12
Massiver Virusfund in Firmenumfeld JS IFRAME.BG !
Guten Morgen,
Wir haben bei uns in der Firma grade ein massives Auftreten von Viruswarnungen wenn der Internetexplorer gestartet wird!
Guten Morgen,
Wir haben bei uns in der Firma grade ein massives Auftreten von Viruswarnungen wenn der Internetexplorer gestartet wird!
TrendMicro meldet "JS_IFRAME.BG" als Virusfund
C:\Users\"userkontoname"\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Communicator Smart Tags\ctoc-IPphone.png als betroffene Datei,
Die Startseite ist normaler weise die Firmenseite, aber wird durch den Virus auf about:blank gesetzt
Der Virenscanner meldet das eine Datei in Quarantäne verschoben wurde...
Wir haben bei uns in der Firma grade ein massives Auftreten von Viruswarnungen wenn der Internetexplorer gestartet wird!
TrendMicro meldet "JS_IFRAME.BG" als Virusfund
C:\Users\"userkontoname"\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Communicator Smart Tags\ctoc-IPphone.png als betroffene Datei,
Die Startseite ist normaler weise die Firmenseite, aber wird durch den Virus auf about:blank gesetzt
Der Virenscanner meldet das eine Datei in Quarantäne verschoben wurde...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator Biber am Nov 10, 2011 um 11:06:50 Uhr
Verschoben von "Linux Desktop" nach "Viren und Trojaner".
Content-Key: 174444
Url: https://administrator.de/contentid/174444
Printed on: April 19, 2024 at 01:04 o'clock
12 Comments
Latest comment
Moin,
und wenn du mal über den IE "Temporäre Internetdateien" löschst?
Gruß
und wenn du mal über den IE "Temporäre Internetdateien" löschst?
Gruß
schon erledigt, keine Änderung!
Und wenn du mal nachsiehst ob eure Intranetseite gehackt ist.
versuch doch mal den Inhalt von "C:\Users\"userkontoname"\AppData\Local\Microsoft\Windows\Temporary Internet Files" bei allen Profilen von Hand zu löschen.
Dann würde ich auch mal den TEMP Ordner in C:\Windows sowie den Temp und Tmp auf C:\ von Hand leeren
gegebenen falls mit einer knoppix oder ähnlichem starten und dann die ordner leeren.
Dann würde ich auch mal den TEMP Ordner in C:\Windows sowie den Temp und Tmp auf C:\ von Hand leeren
gegebenen falls mit einer knoppix oder ähnlichem starten und dann die ordner leeren.
das habe ich gemacht, leider keine Änderung,
es handelt sich um diesen Virus...
http://about-threats.trendmicro.com/Malware.aspx?language=us&name=J ...
es handelt sich um diesen Virus...
http://about-threats.trendmicro.com/Malware.aspx?language=us&name=J ...
So mögest du eure Webseite checken, und andere Tools zum säubern testen. Vielleicht ist dies nur die Spitze des Eisberges, und es sind in wirklichkeit mehrere Andere Viren/Trojaner im Netzwerk.
CCleaner, Onlinevirenscanner nehmen und schaun was gefunden wird. Auch die Datei aus dem Quarantäne-Ordner löschen!!
Greetz
ravers
CCleaner, Onlinevirenscanner nehmen und schaun was gefunden wird. Auch die Datei aus dem Quarantäne-Ordner löschen!!
Greetz
ravers
Ich würde dir empfehlen, eine Bootbare AntiVirus CD anzuschaffen und mit dieser die betroffenen Rechner zu scannen.
Empfehlen kann ich dir hierfür Desinfect von c't (http://www.heise.de/ct/projekte/Desinfec-t-2011-1213110.html)
Im Internet gibt es allerdings auch noch jede menge andere wie z.B. die von Avira ...
Empfehlen kann ich dir hierfür Desinfect von c't (http://www.heise.de/ct/projekte/Desinfec-t-2011-1213110.html)
Im Internet gibt es allerdings auch noch jede menge andere wie z.B. die von Avira ...
Ja, die Desinfect haben wir jetzt auch am laufen, das scheint wohl eine recht neue Variante sein, eSafe und Firewall haben es nicht geblockt, nur der lokale Virenscanner hat es jetzt gefunden...
Naja was soll die Firewall da in der Regel auch blocken... ich würde vielleicht eher prüfen, ob in der Firewall Webnutzungsregeln definiert sind. So könnten z.B. falls noch nicht getan verseuchte Webseiten, Tauschbörsen und weiteres blockiert werden.
Des weiteren, würde ich mir den Updatestand der Clients sowie die Internet Explorer - Sicherheitseinstellungen genauer ansehen...
Des weiteren, würde ich mir den Updatestand der Clients sowie die Internet Explorer - Sicherheitseinstellungen genauer ansehen...
ja, die FW soll natürlich auch nur wenn dann Webseiten in der Richtung blocken, regeln sind entsprechend definiert, das meinte ich damit, Client Updates sind per WSUS aktuell mit 3 Wochen Verzögerung...
danke dir aber!
vg
Lordka
danke dir aber!
vg
Lordka
Vielleicht noch eine kleine Sache am Rande. Je nach Problematik die ihr jetzt durch den Virenfund habt, würde ich mir überlegen wie der Virus / Trojaner in euer Netz kommen konnte, bzw. warum die Funde plötzlich und häufig auftreten. Es wäre vielleicht an der Zeit ein wenig System "Hardening" zu betreiben.
Fragen die sich für mich ergeben:
- Warum plötzlich und häufig (Sind die Virensignaturen imm aktuell?, Hat der Schädling sich selbst repliziert oder wurde er von jedem Rechner "selbstständig" geladen?)
- Über welchen Weg gelangte er ins Netzwerk? (Wechselmedien?, Sicherheitslücke in Programmen?, Über eine (Vielleicht sogar deine) Website?)
- Wie werde ich mich in Zukunft vor so einem Angriff schützen?
Gruß
PJM
Fragen die sich für mich ergeben:
- Warum plötzlich und häufig (Sind die Virensignaturen imm aktuell?, Hat der Schädling sich selbst repliziert oder wurde er von jedem Rechner "selbstständig" geladen?)
- Über welchen Weg gelangte er ins Netzwerk? (Wechselmedien?, Sicherheitslücke in Programmen?, Über eine (Vielleicht sogar deine) Website?)
- Wie werde ich mich in Zukunft vor so einem Angriff schützen?
Gruß
PJM
Hallo,
welche Version von TrendMicro setzt ihr ein?
Grüße
welche Version von TrendMicro setzt ihr ein?
Grüße
