Virus op mijn website (infectie als URL:Mal)

[yellow]

Hallo, ik ben nieuw hier en hoop dat ik mijn probleem in de juiste categorie plaatste ...

Blijkbaar is een website van me (een advertentiewebsite voor volwassenen, niet dat dit er toe doet), geïnfecteerd. Niet alle bezoekers lijken problemen te hebben, ook ik zelf kan de site geheel bezoeken, zonder enige melding van problemen (ik gebruik McAfee).

AVAST gaf alvast volgende melding:

Kwaadaardige URL geblokkeerd

Object: kulasurvey.com/images/tos.php

Infection: URL:Mal

Action: Blocked

Process: c:\Program files\Internet Explorer\iexplore.exe

Ik weet niet hoe dit komt, wat dit is, en bovenal, het belangrijkste nog, wat de oorezaak hiervan is of kan zijn PLUS hoe kan ik dit euvel verhelpen, wat kan of MOET ik doen? Ik maakte dit nog nooit mee. Maak me wel ernstig zorgen, de site is nog geen maand online, mijn pc kennis is redelijk, maar deze materie gaat mete ver, vind er ook heel erg weinig informatie over. Heb zelf niets gelijk dit ingesteld ofzo om bezoekers te beschadigen, ...

(tussen haakjes, McAfee, dat ik zelf gebruik maakt geheel geen melding, AVAST blokkeert het probleem, maar je kan verder wel gewoon de site bekijken, ... en een andere persoon dewelke blijkbaar iets als ESET Nod32 Anti virus gebruikt, meldde ons dat deze zelfs helemaal niet verder kon op de website (kreeg als bericht dat er een virus was gevonden).

Ik heb mijn hoop op jullie forum gesteld, zit met mijn handen in het haar.

Dank u vriendelijk voor uw reactie.

[kweezie wabbit]

Waarschijnlijk is een van de bestanden die deel uitmaken van de website geinfecteerd geraakt of op een van de pagina's staat een link naar een besmette site.

Je moet dus een virusscan uitvoeren op de webhost.

Met websites maken en webhosting ben ik niet zo vertrouwd maar als eigenaar of webmaster van een site moet je toch de mogelijkheid hebben om een dergelijke scan te doen.

Vraag eventueel hulp aan je hosting provider.

[yellow]

Kweezie wabbit

Dat vermoeden had ik ook al ja, maar probleem is dat ik niet weet met welk programma of wat dan ook een URL:Mal infectie op te sporen is en weg te werken, ...

Ik denk dat ik niet kan scannen op de server zelf, ik moet alles downloaden en dan een scan uitvoeren, maar zoals ook eerder gezegd, mijn McAfee vindt niets, ... Ik gebruikte ook al Super Anti SPyware, ...

Had al contact met hostingfirma, zij maken er zich een beetje te makkelijk vanaf vind ik door te zeggen dat het probleem zeker niet bij hen ligt, maar dat ik mogelijk slachtoffer ben, was, van een hacker. In ieder geval zit ik met mijn handen in het haar.

Ik begrijp ook niet dat McAfee bijvoorbeeld bij het bezoeken van de site niets meldt, en bij scanning van mijn computer vanwaar ik dus site bijwerk ook niets meldt, en Avast bijvoorbeeld wel reageert bij het bezoeken van de site, maar enkel reageert en blokkeert, niets opruimt of opschoont, ...

Het is mij dus werkelijk een raadsel. U begrijpt dat een site die net online gekomen is zulke zaken kan missen als de pest, net nu er meer interesse kwam blijf ik in feite in gebreke naar de bezoekers en adverteerders toe, dat is hoegenaamd geen positieve reclame.

Hopelijk zijn er mensen die hier toch iets meer over weten en me kunnen zeggen wat ik moet doen of hoe zo een infectie (URL:Mal) op te lossen valt.

Die Mal staat blijkbaar voor Malware, dat vond ik op het internet.

Met vriendelijke groeten

[yellow]

Beste Stegisoft,

begrijp ik het goed dat ik bvb mijn McAfee even moet uitzetten, en bvb Avast ook? (even melden dat ik normaal enkel McAfee heb runnen hoor, maar met deze problemen ben ik ook anderen gaan testen en uitproberen.

Om te kijken of deze wel dan niet melding gaven van het probleem en hoopte ik daar info uit te halen.

