Infizierte Webseiten Einstellungen

[Voyager]

http://daisythomas.com/
irgend so ein britischer Job-Anbieter , ob der seriös ist weiss ich nicht aber zumindestens ist dessen Webseite infiziert

in den Tiefen der Seite ist dann das : /statsme/plugins/geoip_region_maxmind.exe

http://www.virustotal.com/de/analisis/646b...6d77-1277814044

Sieht nach Zbot (Rootkit) aus die Erkennung ist aber noch dünn gesäht , Nortons Reputation irrt sich aber auch wiedermal .


http://www.abload.de/img/aufzeichnen1b6g8.jpg


http://www.abload.de/img/aufzeichnen26ue8.jpg

An Sonar kommts aber nicht vorbei.

Wer testet mal F-Secure ? Laut VT wirds nicht erkannt

Nachtrag:
Gdata kann zwar mithalten aber verlangt einen PC-Reboot um den offenbar schon infizierten PC zu reinigen.


http://www.abload.de/img/aufzeichnen3j6t0.jpg

QUELLTEXT

*** Prozess ***

Prozess: 1712
Dateiname: geoip_region_maxmind[1].exe
Pfad: c:\dokumente und einstellungen\jens\lokale einstellungen\temporary internet files\content.ie5\0udojq9b\geoip_region_maxmind[1].exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 06/29/10 12:37:14
Änderungsdatum: 06/29/10 12:37:20

Gestartet von: iexplore.exe
Herausgeber: Microsoft Corporation

*** Aktionen ***
Das Programm hat Aktionen im Namen eines anderen Programmes ausgeführt.
Ein Packer wurde auf die Programmdatei angewandt. Möglicherweise um schädliche Inhalte zu verbergen.
Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.

*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
c:\dokumente und einstellungen\jens\lokale einstellungen\temporary internet files\content.ie5\0udojq9b\geoip_region_maxmind[1].exe
c:\windows\system32\sdra64.exe
c:\windows\system32\sdra64.exe:zone.identifier

Der Beitrag wurde von Voyager bearbeitet: 29.06.2010, 13:45

[kevin3002]

PC Reboot hin oder her, wichtig ist erst einmal die Erkennung und Entfernung!
Und dass G Data dies kann ist doch sehr positiv zu sehen!

[Voyager]

Solange du deine PC-Arbeit noch abspeichern kannst und den OK-Button rechtzeitig drückst , dann rebootet sich der PC nämlich selbst. Ich kenne da sicher ein paar Leute die sich dabei gegängelt fühlen Aber alles in allem ist das noch OK so.

[Gast_Solaris_*]

Wer testet mal F-Secure ? Laut VT wirds nicht erkannt

Die URL geht leider nicht mehr .

[Voyager]

Bist du sicher ?


http://www.abload.de/img/aufzeichnen1bd3y.jpg

Du willst doch nur "warten" bis F-Secure eine Signatur dagegen hat

Der Beitrag wurde von Voyager bearbeitet: 29.06.2010, 18:07

[Gast_Solaris_*]

Egal was ich anstelle, es passiert nur dieses hier:




EDIT: Mist, ertappt

[G-Data-The-Best-...]

Also G-Data IS 2011 blockt die Webseite jetzt!!!

Der Beitrag wurde von G-Data-The-Best-25 bearbeitet: 29.06.2010, 18:44

Angehängte Datei(en)

 Gdata.PNG ( 133.44KB ) Anzahl der Downloads: 27

 

[Gast_Solaris_*]

Wieson kommt Ihr da alle ohne Probleme drauf ?? Ist ja fies...

[Voyager]

Hol dir mal eine neue IP oder versuchs mal in der VM , vll. gehts dann.
F-Secure ist noch nicht unter den Gewinnern bei VT , mittlerweile sinds 3 mehr als vor ein paar Stunden zb. Gdata der es von Bitdefender bekommt
http://www.virustotal.com/de/analisis/646b...6d77-1277834659

Der Beitrag wurde von Voyager bearbeitet: 29.06.2010, 19:10

[Rios]

Gell Solaris,

wenn man nicht will, kommt man nirgendwo hin.

[Kenshiro]

Ich komme auch nicht auf der Seite

[Till 88]

Da seit ihr nicht die einzigen, bei mir klappt es auch nicht .

[Habakuck]

Ich komm auch nicht drauf.

Kann es sein, dass einige ISPs den Zugang sperren? Dann kann man sich auch mit neuen IPs auf den Kopf stellen...

Jens, warum schickst du Solaris das Teil nicht einfach?

Der Beitrag wurde von Habakuck bearbeitet: 29.06.2010, 21:41

[Voyager]

Bis jetzt hat niemand danach gefragt.


weil das jetzt hipp ist das PW nicht zu verraten sag ichs auch nicht dazu, ich will auch mal hipp sein das PW ist aber leicht zu erraten .

Bearbeitungsgrund: Link entfernt

[Solution-Design]

Du bist nicht auf dem Laufenden. Es sollen keine Links zu Malware veröffentlicht werden. Egal ob mit oder ohne Passwort. Nur per PN. Das ist hipp.

[Gast_Solaris_*]

@Voyager

Vielen Dank für das Sharen des Samples!

Ich habe aber aus forenrechtlichen Gründen den Link aus Deinem Beitrag entfernt.
In Zukunft bitte immer per PN.

Leider hat sich mein Test-Laptop vorgestern Abend komplett verabschiedet . Ich bin gerade dabei, mir ein neues Testsystem zu suchen und die FSIS wieder zu installieren.

LG

[Voyager]

Leider hat sich mein Test-Laptop vorgestern Abend komplett verabschiedet

Lass mich raten, das Teil ist am F-Secure Deepguard vorbeigerauscht und aus Frust hast du den Link gekillt ? Der war sowieso schon Out Of Ordner weil die 10x downloaden bei RS durch waren.

[Gast_Solaris_*]

Fast. Das Ding ist an Deepguard vorbeigerauscht und ich habe aus Frust den Laptop aus´m Fenster geschmissen .

[Catweazle]

Hat sich erledigt, was ich schreiben wollte.

Catweazle

[markus17]

Vor kurzem habe ich diese Website entdeckt:


... die Seite selber ist sauber und sieht aus, wie ein frei verfügbares Uploadportal. Auf ihr befinden sich jedoch diverse Rogueinstaller, Exploitpacks, usw. Es scheint auch, als ob immer wieder neue Malwarefiles erscheinen.


btw: Lustig finde ich, dass ein Foto von einem Auto mit Kennzeichen drauf ist. (fail? xD)