Computer

[gxakai2002]

Hallo Leute,
ich hoffe das ich hier richtig bin, mit meiner Frage !
Geschrieben an avira.
Sehr geehrte Damen und Herren,
bis heute kann ich in meiner HP keinen Eintrag, oder
Löschvorgang durchführen.
Auch geht das nicht über Mozilla Firefox. Ich komme zwar über Mozilla in
meine HP ohne Virus - Meldung rein, kann aber die HP nicht bearbeiten.
Die HP ist total Blockiert. Es hat sich auch bisher keiner von Anti Virus
gemeldet, wie der Virus zu löschen geht. Nach wie vor, ist alles beim alten.
Wer kann denn nun das Problem ? LÖSEN ?.

Leider habe ich immer noch ÄRGER mit meiner HP. Ich kann immer noch nicht meine HP bearbeiten. Auch hat avira auch noch keinen Kommentar gesendet, wie ich meinen Virus von der HP los werde. Alle die den Roten Schirm haben, bekommen eine Warnmeldung, wenn diese auf meine HP gehen.
Ist zwar harmlos und kann gelöscht werden, ärgerlich ist es aber trotzdem, wenn einer so ein Kuckucksei ins Nest legt. Auch habe ich Avira eine Mail gesendet, aber wer weiß, ob ich Bescheid bekomme. Kontent habe ich auch angeschrieben. Bin schon am überlegen ob ich meine HP - AUFLÖSE. Was kann man da sonst noch machen ! Mein Spezi, ( PC Fachmann )
ist zur Zeit in Urlaub. Es ist der HTML/Crypted. Gen. Im Internet sind auch jede Menge, die sich den eingefangen haben. Aber wie sieht eine Lösung aus ! den zu löschen. Über eine Lösung von Euch würde ich mich freuen.
Gruß
Hermann

[timo]

gxakai2002 postete
Alle die den Roten Schirm haben

Was steht denn auf dem roten Schirm?

[Frank]

´
Kannst Du denn nicht mit einem FTP- Programm die HP komplett runternehmen und anschließend neu hochladen?

Eine lokale Kopie hast Du doch hoffentlich?

@ Timo: Mit dem roten Schirm meint Hermann sicher das Avira- Logo bzw. das ganze Programm.

[GXNet]

Hallo in die Runde,

Hmmm, irgendwie passt da was nicht zusammen oder es fehlen Informationen. Mögliche Hilfen:

1. Bitte deinen Provider dein Verzeichnis zu löschen.

2. Den Antivirus habe ich auf allen meinen Maschinen runtergeschmissen, weil er sich nicht abschalten läßt und so manche Videoaufnahme versaut hat. Das Ding taugt nüscht. Lässt sich nicht kontrollieren.

3. Mein Tipp: AVG

4. Wie Frank schon sagte, mit einem FTP-Programm (Z.B: FileZilla) per FTP die Seite bzw. die CGI oder PHP Scritps löschen.

5. Falls auf deiner Seite wirklich ein Virus ist, müßte sich eigentlich dein Provider bei dir gemeldet haben. Der wird sicher auch seine Platten prüfen. Vermutlich ist es aber nur ein harmloses Script auf den dein AV reagiert.

6. Dem AV via Firewall den Zugang aufs WEB verbieten.

VG
Michael

[arti296]

hallo Hermann,

ich tippe auf ein merkwürdig aussehendes javascript, das man im quellcode der seite entdecken kann. anbei ein verkürzter screenshot. die rotumrandete seeehr lange zeile würde ich komplett (von <script ...bis... /script> entfernen und noch mal einen test machen. vielleicht hilft es ja.





schöne grüße :-)x Michael

[gxakai2002]

Hallo Leute,
leider bin ich nicht in der Lage meinen PC so zu bedienen wie Ihr es mir alle schreibt. Ein Forum - Mitglied schrieb mir vor einer Woche, daß meine HP Seite einen Virus hätte. Da war es aber schon zu spät. Wenn ich meine HP anklicke kommt sofort zweimal die Antivirus Warnung. Danach kann ich auf meine HP zugreifen, aber auch nur darin rumblättern. Gehe ich über Mozilla Firefox auf meine HP kommt keine Warnung. Meine HP kann ich über den Netscape Communicator bearbeiten, will ich das aber über meinen Anbieter (Kontent) im Windows Commander ändern, geht nicht. Meine HP ist auch über Mozilla total blockiert. Der Virus kommt immer wieder. An Kontent und Avira habe ich die Sachlage schon gesendet.
Mein PC Fachmann ist noch in Urlaub. Vierzehn Tage vorher haben wir einen Spiegel vom PC, auf die zweite Festplatte erstellt. Wie das geht, die HP zu löschen und wieder zu laden ??? das kann mein Spezi machen. Ich kann es nicht SORRY. Vielleicht höre ich ja in der Arbeitswoche etwas von Kontent - Avira. Danke Euch für jede Info und Lösung, die es leichter macht den Virus auf meinen PC zu löschen. Das nervt ungemein.
Gruß
Hermann

[timo]

Das erste, was mir auffällt: Wenn ich Hermanns Seite öffne, wird mir sofort eine PDF-Datei zum Download angeboten.



