Der Malware Test

[ayin]

Ich hab mir die Seite inklusive dem Gästebuch mal genauer angesehen und kann keine Auffälligkeiten entdecken. Weder ein Virscanner, noch eine Firewall, noch der Virenscanner springen darauf an. Es öffnet sich auch weder ein Link zu Porntube oder ähnlichem.

[Gabyg]

Ja, aber bekommst Du denn nicht die Meldung, dass die Seite als attackierend gemeldet wurde? Bei mir ist das immer noch so, obwohl die sauberen Dateien schon seit vorgestern oben sind. Bei der Überprüfung mit Google wird auch ein Befall mit Trojanern gemeldet, ist das nun veraltet oder aktuell?

Was passiert, wenn ich die Dateien vom Liveserver auf mein Laptop hole und dort scanne? Darauf habe ich nur Norton IS, aber dem vertraue ich nicht unbedingt (das Lappi ist neu und ich habe noch ein paar Tage Abo). Kann ich daneben zB Antivir installieren?

Danke schon mal für Ratschläge, tolles Forum hier, hab schon viel gelernt!
Liebe Grüße Gaby

[thbrueck]

Ich kann die Aussage von ayin nur bestätigen. Ich vermute mal, dass die Malware auf deinem PC lediglich deine Onlineaktionen beeinflusst hat. Das wäre dann die klassische Variante von "Browser HiJacking" - also dein Browser verlinkt ohne dein Zutun und deine Einwilligung zu solchen Websites wie "Porntube". Ich gehe mal davon aus, dass auch andere Besucher deiner Homepages (glücklicherweise) kein Browser- HiJacking erfahren mussten und du auch nach einer Neuinstallation davon verschont sein wirst.
Bleibt schlußendlich die Frage nach dem Infektionsweg ?
Eines kann man definitiv ausschließen: Die Malware kam nicht von allein auf den PC, wie dies bei einem ungepatchten System im Falle von Netzwerkwürmern möglich wäre. Es muss über unseriöse Websites oder Downloads geschehen sein, wenn evt. auch halbwegs unbewußt.

Dein HJT- Log zeigt außer den Trojaner- Einträgen kaum was auffälliges. Dies hier ist etwas merkwürdig:
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

Das deutet ja auf eine Installationsroutine hin ?

Wird der PC außer von dir, von anderen Personen genutzt ?

Was passiert, wenn ich die Dateien vom Liveserver auf mein Laptop hole und dort scanne? Darauf habe ich nur Norton IS, aber dem vertraue ich nicht unbedingt (das Lappi ist neu und ich habe noch ein paar Tage Abo). Kann ich daneben zB Antivir installieren?

Die Homepage- Dateien sind wohl sauber, sonst würden andere Besucher ebenfalls die Warnmeldungen bekommen. Woher bekommst du denn überhaupt diese Warnmeldungen ?

Klares NEIN, solange NIS installiert ist (und die Deinstallation ist oft ein Abenteuer) darf kein 2. Sicherheitsprogramm installiert werden.

Evt. würde die Datei hosts (c:\windows\system32\drivers\etc\hosts) Erkenntnisse bringen ?

Gruß,
Thomas

[ayin]

Ja, aber bekommst Du denn nicht die Meldung, dass die Seite als attackierend gemeldet wurde? Bei mir ist das immer noch so, obwohl die sauberen Dateien schon seit vorgestern oben sind. Bei der Überprüfung mit Google wird auch ein Befall mit Trojanern gemeldet, ist das nun veraltet oder aktuell?

Nein, ich bekomme keine solche Fehlermeldung. Was überprüfst du da mit Google?


Mit welchem Browser bist du überhaupt im Netz? Hast du schon mal eine Antispywaretool ala Spybot über deinen Rechner scannen lassen?

