Hinweise zu Ad/Malware Threads (bitte offen lassen)
 

Da mein erster Thread https://www.trojaner-board.de/196220-hinweise-ad-malware-threads.html geschlossen wurde :kloppen: und mir geraten wurde einen Neuen zu eröffnen, mache ich dies hiermit.

In der Hoffnung, dass dieser offen bleibt und vielleicht auch nicht so sehr offtopic wird ;)

Zum Thema:
Zum Thread https://www.trojaner-board.de/196392-programm-ohne-namen-zeichenfolgen-verhindern-herunterfahren.html

Das scheint an Adobe Creative Cloud zu liegen, da gibts in letzter Zeit einige Meldungen dazu
https://community.kaspersky.com/kaspersky-internet-security-13/strange-coresync-application-prevents-shutdown-3249

https://linustechtips.com/main/topic/1100301-idk-whats-going-on/

https://forums.adobe.com/thread/2650942
hier auch mit möglicher Lösung https://forums.adobe.com/message/11247870#11247870

Das soll wie gesagt nur ein Hinweis sein, und ich will in keiner Weise damit verhindern, dass nicht die üblichen "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" Standards wie Systemscan mit FRST usw. nicht gemacht werden sollten

Danke erneut für deinen Hinweis.

Der TO scheint aber zunächst mal eine Analyse zu wünschen. Und dann sehen wir weiter.

Gern geschehen. Klar, Analyse ist auf jeden Fall wichtig :daumenhoc
BTW: ist es irgendwie möglich mit die per PN zu schreiben? oder lehnst du das generell ab? Ich wollte manche Dinge vorerst nicht öffentlich posten. (später vielleicht schon)

PNs hab ich nicht so gerne. Schreib es doch einfach hier rein.

werde ich machen, wenns an der Zeit ist. Wie gesagt, wollte ich mich vorher nicht öffentlich austauschen.

Cosinus schrieb hier: https://www.trojaner-board.de/196220-hinweise-ad-malware-threads-2.html#post1721870

Heute nicht mehr, jetzt bekommt man eine andere Datei mit Namen "gimp-2.10.12.3-setup_x86_x64.exe"

https://www.virustotal.com/gui/file/7fee2f8a3ded3b5e50dcb7128c0222cee0a8b285dfe201b2c08e58f8c93608ad/detection

leider erkennt kein AV Programm diesen Schrott und unter Details->Signers sieht man den bekannten Namen.

Habe ich mal installiert und sah zunächst unter AppData\Roaming\GIMP Updater\Updater.exe https://www.virustotal.com/gui/file/d601ee6fa1181d90a54ae17c0b3472c85ccef209a216efef4ee630ef917cd379/detection

Es öffnet sich dann die bekannte Seite /download_ok.php

Nach einem Rechnerneustart wird wahrscheinlich etwas entpackt (schwarzes Konsolenfenster ging kurz auf)
Danach 3 Dateien in dem Ordner
gimp.ico
uninst.exe
Updater.exe (gleicher hash wie vorherige Updater.exe)

die unsinst.exe https://www.virustotal.com/gui/file/461e2589605377fc6d67d0db2a0a61284ae8ce5343194c9d111b3de4c6f1bfb6/detection

Ich habe noch alles auf dem Rechner in der VM falls weitere Angaben erwünscht sind.

Eine Veränderung beim Start von Browsern oder bei der Suche ist mir nicht aufgefallen. (obwohl ich zusätzlich noch viel anderen Mist da installiert habe):pfeiff:

Leider gibt es einiges extrem Schädliches, was sich Nutzer durch Software installieren und was von keinem AV Programm erkannt wird. Teilweise sind es auch Dateien, die großen Schaden anrichten können, aber an sich legale Dateien sind und somit auch nicht erkannt werden.

Meist fängt man sich solche Dinger ein durch Downloads wie zb. bei Chip.de durch den Installer ein, wenn man dort die Sponsored "Angebote" nicht explizit verweigert.

Ich will mal konkret werden: Ich installiere zb. so etwas (versehentlich) mit. Im besten Fall merke ich es, weil ich in zb. Firefox eine Erweiterung habe, die vorher nicht da war. (Es muss aber gar nicht unbedingt eine Erweiterung installiert worden sein) Nun könnte man meinen, ok, dann deinstalliere ich eben das Programm wieder und lösche die Erweiterung über about:addons. Leider weit gefehlt. Bei der Installation wird nämlich der Selbstschutz von Firefox ausgehebelt (evtl. auch andere Browser, aber das habe ich nicht genauer untersucht) und genau das ist das Problem.

Die interne blocklist URL wird geändert, sodass von mozilla geblockte Erweiterungen weiterhin ausgeführt werden. Auch so Sachen wie Telemetrie werden an falsche Server geschickt.

Dies geschieht durch kurzfristige angelegte user.js oder eine Invalidprefs.js, die die prefs.js ändert und somit die Werte in about:config ändert. Diese js. Dateien sind ganz normale gültige Dateien und somit werden sie auch nie als schädlich eingestuft werden.
(Ich nutze selbst eine user.js, allerdings habe ich diese selbst händisch angelegt und weiß was ich mache)

Fazit: bei jedem Ad/Malware Befall würde ich dazu raten, danach seine Lesezeichen zu sichern und dann sowohl den Browser komplett zu deinstallieren
Danach nachsehen ob auch in
C:\Program Files
C:\Program Files (x86)
der Ordner "Mozilla Firefox" völlig weg ist
Danach
C:\Users\xxx\AppData\Roaming komplett den Ordner "Mozilla" löschen
C:\Users\xxx\AppData\Local komplett den Ordner "Mozilla" löschen
(xxx steht für den Benutzernamen)

Auch %temp% zu löschen wäre anzuraten.

