12
Massiver Virusfund in Firmenumfeld JS IFRAME.BG !
Guten Morgen,
Wir haben bei uns in der Firma grade ein massives Auftreten von Viruswarnungen wenn der Internetexplorer gestartet wird!
Guten Morgen,
Wir haben bei uns in der Firma grade ein massives Auftreten von Viruswarnungen wenn der Internetexplorer gestartet wird!
TrendMicro meldet "JS_IFRAME.BG" als Virusfund
C:\Users\"userkontoname"\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Communicator Smart Tags\ctoc-IPphone.png als betroffene Datei,
Die Startseite ist normaler weise die Firmenseite, aber wird durch den Virus auf about:blank gesetzt
Der Virenscanner meldet das eine Datei in Quarantäne verschoben wurde...
Wir haben bei uns in der Firma grade ein massives Auftreten von Viruswarnungen wenn der Internetexplorer gestartet wird!
Guten Morgen,
Wir haben bei uns in der Firma grade ein massives Auftreten von Viruswarnungen wenn der Internetexplorer gestartet wird!
TrendMicro meldet "JS_IFRAME.BG" als Virusfund
C:\Users\"userkontoname"\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Communicator Smart Tags\ctoc-IPphone.png als betroffene Datei,
Die Startseite ist normaler weise die Firmenseite, aber wird durch den Virus auf about:blank gesetzt
Der Virenscanner meldet das eine Datei in Quarantäne verschoben wurde...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator Biber am 10.11.2011 um 12:06:50 Uhr
Verschoben von "Linux Desktop" nach "Viren und Trojaner".
Content-ID: 174444
Url: https://administrator.de/contentid/174444
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
und wenn du mal über den IE "Temporäre Internetdateien" löschst?
Gruß
und wenn du mal über den IE "Temporäre Internetdateien" löschst?
Gruß
schon erledigt, keine Änderung!
Und wenn du mal nachsiehst ob eure Intranetseite gehackt ist.
versuch doch mal den Inhalt von "C:\Users\"userkontoname"\AppData\Local\Microsoft\Windows\Temporary Internet Files" bei allen Profilen von Hand zu löschen.
Dann würde ich auch mal den TEMP Ordner in C:\Windows sowie den Temp und Tmp auf C:\ von Hand leeren
gegebenen falls mit einer knoppix oder ähnlichem starten und dann die ordner leeren.
Dann würde ich auch mal den TEMP Ordner in C:\Windows sowie den Temp und Tmp auf C:\ von Hand leeren
gegebenen falls mit einer knoppix oder ähnlichem starten und dann die ordner leeren.
das habe ich gemacht, leider keine Änderung,
es handelt sich um diesen Virus...
http://about-threats.trendmicro.com/Malware.aspx?language=us&name=J ...
es handelt sich um diesen Virus...
http://about-threats.trendmicro.com/Malware.aspx?language=us&name=J ...
So mögest du eure Webseite checken, und andere Tools zum säubern testen. Vielleicht ist dies nur die Spitze des Eisberges, und es sind in wirklichkeit mehrere Andere Viren/Trojaner im Netzwerk.
CCleaner, Onlinevirenscanner nehmen und schaun was gefunden wird. Auch die Datei aus dem Quarantäne-Ordner löschen!!
Greetz
ravers
CCleaner, Onlinevirenscanner nehmen und schaun was gefunden wird. Auch die Datei aus dem Quarantäne-Ordner löschen!!
Greetz
ravers
Ich würde dir empfehlen, eine Bootbare AntiVirus CD anzuschaffen und mit dieser die betroffenen Rechner zu scannen.
Empfehlen kann ich dir hierfür Desinfect von c't (http://www.heise.de/ct/projekte/Desinfec-t-2011-1213110.html)
Im Internet gibt es allerdings auch noch jede menge andere wie z.B. die von Avira ...
Empfehlen kann ich dir hierfür Desinfect von c't (http://www.heise.de/ct/projekte/Desinfec-t-2011-1213110.html)
Im Internet gibt es allerdings auch noch jede menge andere wie z.B. die von Avira ...
Ja, die Desinfect haben wir jetzt auch am laufen, das scheint wohl eine recht neue Variante sein, eSafe und Firewall haben es nicht geblockt, nur der lokale Virenscanner hat es jetzt gefunden...
Naja was soll die Firewall da in der Regel auch blocken... ich würde vielleicht eher prüfen, ob in der Firewall Webnutzungsregeln definiert sind. So könnten z.B. falls noch nicht getan verseuchte Webseiten, Tauschbörsen und weiteres blockiert werden.
Des weiteren, würde ich mir den Updatestand der Clients sowie die Internet Explorer - Sicherheitseinstellungen genauer ansehen...
Des weiteren, würde ich mir den Updatestand der Clients sowie die Internet Explorer - Sicherheitseinstellungen genauer ansehen...
ja, die FW soll natürlich auch nur wenn dann Webseiten in der Richtung blocken, regeln sind entsprechend definiert, das meinte ich damit, Client Updates sind per WSUS aktuell mit 3 Wochen Verzögerung...
danke dir aber!
vg
Lordka
danke dir aber!
vg
Lordka
Vielleicht noch eine kleine Sache am Rande. Je nach Problematik die ihr jetzt durch den Virenfund habt, würde ich mir überlegen wie der Virus / Trojaner in euer Netz kommen konnte, bzw. warum die Funde plötzlich und häufig auftreten. Es wäre vielleicht an der Zeit ein wenig System "Hardening" zu betreiben.
Fragen die sich für mich ergeben:
- Warum plötzlich und häufig (Sind die Virensignaturen imm aktuell?, Hat der Schädling sich selbst repliziert oder wurde er von jedem Rechner "selbstständig" geladen?)
- Über welchen Weg gelangte er ins Netzwerk? (Wechselmedien?, Sicherheitslücke in Programmen?, Über eine (Vielleicht sogar deine) Website?)
- Wie werde ich mich in Zukunft vor so einem Angriff schützen?
Gruß
PJM
Fragen die sich für mich ergeben:
- Warum plötzlich und häufig (Sind die Virensignaturen imm aktuell?, Hat der Schädling sich selbst repliziert oder wurde er von jedem Rechner "selbstständig" geladen?)
- Über welchen Weg gelangte er ins Netzwerk? (Wechselmedien?, Sicherheitslücke in Programmen?, Über eine (Vielleicht sogar deine) Website?)
- Wie werde ich mich in Zukunft vor so einem Angriff schützen?
Gruß
PJM
Hallo,
welche Version von TrendMicro setzt ihr ein?
Grüße
welche Version von TrendMicro setzt ihr ein?
Grüße
