungen am Code die Sache abstellen...
Dein Spiel nun !!!
Gruß,
TB