Nachtrag: übrigens, warum ich in solchen Fällen nicht empfehle "nur" Firefox zurück zu setzen sondern wirklich alles zu löschen ist, dass oberhalb des Profilverzeichnises durchaus auch Daten sein können, welche weiterhin nachgeladen werden können.

@Citro
Würde es auch ausreichen, wenn ich eines meiner vielen mit MozBackup erstellten Firefox Backup einspiele?

NEIN! siehe auch meinen Nachtrag. Außerdem ist MozBackup heillos veraltet und die Entwicklung wurde eingestellt.
Wenn man Profile sichert, dann händisch. Ich erstelle einfach immer ein Zip vom Profilordner
Ist ja nicht so schwer einfach die Win Taste zu drücken %appdata%\Mozilla\Firefox\ eingeben und nen .zip zu erstellen (mit Datum versehen)

MozBackup sichert doch nur das Profil oder nicht?
Es geht doch darum, dass man nicht nur das Profil löscht und neu macht (oder eben aus einem Backup wiederherstellt) sondern eben auch, das Programmverzeichnis vom Firefox zu löschen und den Firefox dann neu zu installieren.

Das kann man auch wunderbar selbst scripten...7z und winrar haben ja ein exe dafür, also ein CLI Tool :cool:

Danke, das wollte ich nur wissen, dann müsste ich also Firefox mit Geek Uninstaller deinstallieren, danach noch vorhandene Ordner von Firefox und Mozilla löschen, danach Firefox neu installieren und dann ein Backup mit MozBackup einspielen. Übrigens: auch wenn MozBackup veraltet ist und nicht mehr weiterentwickelt wird, es funktioniert immernoch problemlos, damit Firefox Profile als Backup zu erstellen und diese einzuspielen.

Zu https://www.trojaner-board.de/196986-norton-zeigt-trojaner-bitcoin-miner-angriff-speicherplatz-verschwindet-hoher-datenverkehr.html#post1725888

Unabhängig vom Rat von Win7 auf Win10 zu wechseln: man sehe sich mal die hosts Datei an :daumenrunter:

Ob sein "ziemlich wichtiges Projekt" wohl mit einem gecrackten Adobe-Produkt zu tun hat? Kein Wunder dass der TO kein Windows 10 installieren will. Da müsste man ja alles neu cracken.

Jo, das hab auch gesehen. Ich wollte aber erstmal den generellen Grund darlegen :D

bezüglich https://www.trojaner-board.de/197402-weiterleitung-http-pointclouds-org-andere-seite-trojaner.html#post1728226
ist das gleiche wie https://www.trojaner-board.de/195227-klick-suchergebnis-oeffnet-ploetzlich-nur-einmal-omnioesen-spam-link.html#post1714137
und ich kann es auch reproduzieren wenn ich erstmalig von google ausgehend
https://www.google.de/search?q=pointclouds.org
oder
https://www.google.de/search?q=knorkator.de
auf das Suchergebnis klicke.
Die Frage ist nur: kommt das von google oder von der Webseite, die man von google aus ansurft?

Klappt übrigens nur die ersten Male, bis man wieder eine neue IP hat (und evtl. auch Cookies usw. gelöscht hat?)

bezüglich: https://www.trojaner-board.de/197542-google-website-oeffne-oeffnet-werbung-seite.html#post1728966
wieder das gleiche wie oben beschrieben wenn ich nach
https://www.google.de/search?q=cbdheld.com
suche und auf das erste Suchergebnis cbheld.com klicke
Habe jetzt mal die Netzwerkanalyse vorher an gemacht und nen Screenshot davon
Mir scheint es irgendwie es geht von google aus, oder?
Allerdings ist das nicht bei jeder Domain-Suche :wtf:

Taucht bei mir nicht auf. (FF mit adblocker und cookie auto delete )
( auch nicht in Chrome und Edge)

och man, natürlich sollte man für diesen Test einen Browser nackt verwenden, also ohne Adblocker usw.
Und einmal auf der richtigen Seite gelandet, braucht es zudem eine neue IP um es reproduzieren zu können.

Auf einem zweiten PC getestet am selben Router auch mit FF und "Zubehör".
Dort wird umgelenkt.
Einziger Unterschied: Der erste PC ist W10 neu, der zweite W10 von W7 upgradet.

Das muss irgendein dummer Fehler von Google sein. Wir hatten hier im Forum in der Vergangenheit auch mal einige User, die das TB über Google suchten und dann auf einen der ersten 5 Links klickten, da kam dann statt trojaner-board.de auch erstmal irgendein Mist in den Browser rein :balla:

Welches Betriebssystem man hat ist völlig egal. Ich hab diese Umlenkung bei mir einem Firefox Beta unter Debian Bullseye. Beim ersten Mal gleich und mit den Addons NoScript, uBlock und einem pihole als DNS-Server.

Super danke das ihr euch das anschaut, ich verstehe es auch nicht. Bin nicht in solchen sagen, bei mir ist es auch so das es nur 1x kommt, wenn ich es reproduzieren will brauch ich wie schon jemand erwähnte eine neue ip. Manchmal kommt es auch Tage nicht.
Wenn es mal kommt dann so, ich klicke den Link auf google, und oben in der Browser leiste steht erstmal der normale Link von google kurzbe vor es auf eine Seite geht, aber anstatt auf cbdheld zu gehen kommt eine andere google adresse im Browser ja und dann eben wechselt der browser auf die Werbung, meist dieses Google gewinnspiel. Habe inzwischen alle plugins im Opencart deaktiviert oder auch von anderen Anbietern installiert aber es anscheinend ist es trotzdem noch.

