Malware befall auf der Hauptseite

Hi,

bei mir hat das Teil voll zugeschlagen, und meine DNS-Server (die sonst per DHCP bezogen werden) auf

93.188.163.107
93.188.160.37

umgestellt. Dadurch war z.B. kein Update von Malwarebytes oder Spybot mehr möglich, weil die Adressen nicht aufgelöst wurden.

Nun die Frage: was war das für ein Teil? Welche Spuren hat es sonst noch auf meinem System hinterlassen? Bitte soviele Infos wie möglich, damit die User ihre Systeme prüfen und reinigen können.

Hallo Andi,

natürlich kenne dich die von dir genannte Seite, und dennoch wäre im Interesse eurer Besucher eine genaue Information, welche Bedrohung exakt von prad.de ausging wichtig, um gezielt nach Überbleibseln des entsprechenden Schädlings suchen zu können.

Wie gesagt, ich war zu besagter Zeit auf eurer Seite, mein VIrenscanner hat mich leider nicht geschützt (AVG mit atuellen Signaturupdates), inzwischen habe ich den PC sowohl von inen als auch von Außen (mit dem c't Notfall Windows von CD) gesäubert, und dennoch möchte ich auf Nummer sicher gehen, das hier nichts übriggeblieben ist!

Zitat von Andi

Ich kann Dir diese Frage letztendlich auch nicht beantworten was dieses Iframe und dessen Inhalt tatsächlich gemacht hat. Mein eigener Rechner ist auch betroffen, da bei mir nur der IE reagiert hat, obwohl ich einen Realtime Schutz habe.

Gut, danke für die Info. Darf ich mal nachfragen, ob er bei dir auch die DNS Einträge verändert hat? Bei mir war es der Firefox, der nix bemerkt hat, außerdem ein installierter und voll aktueller AVG Virenscanner. Mein Windows XP ist ebenfalls auf dem aktuellen Patchstand. Mich interessiert das vor allem deshalb, weil ich mich bisher gut geschützt fühlte, ist die erste Malware seit bestimmt 10 Jahren, die sich bei mir einnisten konnte, und das wurmt mich gewaltig. Daher würde mich echt interessieren, welche Sicherheitslücken das Teil ausnutzte, dass es auf einem aktuell geschützten und gepatchten System durchkommt.

Wäre super wenn ihr Infos veröffentlicht, sobald ihr mehr wisst. Habt ihr Informationen, ob ihr die einzigen Opfer wart, oder noch andere Seiten betroffen waren?

Bei mir wurden auch die DNS Einträge geändert. Ich sahs an einem Rechner mit koreanischem Windows XP, da hat der koreanische Virenscanner zwar Alarm geschlagen, aber die DNS Einträge wurden trotzdem verändert. Habe den Virus/Trojaner oder was es eben war gelöscht, den DNS Eintrag wieder auf automatisch gestellt und nach dem Neustart war der Spuk auch schon wieder vorbei.

Zitat von KoreaEnte

Bei mir wurden auch die DNS Einträge geändert. Ich sahs an einem Rechner mit koreanischem Windows XP, da hat der koreanische Virenscanner zwar Alarm geschlagen, aber die DNS Einträge wurden trotzdem verändert. Habe den Virus/Trojaner oder was es eben war gelöscht, den DNS Eintrag wieder auf automatisch gestellt und nach dem Neustart war der Spuk auch schon wieder vorbei.

Hi,

danke für die Info. Ich habe nochmal von außen mit Aira gescannt, und Reste von "Java/Open Connect.AI" gefunden, war das der Schädling auf der Seite? Ich vermute es mal, zumal das Teil sehr aktuell zu sein scheint, Avira kennt den erst seit dem 18.1. überhaupt. Mein zu dem Zeitpunkt installierter AVG kannte ihn da wohl noch nicht, ich habe aber AVG inzwischen entsorgt, da er mich nicht vor diesem Teil geschützt hat!

Kannst du dich noch an den Virenname bei dir erinnern?

Ja ich glaube so hieß er, hatte aber auch noch einen zweiten, mit "Trojaner" oder so ähnlich im Namen.

Kann es sein dass diese Maleware nur bei offenen PCs eingreifen konnte, also jene die nicht hinter einer Firewall standen? Mein PC in der Firma ist davon nämlich nicht betroffen. Zuhause bin ich am Freitag nicht auf Prad gesurft, aber auch da steht mein PC hinter einem Router. Wenn die DNS Einträge nach wie vor stimmen, kann ich davon ausgehen dass nichts passiert ist oder?