Mir wurde von mehreren Seiten gemeldet, dass das System versucht, beim Aufrufen des Forums SPYWARE zu installieren.
Es scheint, als versuche jemand, an Mitgliederdaten zu kommen. Deshalb habe ich das Forum vorerst geschlossen.
Obwohl mir die Zeit dazu fehlte, habe ich nun kurz die einzelnen Teilforen und sonstige Funktionen einzeln durchgeackert, um zu sehen, welche Teilforum betroffen sind. Ich habe nur jene wieder öffnen, in denen es - scheints - keine Probleme gibt.
Bitte Probleme hier posten.
Einfach regelmäßig reinschauen, ob die restlichen Foren wieder geöffnet sind.

Es könnte sein, dass es keine Spyware ist (wenn man von kurzem (3-4 Tage) Änderungen an Software, die die Bilder (Gallerie) öffnet, vorgenommmen hat). Bei einem Brauser (IE, Sich-einstellungen "superhoch" = nichts zu sehen außer Text) Antivirus-Software meldet JS (im Temp wird eine htm-seite namens "slideshow_fdm" abgelegt), bei einem anderen Brauser (Firefox, Sich-Einstell "Mittel") keine Meldung seitens Anivirus-Software.

Hallo Andreas,

Du hast wohl nicht alle erwischt, mir meldet Norton weiterhin beim Einstig (also nach dem einfachen Seitenaufruf der Homepage), dass Spyware versucht auf meinen Rechner zu kommen. Rufe ich einen Link auf, reagiert Norton erst, wenn ich auf eine Übersichtsseite wechsle.

Es handelt sich um den gleichen Virus, zu dem ich Dir schon einen Screenshot geschickt habe.

Mit der Browser-Einstellung hat es nichts zutun, zumindest nicht bei Explorer 6.0. Diese steht bei mir auf Mittel, trotzdem wird Norton aktiviert.

Gruß
Karin

Bei mir meldet sich das installierte Programm Antivir. Wie ich sehe wird der Zugriff auf die Datei Foto des Monats verweigert

Anti Viri meldet bei mir JS/Dldr.Agent.BJZ.
Keine Ahnung was das ist.

Anti Viri meldet bei mir JS/Dldr.Agent.BJZ.
Das kann ich auch bestätigen, aber nur mit dem IE, mit Firefox 3 gibt's keine Probleme. Da scheint ein JavaScript nicht in Ordnung zu sein! http://forum.avira.com/wbb/index.php?page=Thread&threadID=75265

bei mir versucht ein installationsprogramm, das MS office 2003 paket zu installieren bzw. updaten...

Für Fragen zu Trojaner, Viren empfehle ich dieses Forum
http://www.trojaner-board.de/

mh, sieht mir mehr nach Fehlalarm aus. Koennte man natuerlich auf der Seite fixen, so dass das Problem nicht auftritt. Ich konnte zumindestens auf den ersten Blick in den Skripten des Forums nichts sooo auffaelliges finden.

Thomas

Ich habe die Fotogallerie in Verdacht, und ich habe sie abgeschalten.
Scheint das Problem aber nicht gelöst zu haben.

Ich werde wohl nicht darum herum kommen, alle Javascripts durchzusehen.
Festgestellt habe ich aber, dass die Seite wsxhost.net vom Forum aus aufgerufen wird (praktisch von allen Teilforen, außer denen, die ich noch offen habe) und Informationen dorthin zu verschicken droht (Userdaten?).
Die Domaindaten (http://www.domaindiscount24.net/?page=service_whoisresults&domain=wsxhost.net&server=whois.regtime.net) von wsxhost.net sagen mir nun aber mal gar nichts.

A.

Die Domaindaten (http://www.domaindiscount24.net/?page=service_whoisresults&domain=wsxhost.net&server=whois.regtime.net) von wsxhost.net sagen mir nun aber mal gar nichts.

Mh, sieht doch nicht so gut aus :( Die Domain ist aus Hongkong, und versucht auf dem Rechner einen Trojaner zu installieren:

http://safeweb.norton.com/report/show?url=wsxhost.net&x=15&y=6

Thomas

Hi,
wenn die Info hilft?

Mein Norton sagt mir, dass ein Angriff auf den PC abgewehrt wurde.
Als Adresse nennt Norton:
wsxhost.net

Nutze Mozialla Firefox.

Jetzt, wo die entsprechenden Seiten nicht mehr im Forum stehen, sagt Norton auch nix mehr.

Ich wünsche euch viel Erfolg bei der "Reparatur".
Werde von Nepal aus mal schauen, ob die Seiten wieder online sind.