Hmm soweit ich weis gibt es keine möglichkeit google direkt anzuschreiben oder?
einfach um daraufhin zuweisen.
Hab nochmal meinen Hoster gefragt der kann sich das auch nicht erklären. Er meinte es muss an den plugins liegen aber das ist es auch nicht.

aufjedenfall danke für eure analyse.
ist halt echt blöd weil seitdem fast kein Kunde mehr kommt.

Wobei obwohl das so passiert das ranking trotzdem besser wird und die Seite immer weiter vorrutscht in google obwohl ja der crawler von google eigentlich ja auch immer manchmal auf die Seite weitergeleitet werden müsste, und so ja einen total unbeständigen und schlechten content feststelen müsste.
Hab alle backlinks probiert von allen Beiträgen, Foren ... und da passiert das nicht also wirklich nur über google

@cbd:
Ich hab versehentlich dein Thema in die Tonne geschmissen, weil ich da was verwechselt habe :stirn:

Was ist denn wenn man deinen shop über eine andere Suchmaschine sucht, kommt das dann auch?

es ist so das es echt nur bei google ist.

habs ehrlich gesagt bei anderen nicht sooft versucht aber wie aussieht nur bei google.
hab gerade das gefunden

https://support.google.com/websearch/answers/6223687?hl=de&ref_topic=3285072

https://www.google.com/webmasters/tools/spamreportform?pli=1

Hier kann ich es melden aber nicht das dann meine aus der suche rausgenommen wird, falls es nicht ein fehler von google ist. des wär halt dann blöd.

gerade mal eine Adresse gefunden, bei der man sehr schön sieht, dass es von google kommt

https://www.google.com/search?q=odsb.supp-corner.de

bei allen Treffern wird weiter geleitet. Die eigentliche Domain hat überhaupt keinen Inhalt
Selbst in Firefox mit javascript.enabled auf false

Macht Google das absichtlich oder ist das ein Bug?! :wtf:

Gute Frage, würde mich auch interessieren. Ob wir darauf eine vernünftige Antwort finden, ist allerdings fraglich :pfeiff:

Mich hat dieses Google URL Geraffel schon immer gestört, deshalb nutze ich in meinem Standardprofil auch
https://addons.mozilla.org/de/firefox/addon/dont-track-me-google1/

Ist eine etwas merkwürdige Domain. Stellt man eine andere
Buchstabenkombination davor z.B. xxxx werden völlig andere angebliche Treffer angezeigt
Man landet im Endeffekt aber wieder auf der Gameseite
Das kann kein Zufall sein

verhindert im obigen Fall aber auch nix, stelle ich gerade fest:kloppen:
Es liegt am Referer
Stelle ich network.http.sendRefererHeader auf 0 dann werde ich auf die richtige (leere) Zielseite geleitet.

Jetzt habe ich mal bissel den Referer manipuliert, sodass der Referer immer google.de ist, selbst wenn ich die URL

hxxp://odsb.supp-corner.de/wincnc-touch.html

direkt in die Adressleiste eingebe
dann wird umgeleitet
wenn ich den Referer auf "hxxp://bing.de" stelle wird auch umgeleitet
wenn ich den Referer auf "hxxp://ring.de" stelle wird nicht umgeleitet

somit scheint google an sich wohl zumindest bei dieser url unschuldig zu sein. Es muss irgendwie auf dem Server der betreffenden Seite konfiguriert sein, dass/wie/wann man umgeleitet wird

Also sendet der Firefox selbst an den Server den man per Klick auf den Link besucht, wo man sich gerade vorher befand (Googlesuche oder wo auch immer), versteh ich das richtig?!

Aber wieso bekommt man da irgendeine Sch...seite zu Gesicht und dann auch nur 1x und dann erst wieder wenn sich die IP ändert - und das nur bei einem Klick auf einen Link in einer Googlesuche und bei keiner anderen Suchmaschine? Ich versteh den Sinn und Zweck gerade irgendwie garnicht :balla:

klar, wenn du auf nen Link der google-Suche klickst, sendet der Browser (jeder, nicht nur Firefox) bzw. die Seite einen Referer mit, von wo du kommst (google.de, google.com usw)
Bei bing wird genauso ein Referer mit gesendet wenn ich dort auf ein Suchergebnis klicke und bei x anderen Seiten auch. (Sicherlich auch hier im Forum)
Man bekommt zb. mit google als Referer auch teilweise anderen Content zu sehen, als wenn man den Link direkt in die Adresszeile eingibt.
z.B. kann man manche Artikel gar nicht lesen bei bestimmten Zeitungen, wenn man direkt die URL aufruft.

Ich habe mal kurz ein Beispiel rausgesucht:

https://www.zeit.de/2019/39/berufsschule-ausbildung-berufsbildungszentrum-bbz-bildungssystem

kannst nicht unangemeldet weiter lesen wenn du den Link in die Adresszeile so eingibst.
Löschst du dann alle Website Daten von zeit.de und gibst die URL bei google ein erhältst du

https://www.google.de/search?q=https%3A%2F%2Fwww.zeit.de%2F2019%2F39%2Fberufsschule-ausbildung-berufsbildungszentrum-bbz-bildungssystem

Klickst du dann den Link an, wird der google Referer mit gesendet und du kannst den Artikel vollständig lesen.

Den Rest kann ich dir nicht beantworten.

OKay, ich glaub da muss ich mich mal einlesen in diesem referer Krempel. Irgendwie versteh ich grad den Sinn da nicht, außer dass hinter dem Rücken des Users wieder Daten übertragen werden können, was dieser in einigen Fällen garnicht will.