Hat man den Dokumententyp PDF im Browser standardmäßig auf "Öffnen" gesetzt, wird sie sofort heruntergeladen und die verknüpfte Applikation (in den meisten Fällen wohl der Adobe Reader) gestartet. Möglicherweise handelt es sich hier um eine "verseuchte" Datei, die eine Sicherheitslücke ausnutzen will.

Ich habe sie mal todesmutig mit xpdf geöffnet, und es steht nichts drin.

Das JavaScript, das sich in den oben bereits gezeigten ASCII-Codes verbirgt, habe ich mir mal im Klartext ausgeben lassen. Ich stelle es lieber nicht hier ein, um mich nicht der Verbreitung von Schadcode verdächtig zu machen. Es ist extrem kryptisch und auf Anhieb nicht zu verstehen.

Ich denke auch, daß man als erstes mal diese Skript-Zeile entfernen sollte. Vielleicht ist das die Lösung.

Hermann, kannst Du die Seite zumindest abschalten, bis Dein Bekannter wieder da ist?

[esla]

Hallo Hermann, hallo Timo

ich habe es mir auch mal angeschaut. Auch mit Firefox, aber der meldet mir keinen Fehler. In der Tat ist aber mit hoher Wahrscheinlichkeit das Javascript, auf welches Michael schon aufmerksam machte, dafür zuständig: http://www.phpfreaks.com/forums/index.ph...c=254457.0 und dort mal den vierten Eintrag lesen.

Wie bekommst Du denn Deine Webseiten auf Deine Homepage, Hermann? Mit irgendetwas musst Du diese doch erstellen und auf Deinen Webspace laden. Ich nehme an, der FTP-Client (FTP = File Transfer Protocol) ist da miteingebaut. Zur Not halt zuerst nochmal die index.htm oder index.html "drüberbügeln" um den Schadcode zu eleminieren.

@Timo: Ich habe jetzt auch eine ganze Weile dran gesessen, den Code zu decodieren. Ist zwar kryptisch aufgebaut, geht aber doch recht einfach. Ich stimme Dir aber darin zu diesen Code hier nicht weitergehend aufzudröseln oder so etwas.

Gruß Jens

[esla]

esla postete
Hallo Hermann, hallo Timo

ich habe es mir auch mal angeschaut. Auch mit Firefox, aber der meldet mir keinen Fehler. In der Tat ist aber mit hoher Wahrscheinlichkeit das Javascript, auf welches Michael schon aufmerksam machte, dafür zuständig: http://www.phpfreaks.com/forums/index.ph...c=254457.0 und dort mal den vierten Eintrag lesen.

Wie bekommst Du denn Deine Webseiten auf Deine Homepage, Hermann? Mit irgendetwas musst Du diese doch erstellen und auf Deinen Webspace laden. Ich nehme an, der FTP-Client (FTP = File Transfer Protocol) ist da miteingebaut. Zur Not halt zuerst nochmal die index.htm oder index.html "drüberbügeln" um den Schadcode zu eleminieren.

@Timo: Ich habe jetzt auch eine ganze Weile dran gesessen, den Code zu decodieren. Ist zwar kryptisch aufgebaut, geht aber doch recht einfach. Ich stimme Dir aber darin zu diesen Code hier nicht weitergehend aufzudröseln oder so etwas. Allerdings ist die Frage - wie kommt der auf die Webseite???

Gruß Jens

Upps, auf Zitat statt Editieren gedrückt - sorry.

[arti296]

hallo zusammen,

Hermann und ich haben eben eine etwas längere telephonsession gehabt. in dessen verlauf habe ich diese "index.htm" editieren und von besagtem javascript befreien können. anschließend habe ich sie wieder aufgespielt. jetzt sollte das javascript nicht mehr erscheinen...

wie sieht es - nach leeren sämtlicher browsercaches, verlaufdateien usw. - in den windowsbrowsern aus? ist nun alles wieder ok?

beste grüße :-)x Michael

[esla]

Ich hatte mich vorhin schon gewundert. Da ich mir das "Ergebnis", also mit dem Script, nochmals unter Linux anschauen wollte habe ich die SuSE gebootet. Plötzlich war es im Seitenquelltext nicht mehr da! Gut gemacht! Die Frage bleibt allerdings, wie der Scripteintrag dorthin kam.