Over HiJackthis las ik wel al iets, maar dat die dingen heel wat verder gaan en niet zomaar gebruikt mogen worden op eigen houtje, wegens nogal gevaarlijk. Ik wil het wel proberen, ... maar kan dit mijn probleem op de server oplossen? Mogelijk is mijn pc en of laptop ergens aangestast en zorgt die aantasting ervoor dat upgeloade files naar de server ook problemen geven?

Als ik erin slaag om het programma dat u hierboven omschrijft te downloaden en te laten uitvoeren, moet ik het logbestand hie rop het forum plakken, zodat u kan zien wat ik eventueel kan of moet doen? Klopt dit aub?

Ik dank u voor uw reactie alvast, zodat ik weet wat ik juist moet doen.

[yellow]

Ik heb alvast gerdaan wat STEGISOFT vroeg, op mijn PC (ik post hier via mijn laptop).

Ik heb dus HJT uitgevoerd en het logje plak ik hieronder, is hier nu iets uit te halen aub? En wat moet ik nu verder doen?

Dank bij voorbaat.

------------------------------------------

HJT Logje:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 11:38:48, on 27/11/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\McAfee\Common Framework\udaterui.exe

C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE

C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Belgium Identity Card\beid35gui.exe

C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\McAfee\Common Framework\McTray.exe

C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe

C:\Program Files\McAfee\Common Framework\FrameworkService.exe

C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\mfevtps.exe

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = I M P R E S S U S

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptsn.dll

O2 - BHO: Aanmeldhulp voor Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [beid] "C:\Program Files\Belgium Identity Card\beid35gui.exe" /startup

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.be/ImageUploader5.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6770.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234871933063

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1234871925422

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://ccff02.minfin.fgov.be/CCFF_Authentication/views/login/signature/capicom.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL

O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--

End of file - 10331 bytes

---------------------------------------------

27 november 2010 aangepast door yellow

[kape]

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

Klik op 'Fix checked' om de items te verwijderen.

Kan je misschien ook eens een linkje van je website geven ? Kunnen we eens bekijken wat dat (eventueel) oplevert aan informatie ?

[yellow]

Kape,

als ik HJT opstart zie ik nergens gewoon SCAN staan ... ? Wel Do a system scan and save a logfile OF Do a system scan only

Wat moet ik kiezen, die eerste deed ik vanmorgend al, die bovenstaande log file opgleverde, ik vermoed dat ik nu dus die andere moet nemen (zonder log file?) Dank u

[kape]

Kies voor de optie zonder opslaan van logfile en verwijder daar de aangeduide items.

[yellow]

Oke Kape, die twee items werden succesvol verwijderd, ...

Hoe ga ik verder aub? Mijn pc heropstarten???

En wat nu met mijn site, want op de server heb ik geen nieuwe files ofzo gezet, daar benik tot nu toe niet meer aan geweest, ....

De fiels van mijn server staan ook op mijn pc uiteraard, kan ik die nu gewoon terug op de server gooien dan???

Dank

[yellow]

@ Kape,

Ik ben fantastisch blij, hoewel ik mij probeer in te houden en hoop dat het probleem IDD opgelost is, ... Ik heb dus gedaan wat u zei, die twee items verwijderd, nadien heb ik geprobeerd de pc herop te starten, naar de server van de site gegaan, alle files eraf gegooid, en terug upgeloaden vanaf mijn pc.

Tot mijn grote jolijt bleek dat ik geen problemen meer ondervond om de site te bezoeken, ik heb alvast anderen gevraagd, personen die me die meldingen maakten van virus hier, virus daar, of blokkage hier en ginder, .... of ze nu nog problemen ondervinden, ... Ook de hosting firma heb ik net nog live gecontacteerd en zij hadden alvast GEEN enkel probleem meer om de site te bezoeken, dat klinkt dus super goed. Ik wacht nog even de reacties af van de anderen, maar het is nu al nacht ... die reacties zijn per mail verzonden.

Als dit alles het probleem heeft opgelost ben ik u en de anderen die me te hulp stonden alvast enorm dankbaar.

Ik heb dan enkel nog 1 vraagje. Hoe zijn die besmettingen mogelijk op mijn systeem gekomen? Hoe komt het dat mijn McAfee dat nooit gevonden heeft? En hoe kan ik ervoor zorgen dat dit nooit meer voorvalt? Want het is enorm vervelend.

Ik kruip nu in mijn bedje, met de hoop dat het probleem van de baan is ... laat ons hopen.