opgelost Eset virusradar

Francis1970 schreef in een andere draad:

Ik weet niet of het zoekprobleem om de site gaat die onder aan je bericht staat, maar die site kan ik niet bezoeken omdat ik dan een waarschuwing van mijn Eset virusscanner krijg, betreffende een Trojan Downloader.

Zie de volgende link (is link van Eset zelf dus kun je veilig bezoeken) voor een beschrijving:
virusradar.com/en/JS_TrojanDownloader.FakejQuery.D/description

Geschrokken ben ik begonnen met ESET mijn PC te scannen. Die staat onder bescherming van Mictosoft Defender, en is volgens hen schoon.
ESET (ik zie nu dat dat een Beta is!) heeft tot nu toe 33 geïnfecteerde bestanden gevonden.
Ik krijg de neiging te denken aan loos alarm. Want:
Mijn site heb ik zojuist door Sucuricheck gehaald
Zie resultaat op sitecheck.sucuri.net/results/ltebraake.nl , dat geen infectie meldt.
In de Tab Blacklist verklaren ca 10 instanties, o.a. ESET...

Mijn vraag: wat is de reputatie van ESET virusradar?
Wie andere virusscanners heeft, krijgen die ook een alarm bij inloggen op mijn site?

Edit Romke: Ik heb je topic verplaatst naar het juiste forum.

Zowel met Sitecheck als met: www.isithacked.com/check/http%3A%2F%2Fwww.ltebraake.nl%2F vind ik geen blacklist-info over jouw website.
Maar als Eset aangeeft dat een lokale scann van je PC wel geïnfecteerde bestanden toont, dan zou ik dat wel even serieus onderzoeken.
Het is namelijk erg belangrijk dat je PC schoon is, zodat er geen geïnfecteerde bestanden vanaf je PC op je website kunnen worden gezet.

Ik gebruik al jaren de virusscanner van Eset (zowel op Windows als OSX en Debian). Zou de resultaten van de virusscanner wel serieus nemen. Volgens mij is virusradar meer een soort van raadpleeg website van waar en wanneer er grotere uitbraken zijn van malware(en is geloof ik al vanaf 2014 in beta)?

Ik zou nog een keer kijken met securi, ik krijg daar wel dezelfde info te zien als Eset meldt:

Hmmm, getriggerd door de reactie van Julian ben ik ook nog eens op sitecheck gaan kijken.
Eerst kreeg ik een groen resultaat op: sitecheck.sucuri.net/results/www.ltebraake.nl

Maar een rood resultaat op: sitecheck.sucuri.net/results/ltebraake.nl

Zodra de website dus zonder www wordt bezocht is er malware te scannen en als je er www voor zet is de website blijkbaar schoon.
Het lijkt mij dus (net als Julian) wel verstandig om je website serieus te gaan bekijken.

Bedankt voor al jullie wijze woorden. Ik heb pas nu wat meer te melden, omdat de scan van mijn PC zo lang duurde.

Het bleef bij de ruim 30 meldingen die al vrij snel na begin van de scan gevonden waren. Één wellicht serieuze infecte: een HTML-bijlage in een 6 jaar oude e-mail uit een project van ver voor mijn pensioen en ver vóór mijn site het levenslicht zag. Sindsdien beslist nooit meer geopend. . Bijlage nu wel verwijderd uiteraard.
De rest waren "Potential Threads" , of, in grote meerderheid, "potentially unwanted files". Ja, daar heb je wat aan...

Toen heb ik met FTP de hele bestanden-mikmak van de site gedownload en apart gescand.. De scan leverde twee hits op: de index.php bestanden van de twee templates voor front-end en back-end. Beide dezelfde "threat"JS/TrojanDownloader.Fakequery.D trojan. Dat klinkt serieus.

Van de andere kant: ik heb zeker twee weken mijn site dagelijks geupdated en bezocht voor controle, en niets meer gemerkt van doorverwijzingen naar vreemde sites, het beschreven effect van de malware.

Mijn eerste idee is om die twee bestanden uit een site op een subdomain over te nemen, maar ik weet nog niet of dat wel het gewenste effect kan hebben. Ik elk geval zal ik er pas morgenavond mee verder kunnen. En dan begin ik met de bevindingen van jullie in detail te bekijken.
We'll be back, please stay tuned...

Eh... " potential threaTs " natuurlijk.

Ik heb uiteindelijk index.php in beide instanties met de al bestaande lokale versie overschreven.
Beide hadden ze nog de oorspronkelijke datumsignatuur, maar ook waren beide behoorlijk afwijkend van formaat vergeleken met de lokale versies.
Ik beschouw de besmetting nu als opgelost.
Klopt dat?

De bestandspermissies waren: -rw-r--r-
Waar vind ik wat dat precies betekent, en wat de relatie is met de permissie in getallen genoteerd (776 etc).
Is wat ik heb een goede instelling?

Ik zou e.e.a. goed in de gaten houden. Kans is groot dat de oorsprong van de besmetting ergens anders zit.
Als antwoord op je vraag: mappen 755 en bestanden 644.
en.m.wikipedia.org/wiki/File_system_permissions

Bestandspermissies:
e (execute) = 1
r (read) = 4
w (write) = 2

Oftewel -rw -r- -r- betekend 644 wat goed is.

Geen idee of de besmetting is opgelost. Daar heb ik voor de rest weinig ervaring mee.

WoodyF4u schreef : Hmmm, getriggerd door de reactie van Julian ben ik ook nog eens op sitecheck gaan kijken.
Eerst kreeg ik een groen resultaat op: sitecheck.sucuri.net/results/www.ltebraake.nl

Maar een rood resultaat op: sitecheck.sucuri.net/results/ltebraake.nl

Na inkopieren nieuwe index.php bestanden vanavond heb ik beide scans herhaald. Beide groen resultaat. Pfff...

Zodra de website dus zonder www wordt bezocht is er malware te scannen en als je er www voor zet is de website blijkbaar schoon.
Het lijkt mij dus (net als Julian) wel verstandig om je website serieus te gaan bekijken.

Ik heb tijdens het oppassen op twee peuters de hele dag zitten piekeren hoe dit mogelijk is. De hoofdpijn is inmiddels weer weggetrokken.
Wie heeft wel een idee?

Dank Astrid en Julian!

Ik heb sinds dit verhaal dagelijks Sucuri Sitecheck gedraaid. Vorige week was ik weer besmet.
Ik heb nu jullie advies gevolgd, en ben nu bezig de site helemaal opnieuw te bouwen met een nieuwe Joomla-download. De verhalen en afbeeldingen had ik nog beschikbaar. Enige nadeel: ik bouw niet zo vaak een website, dus al die eenmalige begininstellingen weet ik niet meteen.
Live and learn...
Dit is een geweldig deskundig forum, jullie hebben me al vaak uit de zorgen geholpen!