Tu das, ist ja schon seit Ewigkeiten Standard der Http Anfrage (so seit ca. 20 Jahren oder länger) :eek:

Was zur Veranschaulichung:

hxxp://rendez-vous.toile-libre.org/zerobin/?dc2379ba93a0a368#4x2mLBmD1yWBZDtazJ6Ut0ztcaJGn5jK/vbMiDi1Hr8=

da Startseite http, zeigt es den Referrer auf http und https Ziel-Seite an

https://sebsauvage.net/paste/?e56887ff40dbcb1b#e+M37jx1/GZnfokhpELAaAom8aKpKCnhaZVlZZPx/jM=

da Startseite https, zeigt es den Referrer nur auf https Ziel-Seite an und nicht auf http-Ziel Seite

Siehe auch: https://developer.mozilla.org/de/docs/Web/HTTP/Headers/Referer

Ich weiß dass es das schon länger gibt :D aber ich hab nie einen wirklichen Anlass bisher gehabt, mich damit kritisch auseinanderzusetzen :o

Also...ich glaub das mit dem referrer hab ich verstanden.

Wenn eine URL auf einer Webseite klickbar verlinkt ist und man als User da drauf klickt also zB dieser Link:

https://de.wikipedia.org/wiki/Referrer

Dann bekommt der Webserver der Wikipedia vom Browser des Users halt eben den referrer, dass er diesen Link im Trojaner-Board angeklickt hat. Richtig?

Wie ist das jetzt im Fall vom CBD-Shop? Man sucht nach diesen Produkten bei Google, Google präsentiert einem die bekannte Liste an Suchergebnissen, welche ja klickbare Links sind. Klick ich da drauf, also auf den Link der zum CBD-Shop führt, teilt mein Browser dem Server vom CBD-Shop mit, dass ich von Google komme.

Ok, soweit so gut. Aber warum bekomm ich dann irgendeinen Mist angezeigt beim ersten Klick und nur wenn ich ein Google-Suchergebnis anklicke? SInd wir wirklich auf der richtigen Spur mit dem HTTP-Referrer? :wtf:

RICHTIG:applaus:

Des weiteren kann ich nur mutmaßen.
Ich denke ja, dieser CBD-Shop hat vielleicht irgend eine Konfiguration fürs Google Ranking, wie z.B. Google Analytics
Dazu kommt evlt.

https://de.wikipedia.org/wiki/Suchmaschinen-Spamming

Oft ist das ja verknüpft mit einem riesigen Werbenetzwerk. Vielleicht eine Konfiguration, die sich nun ins Gegenteil verkehrt hat und als erstes leider Werbung anzeigt? :aufsmaul:

Ich konnte es bei dem CBD-Shop heute in https://www.trojaner-board.de/196393-hinweise-ad-malware-threads-bitte-offen-lassen-2.html#post1728970 ja sehen, aber ich probiere es morgen (mit neuer IP) nochmal und dann nur, indem ich gar nicht erst google aufrufe und von dort aus klicke, sondern indem ich nur den Link direkt aufrufe, ihm aber einen google Referrer mit gebe (kann man machen, wenn man sich etwas mit der Materie beschäftigt und eine Firefox Erweiterung nutzt)

Bei knorkator.de und pointclouds.org konnte ich das mit dem gefakten google Referrer auf jeden Fall schon erfolgreich reproduzieren.
Somit ist die Weiterleitung auf jeden Fall bei diesen beiden Seiten durch den Referrer beeinflusst.

Eine andere Möglichkeit wäre natürlich noch, dass die Seite selbst angegriffen und manipuliert wurde.
Bei knorkator.de würde mich das nicht wundern, da ein altes Wordpress benutzt wird.
Edit: vertan, so alt ist die Version doch nicht. WP 4.9.13 vom December 12, 2019 (dachte sie wäre älter, da die neueste schon länger die 5er Version ist, aber anscheinend wird die 4er Version doch noch mit Updates versorgt)

Bei pointclouds.org: hm, durchaus auch möglich wenn man das liest

https://github.com/PointCloudLibrary/pcl/issues/3534
https://github.com/PointCloudLibrary/pcl/issues/2381

Ok, sollte das so sein, dass der Mist nur dann kommt, wenn der Browser des Users diesen referrer sendet - und zwar nur 1x pro IP bzw session und auch nur wenn man von Google kommt - dann ist das doch eher ein Problem des Webservers, weil er wenn er den entsprechenden referrer bekommt, Unerwünschtes anzeigt.

Wenn dem so ist dann haben die meisten Betreiber keine Möglichkeit das selbst zu ändern. Nur wenn man einen eigenen Server voll unter Kontrolle hat mit root Zugriff und SSH und allem eben. Die meisten haben aber einen managed server und nur FTP-Zugang und vllt noch SQL.

Ich habe es vorhin noch einmal genauer überprüft, es liegt weder an irgendwelchen Cookies, noch an Google-Ergebnis-Link-Geraffel, noch an Javascript, sondern eindeutig am google/bing Referrer. Ist dieser aus oder ein anderer, dann kommt keine Weiterleitungsseite.
Dies gilt aktuell für:

knorkator.de
pointclouds.org
auf google gefundene Unterseiten von:***.supp-corner.de/****.html

bei cbdheld.com konnte ich die Weiterleitung vorhin nicht mehr feststellen, aber die Seite wurde auch geändert und anscheinend google-analytics raus genommen und generell einiges verändert.

