Malware Warnung - was mach ich jetzt

[30STM]

Hallo - ich hoffe in dieser Rubrik ist meine Hilfeanfrage richtig (sonst bitte verschieben).

Ich habe ein Forum auf dem etliche User seit ein paar Tagen Warnungen vor Malware oder Trojanern bekommen. Da ich es selbst nicht angezeigt kriege (auch nicht, wenn ich mich mit einem Testaccount einlogge), kann ich nur die Info weitergeben, die mir von den Usern mitgeteilt wurde. Ein paar Screenshots wurden auch gemacht von den Warnungen.
z.B. steht dann dort
(PID:5376): Download des Objekts Link entfernt (Superanton) //data0000. Es enthält trojanisches Programm Exploit.JS.Pdfka.dhq.

Scheinbar läd sich immer automatisch eine pdf oder Ähnliches herunter, wenn meine User versuchen sich einzuloggen.

Mein Problem ist, dass ich mich zwar auf der Bedienoberfläche des Forums zurecht finde, aber für alles weitergehende muss ich Hilfe und möglichst eine Anleitung haben.

Vorübergehend habe ich das Forum gesperrt, damit ich den Fehler bzw. den Virus etc. finden und beheben kann.

Meine benutzte Version ist 3.0.7-PL1. Ich weiß, dass es eine neuere gibt, aber ich wollte erst die Malware aus dem System haben, bevor ich aktualisiere.

Könnt Ihr mir helfen und was braucht Ihr noch an Info, damit Ihr mir helfen könnt.

Liebe Grüße

Steffi

[markus giersch]

Ich habe die Kaspersky Vollversion.

Bei http://pikkjiss.cz.cc/818e1d.pdf läd sich bei mir keien pdf runter, sondern ich werde direkt weiter geleitet auf http://www.dsnextgen.com

Das andere mit data0000 ("http://pikkjiss.cz.cc/818e1d.pdf //data0000" ) klicke ich lieber nicht an... Am Ende erkennt das Kaspersky nicht...

Aber eine andere Frage; Wieso wird bei Dir während des Logins eine Datei runter geladen? Da musste doch was hinzu editiert haben?

Ich habe mal die Seite online gecheckt

http://www.virustotal.com/url-scan/repo ... 1303422931

Ergebniss:

URL analysis tool Result
Avira Clean site
BitDefender Malware site
Dr.Web Clean site
Firefox Malware site
G-Data Malware site
Google Safebrowsing Malware site
Malc0de Database Clean site
MalwareDomainList Clean site
Opera Clean site
ParetoLogic Clean site
Phishtank Clean site
TrendMicro Malware site
Websense ThreatSeeker Malware site
Wepawet Unrated site

[Charlie_M]

Die Frage ist doch: wie kommt der Link dahin. Von daher erstmal den eigenen Rechner auf Malware überprüfen. Hilft ja nichts wenn dann das Forum sauber ist und durch deinen verseuchten Rechner wieder zur Virenschleuder wird.

Als nächstes musst du halt den Schadcode finden und entfernen. Das Beste wäre natürlich ein sauberes Backup der Files einzuspielen.

[30STM]

Lieben Dank schon mal für die Hilfe.

Meinen eigenen Rechner habe ich mehrfach bereits mit AntiVir kontrolliert. Ich hatte mir vor ein paar Wochen wahrscheinlich das Teil eingefangen, als ich einen Blog von Jemandem aufrufen wollte und ich ebenfalls eine Warnung bekam. Ich habe daraufhin sofort meinen Rechner überprüfen lassen und alles beseitigt, was gemeldet wurde. Seither habe ich - laut AnitVir aber nichts mehr.

Wie finde ich den Schadcode? Gerade auf dem Gebiet bin ich absoluter Neuling. Ich hab kein Problem Zeit zu investieren, aber ich muss wissen wo ich suchen soll und was.

Hmm - Backup... ich hatte leider versäumt eines zu machen, vor dem Virusbefall und jetzt eines zu erstellen bringt ja nichts, oder? Mein Forum ist noch nicht so alt, das ich's nicht riskieren würde, es neu zu starten. Wir waren erst vor einem knappen halben Jahr mit dem Forum umgezogen und könnten jetzt einfach nochmal neu beginnen.

Wie schütze ich mein Forum denn zukünftig vor solchen Angriffen? Echt ärgerlich!

Liebe österliche Grüße

Steffi

[Charlie_M]

Nun, den Zugang via FTP bekommt der Schadcode von deinen Rechner...

Natürlich ist es am einfachsten, schnellsten und sichersten wenn du das Forum neudownloadest, dann hochladen und die Mods neu installierst.
Wo sich der Code eingenistet hat kann ich so auch nicht sagen, vermutlich in einen der Root-Dateien oder im Style (bevorzugt Overall_Header bzw. Footer).

Wie man sich davor schützt? Mit einer aktuellen Antiviren-Software sowie (sorry ) Surfen mit Verstand.

Viel Erfolg!

Gruß

PS:
Du kannst die Dateien am einfachsten mit WinMerge (Freeware) vergleichen

[30STM]

Hmm - mein AntiVir ist immer aktuell und ich habe sogar ein MalwareProgram, das mich damals gewarnt hat - trotzdem hatte ich mir wohl etwas eingefangen, was dann scheinbar von meinem PC eingeschleppt wurde.

Ich surfe eigentlich immer mit Verstand Den Blog den ich damals angeklickt hatte, war ein Bastelblog - also etwas ganz harmloses - eigentlich.

Hmm - dann werde ich evtl. das Forum neu aufbauen. Muss ich denn vorher noch was machen, um den Virus nicht gleich wieder mit einzubauen, außer meinen Rechner noch mal mit AntiVir und der Malware Software zu überprüfen?

[Charlie_M]

Wenn dein Rechner vom Schadcode befreit ist und du eine frische Version von PHPBB heruntergeladen hast steht dem nichts im Weg.

Gruß

[30STM]

Ganz dickes Dankeschön für die Hilfe. Dann werde ich das jetzt erst mal machen und mich nochmal melden, sollte ich noch Probleme damit haben.

Frohe Osterfeiertage und viel Entspannungszeit bei dem traumhaften Wetter

Steffi