Grüße (noch aus Essen)
Gregor

Andreas, Im Quelltext der Startseite des Forums ist eine inlineframe (suche "iframe"), die führt zu (slideshow). Diese Sete habe ich bereits (oben) erwähnt (die wird im Temp gespeichert und als Schädling erkannt).

Kopiere die volle URL von dieser slideshow (sl..show_fdm..) aus dem Quelltext, und öffne die im neuen Fenster. Du siehst nur 1 Bild. Scheinbar OK. Aber: IM QELLTEXT dieser slideshow-Seite (die bloß aus einem Bild besteht) ist nach dem "normalen" Schlusstag jeder Webseite ein "Anhang", der auf den "bösen" Server führt. Ich würde den einfach löschen. Wäre auch nicht schlecht, wenn man den ganzen Ordner mit Bilder, die auf dieser Sete abwechselnd erscheinen, überprüft. Es ist nicht auszuschließen, dass es dort "neue" Bilder gibt.

Hier das Bild, mit URL-Adresse (oben) und "Zeug" (unten), beides rot markiert. Bild vorsichtshalber woanders gespeichert :)

http://www.it-ru.de/forum/download.php?id=28841<slashhateeml) ein="" anhang,="" inlineframe="" die="" auf="" den="" schädling="" führt="" (von="" dir="" genannten="" server,="" der="" ist="" übrigens="" in="" usa).="" probiere="" zuerst="" diesen="" anhang="" zu="" löschen,="" also="" quelltext="" soll="" normal="" enden="" -="" mit=""><slashhateemel).></slashhateemel).></slashhateeml)>

@Kombrig: Vielen Dank fuer die Detektivarbeit! Ich hoffe, Andreas kann so das Problem schnell finden und beseitigen.

Thomas

He-he, das Böse Zeug ist grad aus dem Quelltext verschwunden, keine Meldungen von Antivirus-Soft mehr.

Hoffentlich war der Admin am Werk ;) Wenn nicht, dann ... rette sich wer kann!!!!! :) :)

Ja, ich habs entfernt. Vielen Dank für deine Vorarbeit. Den iframe hatte ich auch schon unter Verdacht.
Allerdings gebe ich noch keine Entwarnung, denn
1. fand ich diese Codezeile noch an zahlreichen anderen Stellen; auch an "benachbarten" Webseiten von mir, und
2. muss ich zuerst abklären, wie dieser Code dorthin gekommen, wo er steht, damit ich das künftig unterbinden kann.

A.

Hallo Andreas,

falls Du es nicht selbst schon bemerkt hast.
Auf den Trekkingpartnerseiten und den Reiseberichten bekomm ich auch noch eine Virusmeldung.
Name des Virus: WW: Script.Dldr.Agent.BJZ


Gruss Harald

Sorry, aber ich bekomme den Hinweis weiterhin bereits beim Aufrufen des Forums...

... Auf den Trekkingpartnerseiten und den Reiseberichten bekomm ich auch noch eine Virusmeldung. ...

Bei "Trekkingpartnern" hängt die "böse" iframe direkt am Ende des Quelltextes; Quellcode von "Reseberichten" ist nicht zugänglich, zumindest bei mir (browser blockiert (Schutz, aber leider keine Lust auf Experimente). Unter allen Adressen, die in den Rubriken "3D Trekkingguides" und "Links" zu finden sind, "böse" iframe an verschiedenen Stellen (also, nich unbedingt am Ende) des Quelltextes zu finden.

Hier in Forum ((also, wenn man nur die Threads liest und keine andere (Hilfs) Verweise anklickt) ist alles scheinbar sauber. Im Ordner fotostory (Unterordner 001, 002.. haben die index-seiten schädl. Code (iframe) . Auch /forum/archive/. Tja.

Sorry, aber ich bekomme den Hinweis weiterhin bereits beim Aufrufen des Forums...

Stimmt, die allerserste Seite des Forums ("...trekkingforum.com/" in der Adressenleiste) hat auch dasselbe Problem (s. oben). Diese Seite (imho) muss man nicht unbedingt besuchen - das Bild ist wirklich schön, aber außer diesem Bild gibts dort keine Info. Ich habe das Problem gerade bemerkt, weil ich die Seite mit Übersicht v. allen Foren ("---/forum/index.php?" in der Adressenleiste) unter meinen Favoriten habe, und diese Seite ist quasi meine "Eingangsseite" zum Forum.

Ich bekomme nach wie vor Viruswarnung.

>>Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Agent BJZ

Beim Aufrufen des Forums beendet sich Firefox und wenn ich die Sitzung nicht neu starte sondern wieder herstelle erscheint die Warnung. Aufgefallen ist mir das Ganze vor ca. 8 Tagen als ich ausnahmsweise mal ein paar Fotos in der Galerie sehen wollte. Es war eine Flashshow über den Anapurna-Circuit von einem sehr neuen Teilnehmer. Seit dem fliege ich immer raus und werde vorerst auch besser da bleiben...:confused:

... wo ist eigentlich das Nepal Forum?