Es wäre sehr nett wenn der User cbd sich hier melden würde und berichtet was er gemacht hat und was die Weiterleitung auslöste. Es würde mich echt interessieren.
Das es grundsätzlich an google Analytics liegt kann ja eigentlich nicht sein, dann wäre das Verhalten bei fast jeder zweiten Website. Dem ist aber nicht so.
BTW: deine Schrift fontawesome-webfont auf deiner Webseite ist falsch verlinkt und kann nicht geladen werden ;)

(ich wollte ihm vorhin eine PN schreiben aber ich habe heute schon auf eine geantwortet und darf nur eine innerhalb von 10h schreiben :wtf: )

Ich vermutete dass die .htaccess gehackt wurde bei cbd, und damit habe ich einen ziemlich guten Thread dazu gefunden, der das alles sehr gut beschreibt bei ähnlichem Verhalten.
https://support.google.com/webmasters/thread/8180855?hl=en

Ich hoffe cbd hat Zugriff auf die.htaccess Datei
Würde mich interessieren wie die aussieht bzw. aussah (so lange da nix persönliches drin stand, was aber eigentlich nie der Fall ist)

Zu
https://www.trojaner-board.de/197574-windows-10-verschluesseltes-archiv-mail-geoeffnet-trojanerverdacht.html

handelt es sich höchstwahrscheinlich darum

https://www.mimikama.at/allgemein/trojaner-warnung-ursnif-trojaner-versteckt-sich-in-einer-word-datei/

Zitate daraus:
Zu
https://www.trojaner-board.de/197573-windows-system-defender-malware.html#post1729167

Das das nur eines von vielen Fake Virus Werbefenstern ist, auf die man ohne Adblocker beim Surfen gerät ist aber schon klar, oder?
siehe: https://malwaretips.com/blogs/remove-e-tre456-worm-windows/

Genauso bei
https://www.trojaner-board.de/197551-win32-hoax-renos-hx.html
siehe
https://malwaretips.com/blogs/remove-your-windows-10-is-infected-with-5-viruses/

Was ich damit explizit nicht sagen will, ist dass ich eine Analyse und Bereinigung des Systems nicht sinnvoll halte. Im Gegenteil.
Aber ohne Adblocker werden die User solche Dinger irgendwan immer wieder zu sehen bekommen, egal wie sauber das System ist.

Nee, noch nie gehört citro!!! :rofl:
Du hast unseren Abschlussbaustein mit den ganzen Empfehlungen aber schonmal gelesen oder? :D

zumindest überflogen. Ja, da steht auch uBlock Origin drin. :daumenhoch:
Das Problem sehe ich aber etwas in der mangelnden Aufklärung im entsprechenden Thread.
Da wird selten, bis gar nicht (es kann ja gerne am Schluss sein) geschrieben, dass der User lediglich auf eine Fake Seite rein gefallen ist.

Ich sehe schon auch die Problematik, wenn man es am Anfang schreiben würde, dann würden evtl. die Meisten keine Logs posten und den Rechner nicht sauber machen.

Aber die eigentliche Ursache sollte zum Schluss doch schon erwähnt werden. Da gehen die Leute und denken sie hätten sich wirklich einen Trojaner eingefangen der nun durchs Trojaner-Board entfernt wurde. Dem ist aber nicht so. Nur darum gehts mir.

Leider können die die Meisten, die hier wegen so etwas aufschlagen, nicht den Unterschied zwischen einer wirklichen Meldung ihres AV Programmes und der Fake-AV-Seite im Browser erkennen :wtf: (und das, obwohl sie wie im oberen Fall sogar noch ein Foto davon dran hängen)

Du ich hab da auch langsam keine Lust mehr, jedem da ausführlich alles zu erklären. Für die meisten ist ein Virus ein Virus ein Virus. Auch wenn es nur Adware oder ein Fehlalarm war. Nee, wenn ein Virenscanner oder adwCleaner was findet, dann wars ein Virus. Wenn sich die Gelegenheit ergibt erklär ich da auch mal was. Aber man kann einfach nicht jedem klarmachen was genau Sache ist.

Wäre nur ein Satz am Ende wie zb.

"War kein Virus sondern nur eine Fake-Virus-Seite, die wahrscheinlich durch Werbung, in deinem Browser aufgerufen wurde."

Aber das müsst ihr entscheiden wie ihr damit umgeht. War nur ein gut gemeinter Vorschlag meinerseits. :party:

https://www.trojaner-board.de/198157...ml#post1731211
Da wird von den Format-C-Anhängern wieder das Plattmachen des Rechners empfohlen:
https://www.computerbase.de/forum/th...rvice.1928027/

Ist das schon wieder so ein Crossposter?! :pfui:

Identischer Text...

Doppelt genäht hält besser :pfeiff:

Der Ansicht ist wohl auch der TO. Jetzt beschwert er sich, dass er hier noch keine Hilfe bekommen hat, dabei wurde ihm drei Minuten nach seinem Eröffnungspost der "Lesestoff für alle Hilfesuchenden" verlinkt. An cosinus' Stelle würde ich jetzt die Krise kriegen.

Ja ich bin auch kurz davor den Thread in die Tonne zu kicken!

Darf ich Dir behiflich sein:Boogie:

https://www.trojaner-board.de/198255-windows-10-firefox-browser-leitet-sporadisch-binnen-google-suche-spamseiten-um.html#post1731712
Und wieder ein typischer reproduzierbarer Fall wie die vorherigen anderen, in diesem Thread genannten, auch. Es liegt am Referrer und vermutlich ist die Website kompromittiert worden.

