|
Diskussionsforum: Hinweise zu Ad/Malware Threads (bitte offen lassen)Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
19.01.2020, 21:31 | #31 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hinweise zu Ad/Malware Threads (bitte offen lassen) OKay, ich glaub da muss ich mich mal einlesen in diesem referer Krempel. Irgendwie versteh ich grad den Sinn da nicht, außer dass hinter dem Rücken des Users wieder Daten übertragen werden können, was dieser in einigen Fällen garnicht will.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.01.2020, 23:45 | #32 |
| Hinweise zu Ad/Malware Threads (bitte offen lassen) Tu das, ist ja schon seit Ewigkeiten Standard der Http Anfrage (so seit ca. 20 Jahren oder länger)
__________________Was zur Veranschaulichung: hxxp://rendez-vous.toile-libre.org/zerobin/?dc2379ba93a0a368#4x2mLBmD1yWBZDtazJ6Ut0ztcaJGn5jK/vbMiDi1Hr8= da Startseite http, zeigt es den Referrer auf http und https Ziel-Seite an https://sebsauvage.net/paste/?e56887ff40dbcb1b#e+M37jx1/GZnfokhpELAaAom8aKpKCnhaZVlZZPx/jM= da Startseite https, zeigt es den Referrer nur auf https Ziel-Seite an und nicht auf http-Ziel Seite Siehe auch: https://developer.mozilla.org/de/docs/Web/HTTP/Headers/Referer |
19.01.2020, 23:48 | #33 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hinweise zu Ad/Malware Threads (bitte offen lassen) Ich weiß dass es das schon länger gibt aber ich hab nie einen wirklichen Anlass bisher gehabt, mich damit kritisch auseinanderzusetzen
__________________
__________________ |
20.01.2020, 00:08 | #34 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hinweise zu Ad/Malware Threads (bitte offen lassen) Also...ich glaub das mit dem referrer hab ich verstanden. Wenn eine URL auf einer Webseite klickbar verlinkt ist und man als User da drauf klickt also zB dieser Link: https://de.wikipedia.org/wiki/Referrer Dann bekommt der Webserver der Wikipedia vom Browser des Users halt eben den referrer, dass er diesen Link im Trojaner-Board angeklickt hat. Richtig? Wie ist das jetzt im Fall vom CBD-Shop? Man sucht nach diesen Produkten bei Google, Google präsentiert einem die bekannte Liste an Suchergebnissen, welche ja klickbare Links sind. Klick ich da drauf, also auf den Link der zum CBD-Shop führt, teilt mein Browser dem Server vom CBD-Shop mit, dass ich von Google komme. Ok, soweit so gut. Aber warum bekomm ich dann irgendeinen Mist angezeigt beim ersten Klick und nur wenn ich ein Google-Suchergebnis anklicke? SInd wir wirklich auf der richtigen Spur mit dem HTTP-Referrer?
__________________ Logfiles bitte immer in CODE-Tags posten |
20.01.2020, 00:43 | #35 | |
| Hinweise zu Ad/Malware Threads (bitte offen lassen)Zitat:
Des weiteren kann ich nur mutmaßen. Ich denke ja, dieser CBD-Shop hat vielleicht irgend eine Konfiguration fürs Google Ranking, wie z.B. Google Analytics Dazu kommt evlt. https://de.wikipedia.org/wiki/Suchmaschinen-Spamming Oft ist das ja verknüpft mit einem riesigen Werbenetzwerk. Vielleicht eine Konfiguration, die sich nun ins Gegenteil verkehrt hat und als erstes leider Werbung anzeigt? Ich konnte es bei dem CBD-Shop heute in https://www.trojaner-board.de/196393-hinweise-ad-malware-threads-bitte-offen-lassen-2.html#post1728970 ja sehen, aber ich probiere es morgen (mit neuer IP) nochmal und dann nur, indem ich gar nicht erst google aufrufe und von dort aus klicke, sondern indem ich nur den Link direkt aufrufe, ihm aber einen google Referrer mit gebe (kann man machen, wenn man sich etwas mit der Materie beschäftigt und eine Firefox Erweiterung nutzt) Bei knorkator.de und pointclouds.org konnte ich das mit dem gefakten google Referrer auf jeden Fall schon erfolgreich reproduzieren. Somit ist die Weiterleitung auf jeden Fall bei diesen beiden Seiten durch den Referrer beeinflusst. Eine andere Möglichkeit wäre natürlich noch, dass die Seite selbst angegriffen und manipuliert wurde. Bei knorkator.de würde mich das nicht wundern, da ein altes Wordpress benutzt wird. Edit: vertan, so alt ist die Version doch nicht. WP 4.9.13 vom December 12, 2019 (dachte sie wäre älter, da die neueste schon länger die 5er Version ist, aber anscheinend wird die 4er Version doch noch mit Updates versorgt) Bei pointclouds.org: hm, durchaus auch möglich wenn man das liest https://github.com/PointCloudLibrary/pcl/issues/3534 https://github.com/PointCloudLibrary/pcl/issues/2381 Geändert von Citro (20.01.2020 um 01:11 Uhr) Grund: EDIT: Ergänzung |
