Hallo zusammen!

Ich habe gestern eine Meldung von AVG bekommen, als ich den Firefox geöffnet habe. Es wurde beim Programmstart anscheinend der Versuch unterbunden, eine Verbindung zu einer Seite namens "coinhive.com" herzustellen.
Der vermeintliche Schädling sei "JS:Miner-C [Trj]" und das Programm firefox.exe. Habe dann das gleiche Spiel mit Malwarebytes Anti Malware ausprobiert: Auch dieser unterbrach den Verbindungsversuch mit einer Meldung bei Programmstart. Das Problem trat aber nur mit dem Firefox auf, bei Chrome gab es keinerlei solcher Meldungen. Ein anschliessender Scan mit Malwarebytes lieferte dann auch keine Virenfunde. Danach habe ich das Problem dann zunächst mal gegoogled und anscheinend solle man einfach den Firefox auf Standardeinstellungen zurücksetzen, also habe ich den Browser zurückgesetzt und sämtliche plugins/extensions gelöscht, und anschliessend neu installiert. Seitdem gab es weder von AVG, noch von MBAM weitere Meldungen bezüglich coinhive. Nun bin ich nicht ganz sicher, ob das überhaupt ein Virus war, und wenn ja, ob ich ihn los bin. Hoffentlich kann hier Jemand ein bisschen Licht ins Dunkel bringen.

Viele Grüsse

Und der Hintergrund wird dort erklärt --> https://www.trojaner-board.de/186983...avascript.html

Vielen Dank erstmal für die Hintergrundinformationen. Dass dieses mining-script ausgeführt wird, wenn man auf eine Seite geht, die es benutzt, scheint ja anscheinend normal zu sein. Ich verstehe aber immer noch nicht ganz, warum bei mir immer schon bei Start von Firefox versucht wurde, eine Verbindung zu coinhive herzustellen, denn Google wird dieses script wohl nicht benutzen. Seit dem Zurücksetzen von Firefox bekomme ich jetzt keine Meldungen mehr vom Virenscanner, aber ich glaube es wäre doch zu schön um wahr zu sein, wenn die Sache jetzt schon erledigt wäre. Wie soll ich weiter vorgehen?

Gruß

Vermutlich hast du dir eine unseriöse Software oder Erweiterung für den FF installiert. Von allein kommt das da jedenfalls nicht rein.


Für den Anfang postest du bitte ALLE in deinem Eingangspost erwähnten Logfiles. In CODE-Tags bitte. Dann sehen wir weiter.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hier der Bericht meines MBAM Scans:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 21.10.17
Scan-Zeit: 17:07
Protokolldatei: 91990cda-b671-11e7-ba4a-a08869bade06.json
Administrator: Ja

-Softwaredaten-
Version: 3.2.2.2029
Komponentenversion: 1.0.212
Version des Aktualisierungspakets: 1.0.3061
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 8.1
CPU: x64
Dateisystem: NTFS
Benutzer: THOMAS-PC\Thomas

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 400396
Erkannte Bedrohungen: 0
(keine bösartigen Elemente erkannt)
In die Quarantäne verschobene Bedrohungen: 0
(keine bösartigen Elemente erkannt)
Abgelaufene Zeit: 10 Min., 10 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)
         

achso Funde gab es ja nicht, oder doch? Mit keinem Programm?

Nein, ich habe MBAM vor und nach dem Zurücksetzen von FF laufen lassen und in beiden Fällen gab es keine Funde. Hab danach auch noch mit HitmanPro gescannt und auch dieser hat nichts gefunden.

Hab ja anfangs den Programmstart von FF mit jeweils MBAM und AVG abwechselnd aktiviert ausprobiert. Beide haben laut den Meldungen den Verbindungsaufbau zu coinhive unterbrochen, aber nur AVG hat bei seiner Meldung JS:Miner-C [Trj] erwähnt. Gescannt habe ich mit AVG allerdings noch nicht, da ich MBAM etwas mehr vertraue.

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.