Bei dem ist man leider vom 100. ins 1000. gekommen. :pfeiff:

https://www.trojaner-board.de/198325-windows-10-trojaner-trojan-ole2-vbs-heuristic-druvzi-verursacht-email-flut.html
Nicht so gut, wenn die Profis, ähm der Der McAfee-Support, die Ursnif-dll nicht entdeckt:
OK, also hinsichtlich Virus, also file infector, ist bei dem System nichts...

Bekommt man eigentlich ein Protokoll über das wilde Remote-Rumgedokter?

Wer weiß ob das wirklich der echte McAfeeSupport war :balla: :D

Bezüglich:
https://www.trojaner-board.de/198436-firefox-verdaechtige-redirects.html

Warum werden da keine Logs gefordert sondern dem Fragesteller wird lediglich ein Link auf die google Suche von addons.mozilla.org Seite genannt.
Ich wundere mich schon sehr, dass dies von einem Helfer aus dem Team geschieht .

Diese Redirects sind m.M. nicht normal und kommen bei mir nicht vor (Firefox ohne jeglichen Addons) und sind vermutlich auf Ad/Malware auf dem PC zurück zu führen.
Aber ohne Logs sind das alles nur Vermutungen. :wtf:

Du hast Recht, aber jetzt ist es quasi schon zu "spät", der TO hat sich selbst geholfen.

Ich habe das Thema erst jetzt bemerkt.

Um nochmal auf die referer setting zurückzukommen, ob und welcher vom Browser gesendet wird sieht man da (bitte den Link auch anklicken zum öffnen) --> https://whatsmyreferer.com/

Standardeinstellung: da sollte was von trojaner-board.de stehen weil es ja im TB verlinkt wurde

Im Firefox kann man aber auf einen spoof einstellen, dann wird die Ziel-URL als whatsmyreferer selbst als referer benutzt.

Yep, genau
Wo genau? oder meinst du mit einer Erweiterung?

Öffne mal die about:config in Firefox und filter dann die Ansicht nach referer
Da findest du eigentlich alle relevanten Einstellungen

Ich hab den Firefox jetzt so eingestellt, dass er immer nen referer sendet, nichts trimt (abschneidet) also alles auf Standard bis auf

network.http.referer.spoofSource

den hab ich auf true gesetzt - mach das mal und schau nach was wahtismyreferer anzeigt :D

achso, okay.
network.http.sendRefererHeader kannte ich (würde aber davor warnen diesen umzustellen)
network.http.referer.spoofSource war mir in der Tat neu.

Ansonsten regel ich das eh anders (mit Erweiterung) weil ich da feiner und dauerhaft konfigurieren kann.

Ja, den referer komplett zu deaktivieren, davon wird abgeraten siehe https://www.privacy-handbuch.de/handbuch_21p.htm

Wie verhält sich der Firefox im privaten Modus denn? Wie andere Browser und wie der tor browser?

hör mir blos auf mit diesem privacy-handbuch.de, dort habe ich schon so viel Quatsch gelesen, (auch wenn dort bezüglich dieses Punktes wenigstens was richtiges steht).

Wie sich Firefox Firefox im privaten Modus verhält könntest du aber eigentlich selbst mit einem Klick heraus finden. Man kann ja einfach ein neues Privates Fenster öffnen.

bei network.http.referer.spoofSource auf false (Standard) wird im privaten Modus von Firefox lediglich die Domain als Referer angezeigt und nicht der gesamte Thread-Link.

Ok Quatsch mag sein :) wie lautet denn deine Empfehlung?

Ich bin noch nicht so ganz sicher ob ich spoofen, XOriginPolicy auf 2 oder nur trimmen sollte...

Mit Empfehlungen ist das immer so eine Sache :) Jeder setzt da andere Schwerpunkte.

network.http.referer.spoofSource auf false ist wohl die einfachste Möglichkeit generell, ich würde aber grundsätzlich von Änderungen in about:config abraten..
Es könnte nämlich durchaus sein, dass Domain x zwingend den Referer von Domain y braucht zb. um einen Download zu starten.

Ich habe mal auf addons.mozilla.org geschaut was es da alles gibt: https://addons.mozilla.org/de/firefox/addon/referrer-switch/ ist eigentlich genau das was du wahrscheinlich haben willst. Die Erweiterung ist auch recht klein und der Quelltext sieht sauber aus. Einziges Manko: Die Icons sind für meinen Geschmack etwas unglücklich/zu unscheinbar gewählt.

Ich verwende auf dem Handy https://addons.mozilla.org/de/firefox/addon/smart-referer
und auf dem Desktop Rechner https://addons.mozilla.org/de/firefox/addon/referercontrol
Wobei ich letzteres eigentlich kaum empfehlen kann weil es ist sehr umständlich einzurichten und hat zudem ein paar kleine Fehler.

Anmerkung: wenn du Erweiterungen die Ausführung in private Fenstern haben willst musst du ihr unter about:addons dafür auch die Berechtigungen geben
https://support.mozilla.org/de/kb/erweiterungen-im-privaten-surfen?as=u&utm_source=inproduct#w_erweiterungen-in-privaten-fenstern-aktivieren-oder-deaktivieren

Du meinst spoofSource auf true? Ich lass es erstmal auf true. Dann "denkt" jeder Webserver ich sei von einem Link bei ihm selbst raufgekommen oder nicht?

ups, ja ich meinte auf true (sorry, kann oben meinen Text leider nicht mehr berichtigen)

Aber ich würde empfehlen network.http.referer.spoofSource auf false zu belassen und lieber die Erweiterung Referrer Switch nehmen. Macht letztendlich das gleiche aber ist besser handhabbar.

https://addons.cdn.mozilla.net/user-media/previews/thumbs/202/202536.png dort die mittlere Einstellung

Ähm ich wollte da aber eigentlich nicht noch ein Addon installieren und ständig da rumfummeln. Hab mit NoScript schon viel zu viel zu tun :D

Bislang hatte ich keine Probleme. Und einer bei heise.de hatte auch mit XOriginPolicy=2 schon so gut wie keine Probleme

mach was du willst
Für welche der x Möglichkeiten hast du dich denn jetzt entschieden in about:config?