20.01.2020, 11:21 | #36 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hinweise zu Ad/Malware Threads (bitte offen lassen) Ok, sollte das so sein, dass der Mist nur dann kommt, wenn der Browser des Users diesen referrer sendet - und zwar nur 1x pro IP bzw session und auch nur wenn man von Google kommt - dann ist das doch eher ein Problem des Webservers, weil er wenn er den entsprechenden referrer bekommt, Unerwünschtes anzeigt. Wenn dem so ist dann haben die meisten Betreiber keine Möglichkeit das selbst zu ändern. Nur wenn man einen eigenen Server voll unter Kontrolle hat mit root Zugriff und SSH und allem eben. Die meisten haben aber einen managed server und nur FTP-Zugang und vllt noch SQL.
__________________ --> Hinweise zu Ad/Malware Threads (bitte offen lassen) |
22.01.2020, 01:15 | #37 |
| Hinweise zu Ad/Malware Threads (bitte offen lassen) Ich habe es vorhin noch einmal genauer überprüft, es liegt weder an irgendwelchen Cookies, noch an Google-Ergebnis-Link-Geraffel, noch an Javascript, sondern eindeutig am google/bing Referrer. Ist dieser aus oder ein anderer, dann kommt keine Weiterleitungsseite. Dies gilt aktuell für: knorkator.de pointclouds.org auf google gefundene Unterseiten von:***.supp-corner.de/****.html bei cbdheld.com konnte ich die Weiterleitung vorhin nicht mehr feststellen, aber die Seite wurde auch geändert und anscheinend google-analytics raus genommen und generell einiges verändert. Es wäre sehr nett wenn der User cbd sich hier melden würde und berichtet was er gemacht hat und was die Weiterleitung auslöste. Es würde mich echt interessieren. Das es grundsätzlich an google Analytics liegt kann ja eigentlich nicht sein, dann wäre das Verhalten bei fast jeder zweiten Website. Dem ist aber nicht so. BTW: deine Schrift fontawesome-webfont auf deiner Webseite ist falsch verlinkt und kann nicht geladen werden (ich wollte ihm vorhin eine PN schreiben aber ich habe heute schon auf eine geantwortet und darf nur eine innerhalb von 10h schreiben ) Ich vermutete dass die .htaccess gehackt wurde bei cbd, und damit habe ich einen ziemlich guten Thread dazu gefunden, der das alles sehr gut beschreibt bei ähnlichem Verhalten. https://support.google.com/webmasters/thread/8180855?hl=en Ich hoffe cbd hat Zugriff auf die.htaccess Datei Würde mich interessieren wie die aussieht bzw. aussah (so lange da nix persönliches drin stand, was aber eigentlich nie der Fall ist) |
23.01.2020, 21:18 | #38 | ||
| Hinweise zu Ad/Malware Threads (bitte offen lassen) Zu https://www.trojaner-board.de/197574-windows-10-verschluesseltes-archiv-mail-geoeffnet-trojanerverdacht.html handelt es sich höchstwahrscheinlich darum https://www.mimikama.at/allgemein/trojaner-warnung-ursnif-trojaner-versteckt-sich-in-einer-word-datei/ Zitate daraus: Zitat:
Zitat:
https://www.trojaner-board.de/197573-windows-system-defender-malware.html#post1729167 Das das nur eines von vielen Fake Virus Werbefenstern ist, auf die man ohne Adblocker beim Surfen gerät ist aber schon klar, oder? siehe: https://malwaretips.com/blogs/remove-e-tre456-worm-windows/ Genauso bei https://www.trojaner-board.de/197551-win32-hoax-renos-hx.html siehe https://malwaretips.com/blogs/remove-your-windows-10-is-infected-with-5-viruses/ Was ich damit explizit nicht sagen will, ist dass ich eine Analyse und Bereinigung des Systems nicht sinnvoll halte. Im Gegenteil. Aber ohne Adblocker werden die User solche Dinger irgendwan immer wieder zu sehen bekommen, egal wie sauber das System ist. |
23.01.2020, 21:25 | #39 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hinweise zu Ad/Malware Threads (bitte offen lassen)Zitat:
Du hast unseren Abschlussbaustein mit den ganzen Empfehlungen aber schonmal gelesen oder?
