PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : MEDI-LEARN down



Christian
05.01.2006, 20:43
Hallo,

seit heute morgen um ca. 9.00 Uhr war die Webseite von MEDI-LEARN leider nicht erreichbar. Betroffen waren neben den Seiten und dem Forum von MEDI-LEARN auch die Webseiten von Rippenspreizer und zwai.net.

Grund für den Ausfall war eine Hackattacke. Unser Provider hat inzwischen alle notwendigen Schritte eingeleitet, Polizei und Staatsanwaltschaft sind informiert und die Webseiten wurden rekonstruiert. Leider konnten wir noch nicht alle Seiten von MEDI-LEARN wieder rekonstruieren (z.B. die Studienplatztauschbörse). Wir arbeiten jedoch auf Hochtouren daran die Webseiten wieder komplett zum Laufen zu bringen.

Während des Absturzes wurden alle Besucher auf eine fremde Seite weitergeleitet. Auf dieser Seite wurde ein Datei, die sich als Bildschirmschoner und als PlugIn für den Internet Explorer tarnt, zum Download angeboten. Es handelt sich dabei um eine Virendatei. Sollte sich jemand diese Datei heruntergeladen haben, sollte er sie dringend löschen. In diesem Zusammenhang möchten wir darauf hinweisen, dass wir niemals von MEDI-LEARN Datei beim Aufruf der MEDI-LEARN Seiten zum direkten Download anbieten werden.

Die Umstände und der Ausfallzeit der Webseiten und des Servers tun uns sehr leid. Wir haben zusammen mit unseren Partner alle Kräfte eingesetzt, um das Problem schnellstmöglich zu lösen. Insbesonderen Dank gilt Herr Scheld.

Sollten Euch noch Probleme auffallen, könnt Ihr uns diese gerne an [email protected] schicken.

Euer MEDI-LEARN Team

goeme
05.01.2006, 20:49
Problem wird sein, dass sich die Datei unter Umständen nicht so einfach löschen lässt!

Mit STRG+ALT+ENTF
gelangt ihr in den Windows Task-Manager,
unter Prozesse werdet ihr dann Internet_Explorer_plugin (glaub sorum wars richtig) finden!
Diesen Prozess beendet ihr und löscht die heruntergelandene Datei!

Anschliessend solltet ihr unbedingt nochmal nen Virenscan machen, ich zu empfehlen wäre z.B. www.free-av.de

Evil
05.01.2006, 21:42
Der sich dahinter verbergende Trojaner/Virus scheint aber einen anderen Namen zu haben, zumindest ist er in keiner Virenbibliothek darunter zu finden. Mit Spyware-Doctor (http://www.pctools.com/spyware-doctor/?ref=google_sd) bin ich aber ein Viech losgeworden. Leider kostet der was....

Sebastian1
05.01.2006, 22:25
Momentan ist leider dasselbe wieder passiert. ML ist informiert und wird alsbald möglich den Server herunterfahren und sich dem Problem widmen. Bitte bis dahin auf keinen Fall die Datei herunterladen/öffnen, welche zum Download angeboten wird!

goeme
06.01.2006, 17:55
der gute reic hatte nichts besseres zu tun und hat einen kleinen Text verfasst der sich vor allem an die richtet, die seit der Hackerattacke auf die Seiten von Medi-Learn ein paar Probleme haben!
dafür vielen Dank

PS: Natürlich auch für alle anderen eine sinnvolle Sache!



Für alle, die das Plugin installiert oder runtergeladen haben oder bei denen seither ungewohnte Dinge beim Browserstart geschehen (Wechsel der bisherigen Startseite, Aufforderungen Files downzuloaden, Fehlermeldungen), empfiehlt es sich sicher, das Tool HijackThis (http://www.mmdirect.de/downloads/hijackthis_199.zip) runterzuladen.

Das Programm durchsucht den PC nach fehlerhaften oder schädlichen Prozessen und produziert ein Logfile, welches unter Hijackthis.de (http://www.hijackthis.de/) automatisch ausgewertet werden kann. Hier werden die einzelnen Systemprozesse nach Auffälligkeiten oder bekannter Schädlichkeit bewertet. Das Programm Hijackthis bietet die Möglichkeit, diese Prozesse zu entfernen/reparieren.

Weiterhin ist es in meinen Augen sinnvoll, das Programm Spybot Search&Destroy (http://www.safer-networking.org/de/download/index.html) runterzuladen und das System einer Untersuchung zu unterziehen. Hier besteht auch die Möglichkeit, die verwendeten Browser gegen weitere Angriffe zu "impfen".

Weiterhin solltet ihr eure Antiviren-Programme updaten und einen kompletten Systemscan durchlaufen lassen. Falls ihr noch kein Antivirenprogramm habt, möchte ich auf diesen Thread (http://www.medi-learn.de/medizinstudium/foren/showthread.php?t=26179) verweisen.

Ich betone: Damit möchte ich keine Panik verbreiten, sondern lediglich eine Hilfestellung geben, bis genaue Informationen über die Hack - Attacke bekannt sind.

Bei Fragen oder Problemen stehe ich gerne via PN zur Verfügung.

Alles ohne Gewähr ;)

Sebastian1
06.01.2006, 18:03
Es handelt sich im übrigen um diesen (http://www.sophos.de/virusinfo/analyses/trojbancbanni.html) Trojaner. Wie der Seite zu entnehmen ist ein Schutz durch Sophos erst seit heute verfügbar. Andere Virenscanner hatten teilweise Fehldiagnosen gestellt oder aber aufgrund ihrer Heuristik zumindest Schadcode vermutet.

Es ist daher wichtig, dass ihr darauf achtet mit den neuesten Signaturdaten eines Viren- oder Malware-Scanners zu arbeiten. Seht bitte auf den Herstellerseiten nach ob der Hersteller eurer Virensoftware bereits einen Schutz gegen diesen Trojaner anbietet, denn teilweise vergehen einige Tage bis ein Schutz verfügbar ist!

Wenn ihr keinen solchen Virenscanner habt hilft nur die manuelle Entfernung:
Im Registrierungseditor im Verzeichnis HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
den Schlüssel system32.exe löschen, Rechner neu starten, dann die Datei c:\windows\system32.exe löschen.

(Eine solche Datei ist an diesem Ort im übrigen nicht vorhanden, schaut also einfach nach ob sich besagte Datei in eurem Windows-Verzeichnis befindet. Wenn ja, dann habt ihr euch leider mit hoher Wahrscheinlichkeit den besagten Trojaner eingefangen)