Grüße
Carsten

Denke Andreas wird besonders diesen Forenteil untersuchen.:-/
Solange müssen wir uns in Geduld üben.

Zitat Andreas

Mir wurde von mehreren Seiten gemeldet, dass das System versucht, beim Aufrufen des Forums SPYWARE zu installieren.
Es scheint, als versuche jemand, an Mitgliederdaten zu kommen. Deshalb habe ich das Forum vorerst geschlossen.
Obwohl mir die Zeit dazu fehlte, habe ich nun kurz die einzelnen Teilforen und sonstige Funktionen einzeln durchgeackert, um zu sehen, welche Teilforum betroffen sind. Ich habe nur jene wieder öffnen, in denen es - scheints - keine Probleme gibt.
Bitte Probleme hier posten.
Einfach regelmäßig reinschauen, ob die restlichen Foren wieder geöffnet sind

... wo ist eigentlich das Nepal Forum?
I vermisse natürlich auch die restlichen Foren-Teile, denke aber, dass Andreas auch was anderes (besseres) zu tun hat, als die Attacken von irgendwelchen phishern zu beseitigen :down:
In diesem Sinne, viel Erfolg Andreas und ich freue mich schon, wenn das gesamte Forum wieder online geht!:up:
lg Hannes.

Update: nach tagelangem Durchforsten meiner Webseiten und des Forums kann ich für folgende Seiten Entwarnung geben:

everest.cc
khumbu.info
kailash.info
reiseberichte.cc
trekkingpartner.com
und alle privaten (Trekking-)Webseiten von Usern, die auf meinem Server gehostet sind.

Trekkingforum:
Die sichtbaren Teilforen sind sicher, an den anderen arbeite ich noch.
Fotogalerie ist noch nicht sicher, bleibt also gesperrt, genauso wie die Mitglieder-Googlemap.
Die Startseite (trekkingforum.com/) ist ebenfalls sicher.
Sicher sind auch Kontrollzentrum, PN-Funktion und Termine.

Ich danke euch für die Mitarbeit und im Besonderen danke ich Kombrig für seine Recherchen und guten Tipps per PN und Posts. :up:

Weltbilder.cc ist noch unsicher, weitere Teilbereiche des Forums werde ich in den nächsten Tagen durcharbeiten und wieder öffnen.

Beste Grüße,
Andreas

Update: nach tagelangem Durchforsten meiner Webseiten und des Forums kann ich für folgende Seiten Entwarnung geben:

...trekkingpartner.com

Beste Grüße,
Andreas
Hallo Andreas,

beim Aufruf des Kalenders im trekkingpartner forum, bekomm ich leider immer noch eine Virenwarnung...

Name des Virus: WW: Script.Dldr.Agent.BJZ
URL: http://trekkingpartner.com/himalaya/index.php?lang=deutsch
Datei: http://trekkingpartner.com/himalaya/index.php?lang=deutsch
Dateityp: text/html

Villeicht hilft der Hinweis bei der weiteren Jagd nach dem Übeltäter....

Gruss Harald

Vielen Dank Andreas,
daß wieder einige Unterforen wieder frei sind.
Leider kann ich ken Smiley setzen, wegen dem Flugzeugunglück


Gruß
Jens

Hallo, ich möcht noch anfügen, daß ich vorhin per E-mail zwar eine PN- Benachrichtigung bekommen habe, im Posteingang und Ausgang der PN konnte die Seite aber nicht angezeigt werden. Verwundert - hab ich jetzt hier gelesen, daß sowieso einiges los ist, oder eher nicht. Meine Kiste hat sich auch ungewöhnlich lang geplagt um hier beim Spyware-Thread von einer Seite auf die nächste zu kommen.
Aber eigentlich...wünsch ich allen, im Moment keine andere Sorgen zu haben - oder,
siehe unten....
Grüße
Eva
P.S. Aah! Über die Übersicht hab ich jetzt doch noch hinein dürfen! Na, nix für ungut.

Ich wei, ich weiß, du bist dran.
Aber so langsam leide ich unter Entzung.
ist es schon absehbar wann die restlichen Rubriken wieder kommen?
Viele Grüße
Nina

Hurra, hab's grad gesehen, musste nahezu ungläubig bis ganz runter scrollen... das gesamte (?) Forum ist wieder online!!
Vielen Dank Andreas!!

Die "Lodge" fehlt noch.... wobei ich manche Themen aus derselbigen überhaupt nicht vermisse :D
Und wann kann ich wieder Dateien/Bilder anhängen?

DANKE!!!!!!!!
Viele Grüße
Nina