Trojaner Virus im Shop

[webmaster-uk]

also von Avira halte ich nichts mehr, weder warnt er vor schädlichen Seiten im Internet noch findet er gescheit etwas wie ein anderes Programm, daher bin ich ja jetzt auf Kaspersky umgestiegen und er hat direkt etwas gefunden.
zwei Trojaner "Backdoor.Win32." und dann noch exploitJava.CVE

Was die Tojaner ausgelesen haben kann ich ja leider nicht mehr rückgängig machen. Wenn das Problem beseitigt ist werde ich alle Kunden auffordern ihr Passwort zu ändern.

[keineLustmehr]

1. Hast Du auch mal mit einer sauberen Antiviren-CD gebootet und den Rechner testen lassen? Von innerhalb Windows läßt sich nicht alles finden.
2. Die Versionen der Viren wären eigentlich wichtig (backdoor.w32 gibt es viele)
3. Du hast nicht reinzufällig auch so etwas wie persönliche Zertifikate auf dem Rechner gespeichert gehabt (z. B. für Deinen Shop oder Elster). Was wenn die runtergeladen wurden?
4. Online-Banking bei einer Bank die Java-Apps verwendet? Hier mußt Du evtl. auch über eine aktualiseirung nachdenken.

Volker

[Simon]

Hier wäre so etwas:
http://support.kaspersky.com/de/faq/?qid=207621612

[webmaster-uk]

Nein, die BootCD habe ich noch nicht erstellt, ist aber in Kaspersky enthalten. Werde ich also gleich erstellen und den PC damit hochfahren lassen. Danke für den Hinweis.

Genaue Bezeichnung ist

Backdoor.Win32.ZAccess.mbg

und

Exploit.Java.CVE-2012-0507.ly

Ok, Elster Daten habe ich drauf und sache für Onlinebanking. Wäre natürlich extrem blöd um es mal sanft auszudrücken wenn da was weg gekommen wäre 

[keineLustmehr]

http://forum.kaspersky.com/lofiversion/index.php/t238516.html

das könnte Dich dann noch interessieren.

[webmaster-uk]

so, hab jetzt alles drüber laufen lassen was man glaube machen kann, inkl. Start mit der Boot CD und es wurde nichts mehr gefunden.

Wie gehe ich das jetzt mit dem Shop an?
Reicht es aus wenn ich einfach das Backup vom 19.03.12 wieder einspiele oder ist es damit nicht getan? wie kann ich sicher gehen ob auch alles ohne Virus ist? Welche Dateien muss ich durchsuchen? oder reicht es wenn ich alle Daten die den Shop betreffen vom Server auf den PC kopiere und dann nen Virenscanner drüber laufen lasse?

[webmaster-uk]

so, war jetzt auf der Seite drauf und sie ist von meinem Virenprogramm Kaspersky Internet Security 2012 nicht blockiert worden was mit nun gewunder hat. Habe dann über URL Void einen Scan gemacht und bekam durch AVG die Meldung das ein "blackhole exploit kit" gefunden wurde und die seite blockiert wurde.

Bei google habe ich darüber irgendwie nichts gefunden.

Wie kann ich nun vorgehen? hänge gerade echt in der Luft 

EDIT: habe gerade die Seite aufgerufen und die Meldung bekommen das ein Download versucht wurde der blockiert wurde. Der Link wurde dann blockiert

h t t p : / / g e n i e t i e d . o r g / a 1 1
h t t p : / / g r a d i e n t d o c k . o r g / a 1 1

wie bekomme ich heraus wo das ist und wie bekomme ich das weg?

[fishnet]

Wenn du den Shop herunterlädst - evtl auf einen PC auf dem nichts anderes drauf ist und der auch nicht mit dem Firmennetzwerk verbunden ist - und dann scannst, sollte das Programm dir die betroffenen Dateien anzeigen. Diese dann öffnen, Code suchen und entfernen.

[webmaster-uk]

so, ich habe jetzt den ganzen Shop runter geladen auf den PC und mit einem Virenprogramm durchsucht und es wurde nichts gefunden. Wenn ich den Shop aufrufe, bekomme ich aber durch mein Virenprogramm einen Hinweis das ein Phishing-Link geblockt wurde.

Gefunden: Schädlicher Link
Status: Inaktiv
Objekt: h t t p : / / b r o w s e r b a s e d r e s e r v i n g . o r g / a 1 1

Wieso finde ich da nichts und wie bekomme ich das aus dem Shop raus? Ich bin etwas verzweifelt 

[Simon]

Hast du auch einen Dump von der DB mit phpMyAdmin gemacht und dort nach dem Link gesucht ?
Wenn man sich bei dir Zugang zur Admin oder Datenbank verschaffen konnte, dann kann der Link auch in den Contentseiten sein.

Ansonsten ist der Link wohl irgendwie codiert, also nicht direkt mit dem Text erkennbar und deshalb findest du nichts.

[Gradler]

Öffne mal die index.html Deines Templates ob da was verdächtiges drinsteht und auch in includes/header.php

Wenn was da ist muß es auch zu finden sein

[Simon]

Bin natürlich davon ausgegangen, dass du das komplette Shopverzeichnis bereits nach dem Link abgesucht hast.
Das geht z.B. mit Total Commander oder Notepad++

[webmaster-uk]

Wie kann ich denn den Inhalt durchsuchen bei ws_ftp? wenn ich da auf suchen gehe, dann kann ich ja nur nach Dateinamen suchen und nicht nach Wörtern in einem Dokument. Und für mit notepad++ zu suchen müsste ich ja jede einzelne Datei öffnen und durchsuchen oder?

in der index.html des Templates und in includes/header.php finde ich auch keinen Hinweis auf den Link oder auf etwas auffälliges was vom normalen abweichen tut.

Was für Möglichkeiten haben ich denn noch?

[Simon]

Notepad++
Menü > Suchen > In Dateien suchen > Verzeichnis auswählen > Suchtext eingeben > Haken bei Unterzeichnisse setzen > Alle suchen

Steht bestimmt auch in der Hilfe zum Programm.

[webmaster-uk]

so, hab jetzt alles durchsucht aber wieder ohne Erfolg.

0 Hits in 0 Files

ich hab gesucht nach

h t t p : / / g e n i e t i e d . o r g / a 1 1
h t t p : / / g r a d i e n t d o c k . o r g / a 1 1
h t t p : / / b r o w s e r b a s e d r e s e r v i n g . o r g / a 1 1

Wie kann ich denn noch vorgehen?