Malware bei consultdomain?

[soundbites]

Hi - nach dem besucht von CD heute morgen hatte ich malware auf den Rechner ;-(
Malwarebytes blockt nach (fast) jedem Klick hier die IP Adresse:
59.53.91.101
MalwareURL

Auch die folgeden Datei wurde auf mein PC übertragen: mschrt20ex.dll

Hat sich da was eingeschleicht?
Grüße
soundbites

P.S. Das passiert nur beim Besucht von consultdomain

 

[ps.admin]

Kann ich bestätigen, irgendetwas geht hier vor sich. Mein Anti-Viren Prog. spielt verrückt. :hmmmm:

MfG

 

[gamerman]

Ich kann mich hier nicht mehr mehr über den Internet explorer einloggen. Bei einem Virenscan wurde mir als Warnung Java/Agent.N angezeigt. Könnte das was mit dem Bannerrotationsscript zu tun haben? Denn mit Internet explorer wird mir kein Banner mehr angezeigt.

Gruß Mario

 

[timo.biz]

Moin, Moin,

ich habe die Geschichte intern gemeldet. :listen:
Weitere Probleme in der Richtung bite hier posten.

Schöne Grüße aus Brackel
Timo

 

[McDot]

Bei mir genauso. Irgendwie sind manchmal drei, manchmal vier inline Frames drin. In Firefox kann man sie sogar in Form von kleinen Rechtecken oben links sehen.

 

[Capsoni]

In der Datei 'C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Temp\BsSUHDfVih.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Diese Meldung bekomme ich von AntiVir

 

[Leole]

In der Datei 'C:\Dokumente und Einstellungen\xxxxxxxx\Lokale Einstellungen\Temp\BsSUHDfVih.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Diese Meldung bekomme ich von AntiVir

Bei mir der gleiche Sch....!!!

 

[papo]

Nach einem historischen Spiel und einiger Arbeit am Server gehe ich aktuell davon aus dass alle Spuren des Angriffes beseitigt wurden. Dank des Supportteams in England ( ;-) Vielen Dank an rackspace) konnten wir die Sicherheitslücke schnell finden, schließen und - hoffentlich - alles beseitigen.

Eine Sicherheitslücke in der genutzten vBulletin Version wurde ausgenutzt um JavaScript bei uns auf der Seite zu deponieren. Darüber wurden verschiedene Exploits nachgeladen und versucht die Besucher mit Malware zu infizieren. Laut Berichten im Chat in eingigen Fällen auch durchaus erfolgreich. Vielen Dank für die schnelle Meldung des Angriffes.

Ich empfehle Jedem der seit Gestern Abend hier auf der Seite unterwegs war seinen Virenscanner zu aktualisieren und ggfs entsprechende Software damit zu bemühen den Rechner zu prüfen. Ein Tipp aus dem Chat war Malwarebytes.

Ich habe vBulletin und genutzte Plugins jetzt auf den aktuellen Stand gebracht und hoffe das wir in Zukunft verschont bleiben. Ich hoffe dass nicht zu viele von diesem ärgerlichen Zwischenfall betroffen sind...

Vielleicht ist es ja auch hilfreich wenn hier einige der Betroffenen Ihre Erfahrungen posten um anderen zu helfen...

Viele Grüße,
Paul

 

[FlorianB]

Hallo,
auch meinen Rechner hat es trotz aktuellem F-Secure erwischt und einige Systemdateien wurden befallen.

Bevor ich das von papo genannte Malwarebytes ausführen konnte, musste ich das Kaspersky TDSS removing Tool laufen lassen. Anleitung dazu unter Anleitung Rootkit.TDSS entfernen - Trojaner-Board

Gruß
Florian

 

[engel]

also mich hat es heute morgen komplett erwischt...
habe aber das Sys soweit wiederherstellen können, das es wieder fein läuft...
Allerdings habe ich noch ein Prob überbehalten: irgendein DocumentViewer will sich dauernd installieren...jemand ne Idee?

grüsse,
engel

 

[McDot]

Als erstes würde ich einen Windows Defender durchlauf machen.
Was für ein Viewer will sich denn installieren?

 

[Wulfman]

War am Samstag "zum Glück" nicht online. Mich würde trotzdem interessieren, welches Plugins bzw. Version von vbulletin anfällig war, damit ich mein eigenes Forum mal dahingehend prüfen kann.

*edit: Gerade aufgefallen: Wenn ich "Nützliche Links -> Alle Foren als gelesen markieren" ausführen will, kommt jetzt eine Fehlermeldung:
Ihr Seitenaufruf konnte aufgrund eines falschen Securitytokens nicht verarbeitet werden.

 

[coder]

... Gerade aufgefallen: Wenn ich "Nützliche Links -> Alle Foren als gelesen markieren" ausführen will, kommt jetzt eine Fehlermeldung:
Ihr Seitenaufruf konnte aufgrund eines falschen Securitytokens nicht verarbeitet werden.

Das gleiche Problem habe ich auch. Cookies löschen half dagegen nicht.

 

[ado83]

Ich hatte / habe auch 2 Warnungen.
TR/Vundo.Gen und ein 2ter den er als Trojaner erkannt hat. Danke euch schonmal für eure Infos hier. Gestern hab ich im Antiviren Forum nicht allzuviel gefunden von aktuellen angriffen und Schritten zur Beseitigung. Gleich mal heute Testen obs mit euren Links geht. :top:

 

[Unregistriert]

Kann jemand eine ungefähre Viruszeit nennen? Meine drei Scanner finden nichts und ich war mehrfach im Fourm ... So ganz traue ich der Sache nicht. Oder gibt es mehr Dateien, außer der oben genannten?

 

[Unregistriert]

Dann scanne mal mit Antivir, damit konnte ich alle Bister vertreiben bzw. löschen.

Prof. oder die free Version?

Bei mir wurden Sie zwar gefunden löschbar war aber nur einer von denen...

 

[McDot]

Bei mir hat sich der CA Security Center drum gekümmert. Da kam ein paar mal eine einfache Meldung: ...\Cache\598E6EF1d01 ist ein PDF/Pidief.RW-Trojaner. Gelöscht

Ich benutze CA seit vielen Jahren. Kann ich jedem empfehlen.

 

[Unregistriert]

Prof. oder die free Version?

Bei mir wurden Sie zwar gefunden löschbar war aber nur einer von denen...

Ich hab die free Version.

 

[domaintradecenter]

Moin
Bei mir funktioniert aktuell das Auto-Login von Chrome nicht mehr.
Nur zur Info.
mfg
dtc

 

[Unregistriert]

Moin
Bei mir funktioniert aktuell das Auto-Login von Chrome nicht mehr.
Nur zur Info.
mfg
dtc

Dann solltest Du sofort einen Virenscan durchführen.

Außerdem rate ich jedem "Befallenen" erst mal offline zu gehen, so können von Trojanern keine Daten über das Internet gesendet werden.