Am 24.01.2013 habe ich dank avast einen Trojaner auf meiner Website erkennen können. Avast hat mit der Meldung “Die Verbindung wurde zurückgesetzt” die Seite erst gar nicht aufgerufen und gleichtzeitig eine Trojaner-Warnmeldung gemacht. Erstmal perfekt. Daraufhin konnte ich die Daten per FTP vom Server holen und den Schadcode entfernen. Beim runterladen der Daten vom Server wurden bereits alle befallenen .html-Dateien von avast automatisch in den Container verschoben. Bei einem weiteren Virenscan der Ordner wurden im Anschluss auch alle befallenen .php-Dateien von avast gefunden. Auch noch super!
Wie es der Zufall wollte, ist genau das gleiche Problem heute bei einem Freund aufgetreten. Doch nun findet avast den Virus nicht mehr. Die Seite wird auch nicht blockiert.
Selbst wenn ich die von Avast am 24.01.2013 gefundenen und befallenen Dateien aus dem Container extrahiere und erneut scanne findet avast am 28.01.2013 keinen Virus mehr.
Bei meiner Suche nach dem Virus habe ich folgenden Forumsbeitrag zu dem Schadcode gefunden:
http://forum.jswelt.de/javascript/57362-wbb-website-gehackt.html
Daher empfehle ich allen Website-Betreibern Anhand des Datei-Änderungsdatums nachzuschauen, ob Dateien auf dem Webspace verändert wurden. Der Virus befällt vorwiegend die index.html und index.php Dateien. Jedoch habe ich auch andere befallene Dateien gefunden (leistungen.php, login.php, kontakt.html) Bei mir wurden die Dateien am 23.01.2013 verändert. Bei meinem Freund am 24.01.2013. Es scheint ein aktuelles Problem zu sein.