Gruß Jens

[timo]

esla postete
@Timo: Ich habe jetzt auch eine ganze Weile dran gesessen, den Code zu decodieren. Ist zwar kryptisch aufgebaut, geht aber doch recht einfach.

Ja, es ist keine Wissenschaft, aber erfordert zum Verständnis ein bißchen Aufschlüsselung. Letztendlich baut er sich nur etwas umständlich die Download-URL für das angebliche PDF-Dokument zusammen, das tatsächlich ein PHP-Skript ist.

Die Domain, auf die das Cross-Site-Scripting verzweigt, ist übrigens erstaunlicherweise in den USA registriert. Möglicherweise weiß der Inhaber gar nicht, daß er Schadcode hostet.

[gxakai2002]

Moin,
nach dem Michael einiges erledigen konnte, ist die HP - und der PC noch nicht entseucht. Ein Trojaner hat sich auch noch durchgemogelt. Windows Security und Antivirus System Pro alert melden sich ständig. Der Browser bei mir soll wohl auch verseucht sein (laut Michael). Wo das alles her kommt ??? Wenn ich im Microsoft Internet Explorer meine www. rein gebe, bekomme ich sofort den alten Virus - gehe ich über Mozilla in meine HP, ist alles OK. Was lohnt sich nun auf dem PC von 2003 zu machen ! Wie kann ich meinen PC besser schützen !.Ich bin mit meinem Latein am Ende. Hoffe nur das mein PC Spezi sich bald Meldet. Durch die Antworten von Euch, sind wohl Ansatzpunkte, wie weiter vorgegangen werden kann. Mal sehen wie es weiter geht. Danke.
Gruß
Hermann

[arti296]

hallo zusammen,

so ein mist. habe es eben gesehen. die "index.htm" als auch die "home.htm" wurden heute morgen gegen 11 uhr wieder verändert und mit dubiosen javascripten versehen, die da nicht ganz bestimmt hingehören. wenn Hermann nicht versucht hat etwas zu aktualisieren, dann hat jemand user- und passwortnamen.

ich habe diese scripten aus dem htmlcode eben wieder rausgenommen. vielleicht sollten wir das tatsächlich das passwort ändern, wie Jens es gestern schon vorgeschlagen hatte...

schöne grüße :-)x Michael

[mash]

http://www.heise.de/newsticker/Zehntause...ung/139780

Vielleicht gehört Hermann auch zu den Opfern...

[gxakai2002]

Moin Moin,
was nun Eigenartig ist, seit Sonntag dem 7.6. habe ich keine ständige Virus - Warnung mehr auf meinem PC, nach dem Hochfahren. Bin auch noch nicht auf meiner HP, oder einer anderen Seite gewesen. Am PC sind noch keine Wartungsarbeiten durchgeführt worden. Oder ist das die Ruhe vor dem Sturm!
Gruß
Hermann

[esla]

Hallo Hermann,

im Seitenquelltext Deiner HP ist das Javascript auch nicht mehr drin. Deshalb bekommst Du keine Warnungen mehr. Hat Michael das HP-Pwd geändert? Dann wäre den Eindringlingen, die den Quellcode Deiner HP veränderten, erst einmal der Zugriff verwehrt.

Gruß Jens

[arti296]

hallo Jens,

vielen dank nochmals für Deine pm und Michael (mash) für seinen hinweis auf die heisemeldung. sehr hilfreich :-)

das passwort hatte ich geändert, eine php-option deaktiviert und auch den html-code bereinigt. das ist jetzt etwa eine woche her und... ruhe ist eingekehrt. wunderbar. heute habe ich Hermann empfohlen - trotz ausbleibenden virenalarms auf seinem rechner, ihn auf alle fälle checken zu lassen... bevor er seine homepage überarbeitet. sonst geht der spaß möglicherweise doch wieder los.

beste grüße :-)x Michael

[gxakai2002]

Wie schon geschrieben, warte ich schön bis alles wieder OK ist.
Ich freue mich über die 100% tigen Aussagen, (ohne Umschweifen) die meinen
PC betreffen. Prima. Danke erst einmal an ALLE. Mal sehen wie es weiter geht.
Gruß
Hermann

[gxakai2002]

Moin,
mein PC ist wieder sauber.
Danke an alle, die das Problem für mich angegangen sind.
Einen besonderen Dank an Michael, der für mich Zeit hatte.
Gruß
Hermann