Hallo,
heute ca. 16:00 habe ich den hier:
http://www.bka-trojaner.de/
als V 3.02 über ein Werbebanner auf Arthoria.de erhalten. Ich kann die genaue Werbung leider nicht benennen, es aber eindeutig dieser Seite
als Quelle zuordnen.
Supi *grins*
Über ein Werbebanner? Wenn das stimmt nehme ich das natürlich sofort raus, sobald ich es irgendwie identifizieren kann - aber da muss auch eine böse Sicherheitslücke im Browser vorhanden gewesen sein, damit sowas überhaupt möglich wäre.
Ist zwar keine Lösung für das Problem, aber sollte sich den nochjemand eingefangen haben und nicht weiter wissen:
Damit hab ich ihn schon von mehreren PCs geholt...
http://blog.botfrei.de/2011/12/gesperrter-pc-durch-kostenpflichtiges-upgrade-anleitung-zum-entsperren-unter-windows-7/
Wichtig: der nennt sich immer anders!
Zitatcd /
cd users
cd "BENUTZERNAME"
cd AppData
cd Roaming
cd Microsoft
dir
del svhcost.exe
shutdown -r -t 00
in der vorletzten Zeile "svhcost.exe" mit der jeweiligen *.exe im Ordner ersetzen
In jedem Fall wäre es empfehlenswert Sicherheitsupdate für verwendete Browser und Betriebssysteme zu installieren - so eine Infektion über Webseiten ist generell nur mit offenen Sicherheitslücken möglich.
Genau das gleiche ist mir vor ca. 2 Monaten auch mal passiert
Infektion müsste um 15:19 Uhr erfolgt sein :)
Da der verwendete PC ein paar Tage off gewesen ist reichte es wohl aus, das er das letzte WSUS Update nicht hatte. Also Uralt war da nix.... ;)
Ganze 5 Virenscanner kannten ihn (von 42) ...aber tröstet euch, ein anderer Kunde hat sich das Ding 3 Minuten vorher auf Spiegel.de eingefangen.
Wie kannst du die Quelle der Infektion so genau feststellen?
Ich habe das gleiche problem, allerdings nur, wenn ich in der uni am rechner sitze.
angefangen hat das ganze vor ca 1.5 wochen, als ich mir den bka trojaner eingefangen habe (obs von arthoria war bezeifel ich, weil ich grad auf spiegel online unterwegs war) und der sich auch hübsch entfaltet hat. das uni-sicherheits-dings hat den dann aber nach einigen neustarts von selber entfernt.
wie die absicherung hier genau aussieht weiß ich nicht. die werden das schon iwie machen...
in letzter zeit bekomme ich aber öfters die meldung, dass verdächte software in form eines trojaners gefunden wurde, welchen ich dann auch immer brav lösche.
die meldung kommt nur! dann, wenn ich gerade 1-2 sekunden vorher eine arthoria seite aktualisiert habe. allerdings nicht bei jeder aktualisierung, sondern ca. nur alle 1.5-2stunden mal. zumindest war das so, wenn ich explizit darauf geachtet habe.
die jeweilige werbung, die gerade gelaufen ist war (ich hab da erst seit gestern abend darauf geachtet):
23.02.
momox.de
free2play online game - bastards of hell
24.02
maxda - kredite für jeden
freewar - the fantasy beyond
cash-king - verdiene es dir
maxda
---- (hier habe ich die seite zuschnell wieder aktualisiert, die werbung war weg)
momox
---- (siehe oben)
25.02
momox.de
momox.de
momox.de
soweit bis jetzt. unterwegs bin ich mitm IE8.
passiert ist nix, mir ists nur aufgefallen
Ich habe aktuell ein Werbenetzwerk von der Einblendung ausgeschlossen, von dem ich vermute, dass es Probleme hat.
Bitte weitere Meldungen hier posten um diesen Verdacht zu bestätigen oder zu widerlegen.
heute ist nichts passiert, scheint also alles wieder in ordnung zu sein.
Zitat von: Xeridar am 23. Februar 2012, 08:57:05
Wie kannst du die Quelle der Infektion so genau feststellen?
..oh, etwas verspätet: Über den verwendeten Proxy und die Systemlogs kann ich den genauen Zeitpunkt und die entsprechenden URLs einsehen. Und um diese Zeit war exakt 1 Seite im FireFox geöffnet...Arthoria :)
Jedenfalls steht Arthoria.de jetzt auf der Blacklist und ich kann im Büro nicht mehr drauf surfen :D