__________________ Logfiles bitte immer in CODE-Tags posten |
23.01.2020, 21:42 | #40 |
| Hinweise zu Ad/Malware Threads (bitte offen lassen) zumindest überflogen. Ja, da steht auch uBlock Origin drin. h: Das Problem sehe ich aber etwas in der mangelnden Aufklärung im entsprechenden Thread. Da wird selten, bis gar nicht (es kann ja gerne am Schluss sein) geschrieben, dass der User lediglich auf eine Fake Seite rein gefallen ist. Ich sehe schon auch die Problematik, wenn man es am Anfang schreiben würde, dann würden evtl. die Meisten keine Logs posten und den Rechner nicht sauber machen. Aber die eigentliche Ursache sollte zum Schluss doch schon erwähnt werden. Da gehen die Leute und denken sie hätten sich wirklich einen Trojaner eingefangen der nun durchs Trojaner-Board entfernt wurde. Dem ist aber nicht so. Nur darum gehts mir. Leider können die die Meisten, die hier wegen so etwas aufschlagen, nicht den Unterschied zwischen einer wirklichen Meldung ihres AV Programmes und der Fake-AV-Seite im Browser erkennen (und das, obwohl sie wie im oberen Fall sogar noch ein Foto davon dran hängen) |
23.01.2020, 21:46 | #41 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hinweise zu Ad/Malware Threads (bitte offen lassen) Du ich hab da auch langsam keine Lust mehr, jedem da ausführlich alles zu erklären. Für die meisten ist ein Virus ein Virus ein Virus. Auch wenn es nur Adware oder ein Fehlalarm war. Nee, wenn ein Virenscanner oder adwCleaner was findet, dann wars ein Virus. Wenn sich die Gelegenheit ergibt erklär ich da auch mal was. Aber man kann einfach nicht jedem klarmachen was genau Sache ist.
__________________ Logfiles bitte immer in CODE-Tags posten |
23.01.2020, 21:55 | #42 |
| Hinweise zu Ad/Malware Threads (bitte offen lassen) Wäre nur ein Satz am Ende wie zb. "War kein Virus sondern nur eine Fake-Virus-Seite, die wahrscheinlich durch Werbung, in deinem Browser aufgerufen wurde." Aber das müsst ihr entscheiden wie ihr damit umgeht. War nur ein gut gemeinter Vorschlag meinerseits. |
03.03.2020, 12:30 | #43 |
/// TB-Schüler | Hinweise zu Ad/Malware Threads (bitte offen lassen) https://www.trojaner-board.de/198157...ml#post1731211 Da wird von den Format-C-Anhängern wieder das Plattmachen des Rechners empfohlen: https://www.computerbase.de/forum/th...rvice.1928027/ Geändert von Xynthetic (03.03.2020 um 12:37 Uhr) |
03.03.2020, 12:41 | #44 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hinweise zu Ad/Malware Threads (bitte offen lassen) Ist das schon wieder so ein Crossposter?!
__________________ Logfiles bitte immer in CODE-Tags posten |
03.03.2020, 12:42 | #45 |
/// TB-Schüler | Hinweise zu Ad/Malware Threads (bitte offen lassen) Identischer Text... |
Themen zu Hinweise zu Ad/Malware Threads (bitte offen lassen) |
account, adobe, ads, alerts, beachten, bild, cloud, counter, creative, downloader, eröffnung, fake, folge, handel, hilfesuche, hilfesuchenden, hinweise, hoffnung, https, infected, loader, lösung, meldung, meldungen, möglicher, neue, neuen, nicht, nichts, offen, offtopic, pop-ups, poste, posten, schei, standards, systemscan, thema, themas, thread, threads, troja, trojandownloader |