[Gabyg]

Hi, ja das hab ich gemacht. Die Meldung kommt auf, sobald ich die Seite aufrufe, egal ob von meinem (nun gerade abwesenden) Rechner, dem Laptop oder meinem Geschäfts-PC. Ich werde mal versuchen, ein Bild davon hier einzufügen, surfe mit Mozilla Firefox neueste Version und ich selber habe die porntube-Seite nicht gesehen, sondern ein Kollege meines Freundes, der sich in unser GB eintragen wollte. Also, wenns klappt, hier die Meldung
http://www.sv-konstanz.info/Attack.htm

Und wenn ich dann den Link anklicke, warum diese Seite blockiert wurde, kann ich unter webmaster Tools die Seite überprüfen lassen. Dabei wurde auch gemeldet, dass mindestens 1 Site infiziert sei...heute vormittag überprüft...
Nun bin ich aber doch ratlos, denn warum sehe ich, was Ihr nicht seht?
Gruß Gaby

[ayin]

So, jetzt hab ich es auch gesehen, und durch diesesn Link wird bei mir die Seite auch als gefährlich gemeldet. Ich denke, da ist einfach noch im Cache ders Browsers. Bei mir kommt das jetzt auch permanent. Das kann man denke ich ignorieren, nachdem auch auf dem Hinweis steht, dass seit über 90 Tagen keine Infektion vorhersschte und Google auch meldet, dass da nichts ist.

Am besten Google anmailen und den Eintrag entfernen lassen. Oder mit den Google WebMaster Tools die Seite neu prüfen lassen.

[thbrueck]

Sorry Leute, ich bekomme keinerlei Warnmeldungen beim Anklicken des geposteten Links. Ich habe sogar einen Gästebucheintrag vorgenommen (Vista & IE7).

Gruß,
Thomas

[Gabyg]

@thomas

Das deutet ja auf eine Installationsroutine hin ?
Wird der PC außer von dir, von anderen Personen genutzt ?

Ja, mein Freund nutzt ihn auch, und was der Kumpel gemacht hat, der den Rechner aufgesetzt hat, weiß ich nicht. Ich hatte ihn schon mal dort zur Überprüfung, weil er so langsam geworden war, ich dachte, es läge an der zu kleinen Partition von C:/ - evtl. war es aber doch ein Virus? Nun gut, die Platte ist mittlerweile wohl schon formatiert, aber ich bin durchaus lernwillig und bereit, mich bei meinen zukünftigen Aktionen mehr abzusichern.

Und es ist ja klar, dass die Malware irgendwie drauf gekommen sein muss (nur ich für meine Person kann ausschließen, auf unseriöse Seiten gegangen zu sein). Was mein Freund in seiner Freizeit macht, kontrolliere ich nicht - aber ich werde ihm mal einen zarten Hinweis geben...

Alsdann, ich hoffe, dass Google (oder wer auch immer) diese Meldung bald zurückzieht.
Ich halte Euch auf dem Laufenden,
Gruß Gaby

[Gabyg]

Sorry Leute, ich bekomme keinerlei Warnmeldungen beim Anklicken des geposteten Links. Ich habe sogar einen Gästebucheintrag vorgenommen (Vista & IE7

Vielleicht probierst Du es mal mit Firefox? Bei mir im Büro ist der IE abgestürzt, als ich die Seite aufgerufen habe.

Gruß Gaby

[thbrueck]

Sehr gut Gaby - ich sehe du bist auf dem richtigen Weg. Es gibt natürlich Möglichkeiten, die angesurften Internetpräsenzen nachträglich herauszufinden, doch soweit sollte man nicht gehen und diese Möglichkeiten ausschöpfen, nur um herauszufinden, wer schuld an der Misere ist/war. Bei schwerwiegenden Problemen wäre das was anderes, aber nach einer Formatierung deutlich schwieriger und aufwendiger...

Wichtig ist zunächst, dass man erkannt hat, dass ein Leck im Sicherheitskonzept zu stopfen ist, um solche Dinge zukünftig vermeiden zu können. Dieses Forum ist schon die richtige Anlaufstelle...

Gruß,
Thomas