Trojaans paard

Bij het kopiëren van een Joomla site (1.5.26) gooit ESET NOD32 Antivirus 4 twee .php bestanden steeds in quarantaine.

Deze staan in de root van /modules:

info.php PHP/WebShell.NAH trojaans paard

mailer script.php PHP/Zapchast.NAQ trojaans paard

Deze bestanden staan niet in de standaard Joomla 1.5.26, zijn dit (ver)ouderde bestanden uit eerdere versies of restanten van een andere module? Vrij standaard namen maar horen daar wel bestanden te staan op die plek? Alles lijkt normaal te werken.

De volgende componenten zijn geïnstalleerd:

RSForm! Pro
Akeeba Back-up
JCE Administration

Ik vermoed dat je pc geïnfecteerd is. Deze bestanden horen daar niet thuis.
Scan je pc eens met een andere virusscanner. Voor je het weet zijn je websites gehackt omdat je misschien ook wel een keylogger op je pc hebt.....

Dit zijn de enige twee en misschien wel door iemand daar juist neergezet/tijdelijk geparkeerd omdat ze geïnfecteerd zijn. Ik heb nooit het onderhoud op deze site gedaan. Mijn PC is schoon.

Ik laat de bestanden in quarantaine staan, ik kan in een VmWare omgeving ze wel even bekijken en dan weer een snapshot terugzetten.

Antivirus Spy Emergency, "gespecialiseerd" in de PHP/Zapchast variant, vindt niets dus het kan ook overdreven zijn.

Ook staat er een client.php in diezelfde /modules die begint met eval(base64_decode en dan heel veel onzin er achteraan. Die hoort er ook niet thuis.

eval(base64_decode

Dan zou ik echt alles heeeeeeeeeeeel goed nakijken!

Ik lees t net ja, kan verder met 2 antivirusprogramma's toch echt niets ontdekken.

Alle wachtwoorden zijn veranderd.

Deze 3 bestanden verwijderd.

Ik ga proberen de artikelen te importeren in 2.5.6 met JUpgrade.

Mag gesloten worden.