Also ich denke ich belasse alles auf default nur spoofSource setze ich auf true. Mal sehen ob ich auf Probleme stoße.

https://www.trojaner-board.de/196393-hinweise-ad-malware-threads-bitte-offen-lassen-2.html#post1728998 dort hatte ich bereits ein Beispiel genannt.

Joa, mal sehen ob mich das persönlich noch irgendwann stört oder nicht.

Zu
https://www.trojaner-board.de/198479-potentielle-infektion-malware-click-phishing-link-frst-laesst-installieren.html
Das ist bei mir auch so unter einem 64bit System. Man muss halt unter einem 64bit System auch die FRST64.exe herunter laden :rolleyes:

Wenn der WD das wegschnappt, hat das aber nichts damit zu tun, dass auf dem 64-Bit-System eine 32-Bit-FRST.exe gefunden wurde... :crazy:

ja, aber was ist der Grund für diese Meldung?
Dass auf einem 64bit System grundsätzlich auch .exe Dateien für 32bit ausgeführt werden können und nicht schädlich sind ist mir klar.
Mich würde interessieren ob auf einem 32bit System DIESE FRST.exe auch vom Windows Defender als schädlich erkennt werden würde.

Der grund dafür ist, dass der WD nen Schädling in der FRST.exe sieht. :blabla: (ist ein Fehlalarm)

Auf einem meiner Windows-10-Testkisten hier im Büro kommt die Meldung von FRST, dass diese Version nicht für ein 64-Bit-Windows bestimmt sei. :)

Ja, FRST ist mit AutoIt geschrieben. :D

farbar und picasso testen FRST regelmäßig bei VT und melden den Herstellern relativ schnell, wenn diese das Tool fälschlicherweise erkennen.

WD einmal kurz manuell updaten lassen und das Problem ist in der Regel weg, da Microsoft den Windows Defender auch mehrmals pro Tag updatet.


Interessant finde ich allerdings folgendes:
Manche Anti-Malwareprogramme blockieren FRST direkt beim Starten (wenn überhaupt).
Aber bei einem Fix wird FRST nie blockiert, obwohl FRST hier oft massiv ins System eingreift (sofern nötig) und eigentlich ein "äuffliges/untypisches Verhalten" zeigt.

Vielleicht haben es viele bereits in einer Whitelist.

Zu
https://www.trojaner-board.de/198657...ml#post1733479
Dort schreibt der Themenersteller u.a.
(Hervorhebung durch mich)

Das ist ziemlich eindeutig vom falschen VLC Player
Erstmal udp.exe deinstalieren siehe auch https://www.vlc-forum.de/thread/3264-udt-exe/ ggf. diese Datei im Taskmanager auch erst einmal killen.
und danach die Schritte durchführen lassen zur weiteren Analyse.

Seit wann blockiert der VLC-Fake FRST und sorgt für solche Meldungen, die eher an ein zerschossenes Windows oder defektem RAM erinnern?

keine Ahnung, udt.exe ist auf jeden Fall durch diesen fake VLC Updater verursacht. Und wenn 0xc0000006 auf diese udt.exe bezogen ist, kann es durchaus damit zusammen hängen.
Weiteres wird man erst durch genauere Analyse sagen können.

Genauere Analyse nicht möglich. FRST geht ja nicht. Und dann muss der auch noch per Fernwartung helfen. Das ist kein Fall wo man irgendwelchen Laien per Forum weiterhelfen kann. Das wär so, als wenn ich meine Werkstatt anrufe und mir per Telefon instruieren lasse, wie man den Zahnriemen wechselt :wtf:

Erstmal udt.exe deinstallieren vielleicht geht danach FRST ja. Aber das schrieb ich ja bereits.
Per Fernwartung mit Teamviewer ist ja nicht zu vergleichen mit Anweisungen per Telefon. Seine Eltern müssen ja nix machen (außer Teamviewer zu starten) und er hat doch dann vollen Zugriff darauf.

Ich ging ja von defekter Hardware aus. Da hilft Teamviewer nichts. Junkware verursacht solche geschildterten Probleme i.A. nicht!

Evtl. funktioniert der abgesicherte Modus.

Mich würde interessieren, ob man eine Batch-Datei ausführen könnte... :D

Bevor man über versucht irgendwas zu deinstallieren oder auszuführen, sollte man wissen ob die Hardware i.O. ist. Sonst stochert man rum und stempelt irgendwelche weiteren Fehlfunktionen wieder als ultrafiese magic malware ab :balla: :pfui:

Dass hier was defekt ist, dafür sprechen ja einige Fakten:
-- Fehlermeldungen erinnern an defektem RAM oder Platte mit vielen kaputten Sektoren
-- Programme spinnen oder lassen sich nicht ausführen
-- System extrem langsam

Zudem spricht gegen Malware, dass
-- Junkware bzw der VLC-Fake FRST bislang noch nie blockiert hat
-- diese unerkannt bleiben will und keine solchen Meldungen erzeugt, die an kaputte Hardware erinnern

Ich wäre für: Rechner mit nem Linux hochfahren und dann erstmal die SMART-Werte checken, sind die alle okay, ist der RAM mit memtest86 dran. Ist der auch okay, bleibt eigentlich nur noch eine andere defekte Komponente oder zerschossenes Windows. Aber an malware glaub ich in so einem Fall nicht wirklich.

