Virus Warnung - Trojaner im SC

[Drevodom]

Hallo,

beim Laden des SC gab es bei mir gerade eine Virus Warnung und auch die Schriften
im SC wirken verschoben....

Gruss
Martin

[ehemaliges mitglied]

Was ist dullplane.ru?

[THX_Ultra]

Moment. Was genau wird dir angezeigt??
exakte Meldung bitte

[ehemaliges mitglied]

Ich habe einen Scriptblocker installiert. Der blockt jetzt ein Script von dullplane.ru. Soll auf der Seite vom SC ausgeführt werden.

[ferrismachtblau]

Yepp, da sollte auch bei mir grade ein javascript ausgeführt werden. Nach etwas warten ist mir Firefox dabei abgestürzt, nachdem ich ein zusätzlich nötiges plugin nicht bestätigt hatte.

Gruß Frank

[Drevodom]

Die Virus - Meldung kommt jetzt bei mir nicht mehr, aber bei Hochladen der SC - Seite
versucht der Rechner auf eine Page mit Endung .ru zuzugreifen...

Gruss
Martin

[Etranger Explorer]

Diese Meldung kommt bei mir.

[ehemaliges mitglied]

Ich habe mit Michael (THX) telefoniert. Ist bereits an den Programmierer der Seite weitergeleitet. Wird überprüft!

[THX_Ultra]

Ok Danke!!
Wir checken das asap!

[Hypophyse]

Am Ende des Quelltextes wird dullplane.ru/Y2K.js eingebunden. Keine Ahnung, was das bewirkt oder ob da erst noch etwas kommt.

[hugo]

beim ansehen der classics preisliste 1990-99

norton antivirus hat gemeldet

url angreifer crazyion.ru:8080/jquery.jxx?v:5.3.4
quelladresse 192.168.178.20
tcp,anschluss 4431
risiko hoch http nukespoilt request

was das ???

[eos]

Hatte noch keine Zeit detailliert zu suchen, aber Norton liefert das hier:
http://community.norton.com/t5/Norto...ess/m-p/270397

[ehemaliges mitglied]

Avira schlägt an mit:

In der Datei 'C:\WINDOWS\system32\fjhdyfhsn.bat'
wurde ein Virus oder unerwünschtes Programm 'BAT/Agent.140' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Allerdings meldet Avira oftmals "Falsch-Positiv"!

[PCS]

beim ansehen der classics preisliste 1990-99

norton antivirus hat gemeldet

url angreifer crazyion.ru:8080/jquery.jxx?v:5.3.4
quelladresse 192.168.178.20
tcp,anschluss 4431
risiko hoch http nukespoilt request

was das ???

McAfee schlägt bei mir in genanntem Thread nicht an.

[ehemaliges mitglied]

Avira ebenfalls nicht! Obiger Post betraf den SC!

[PCS]

Wo ist dann Deine oben zitierte Meldung her, Ralf? RLX-Sales?

[eos]

Klassische Vorgehensweise aus diversen Trojaner Boards:

1. Malwarescanner von http://www.malwarebytes.org/ runterladen
2. Installieren
3. Update durchführen um aktuelle Signaturen zu haben
4. Quick Scan durchführen
5. Ggf. Full Scan durchführen

[eos]

McAfee schlägt bei mir in genanntem Thread nicht an.

Norton hat anscheinend ein verdächtiges 'Traffic Pattern' bemerkt (http nukespoilt request). Die Frage ist, auf welcher Verbindung und ob es einen Zusammenhang mit der Seite gab oder nicht. Ich weiss nicht, ob McAfee über solche Scan Mechanismen verfügt, falls nicht, bleibt es still.

[ehemaliges mitglied]

Wo ist dann Deine oben zitierte Meldung her, Ralf? RLX-Sales?

Ja!

Rechner A zeigte das Script. Avira blieb ruhig. Virendefinitionen vom 29.08.
Rechner B zeigte og. Meldung. Virendefinitionen vom 30.08.

[uhrvieh]

Avira schlägt an mit:

In der Datei 'C:\WINDOWS\system32\fjhdyfhsn.bat'
wurde ein Virus oder unerwünschtes Programm 'BAT/Agent.140' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Allerdings meldet Avira oftmals "Falsch-Positiv"!

So eine Datei gehört sicher nicht in das Windowsverzeichnis. Dein Rechner scheint schon infiziert zu sein. False postive ist das sicher nicht. Datei löschen und Rechner genauer untersuchen - wenn so eine Datei dort schon liegt, ist wahrscheinlich schon was im Argen