Zu https://www.trojaner-board.de/198674...e-richtig.html
Eieiei, der User sollte schon richtig lesen und einordnen können welche Art der Warnung das ist. Er hat auf jeden Fall die richtige Erweiterung von Dark Reader mit der UUID Und diese ist sogar von Mozilla empfohlen. https://addons.mozilla.org/de/firefox/addon/darkreader/

Also seine Probleme kommen keinesfalls von dieser Erweiterung.
Aber er hat auch ein seltsames Betriebssystem namens "Windoof 10" vielleicht liegts daran:killpc:. Ich kenne höchstens "Windows 10".:pfeiff:

Alles richtig:blabla:
Aber Hardwarecheck ohne die Möglichkeit, Prüfprogramme zu installieren:Boogie:
Linux über Fernwartung, ohne die Kenntnisse der Eltern zu kennen?
Sehen wir mal, wie der Thread weiter geht:glaskugel:

Meine Meinung zu dem Thread:
Da beutelt jemand durch die Corona-Krise die Langeweile und glaubt, das Forum beschäftigen zu müssen. Cosinus hatte letztens auch so einen TO, wo man dachte, der ist zum Lesen zu dämlich. Der landete dann ganz schnell in der Tonne.

Schnell ist relativ. :pfeiff:

Die allermeisten User die hier Hilfe suchen, sind hier zum ersten und
(nicht negativ gemeint ) zum letzten Mal.
Es gibt ab und zu welche, die anscheinend ein Abo gebucht haben.
Heute morgen hat jemand ein Problem gemeldet (startfenster.de)
Ein Dauerbrenner > ungefähr 200 Threads
An sich nichts ungewöhnliches aber das Registrierungsdatum machte
mich neugierig (2008)
Seit 2014 durchschnittlich einmal pro Jahr ein Hilferuf.
Manche User lernen es anscheinend nicht....

Oder sind einfach faul, dank dieses Forums (nicht böse gemeint).:rofl:

Hatte schon fast den Eindruck, dass M-K-D-B Dich zum Trollbetreuer der Woche abkommandiert hat:abklatsch::taenzer::daumenhoc

Naja, ich hab schon ein Talent dafür, mir die Deppen und Trolle zu angeln :blabla:

Sry, habe mitgelesen und gegrinst und mich schwer gehütet, zu poste. Hut ab für Deinen Langmut:daumenhoc:daumenhoc

Vielleicht mal den Köder wechseln? :zunge:

Zu https://www.trojaner-board.de/198822...ement-com.html

Wenn in den Kommentaren wirklich ein Link eingefügt wurde,der so aussah
http://https//www.heise.de/tp/featur...html?seite=all
Dann ist das ein völlig normales Verhalten wenn man danach auf
http://www.https.com//www.heise.de/t...html?seite=all
landet.

Wie man sieht wird versucht die Adresse http://https zu laden. Firefox ergänzt jede fehlende Domain standardmäßig mit .com (browser.fixup.alternate.suffix) somit wird daraus http://https.com und zwar völlig egal was dahinter kommt dort könnte auch http://www.https.com//blabla stehen. Es bleibt die Seite von homeimprovement.com

[strike]Auf der Ausgangsseite sehe ich allerdings gar keinen Link der so aussah, sondern lediglich im Artikel selbst, aber vielleicht war der mal falsch verlinkt und es wurde zwischenzeitlich behoben.[/strike]

EDIT: oh, ich habe den falschen Link doch gefunden und zwar in Kommentar https://scilogs.spektrum.de/menschen...#comment-42459 (Rüdiger Mende 24.04.2020, 11:40 Uhr )

Also kein Grund sich deshalb Sorgen zu machen. Es wurde vom Kommentator nur falsch verlinkt.

Und was soll uns Dein Beitrag jetzt sagen?

Was verstehst du an meinem Beitrag nicht?
siehe auch mein EDIT
Das was dem User passiert ist, ist ein völlig normales Browser Verhalten (zumindest in Firefox, andere Browser hab ich jetzt nicht ausprobiert) und hat rein gar nichts mit Ad/Malware zu tun.
Ich hänge mal noch ne Grafik dran

Da magst Du recht haben, Erkläre das aber mal den TOs. Überall lauert böse Malware:headbang:

Mangels Berechtigungen kann ich da vorne nix schreiben, aber das weißt du ja selbst. Somit bleibt mir nur die Möglichkeit den User per PN zu informieren.

Allerdings hast du mich gefragt was mein Beitrag bringen soll. Anscheindend hast du es zumindest vor 1h noch nicht gewusst oder verstanden.
Aber jetzt scheint es ja klar zu sein ;)

Ganz ehrlich?
Ich verfolge nicht jeden Link, den ein TO postet. Wenn das Eingangsprocedere durch ist, sehen wir was los ist. Dann sehen wir weiter.

Es gibt anscheinend neue Aktivitäten rund um diesen www1-online-müll. Hab da schon vier Threads diese Woche entdeckt, allein heute zwei!! :wtf:


https://www.trojaner-board.de/198847...ce-update.html
https://www.trojaner-board.de/198856...ce-update.html
https://www.trojaner-board.de/198827...dows-10-a.html
https://www.trojaner-board.de/198690...mp-update.html
https://www.trojaner-board.de/198681...mp-update.html

Ja, habs verfolgt. Was soll ich machen? Scheint so zu sein, dass das Teil halt nur zeitweise besonders aktiv wird und zum Update auffordert wodurch wiederum diese Modifikation entstehen.