|
Malware lässt Firefox in die Knie sinken Hallo liebe Gemeinde! Als ich gestern auf der seite "rapid8.com" war und Adblock aktiviert hatte, hat Firefox plötzlich angefangen zu freezen. Anschließend kamm die Threatfire-meldung ob ich ein Prozess zulassen möchte oder nicht. Ich habe natürlich auf "Prozess beenden" geklickt. Das hatte mich stutzig gemacht und ich habe den Taskmanager aufgerufen. Dort fand sich ein Prozess - irgendwas mit Mohamed.exe oder in der "Richtung". Diesen Prozess habe ich per Taskmanager beendet und sofort Avira mit der aktuellsten Heuristik-Dateien laufen lassen (Anmerkung: zur Zeit des Besuchs war der echtzeit-Schutz von Avira deaktiviert, da ich mit nLite versucht habe AHCI Treiber für ein neues Notebook zum WinXP anzuhängen und Avira immer das Verschieben von Autorun.ini verhindert hatte). Avira hat ganz am Anfang irgendwas von "Es gibt 2 versteckte Dateien, ich söllte doch bitte die Rescue CD runterladen und von ihr booten" geschwafelt. Das habe ich gemacht und nach dem Scan auch ausgeführt, doch nichts gefunden (Also weder beim Scan noch mit der Rescue CD) Mein Problem ist nun folgendes: Firefox läuft nur paar Sekunden und dann hängt sich auf. Ich söllte noch anmerken: nachdem das Phänomen mit den Freezern auftrat habe ich Firefox beendet und wieder neu gestartet. Anschließend kam ich auf eine Seite mit: "Vielen Dank, dass Sie sich für Adblock Plus entschieden haben". Somit dachte ich dass es mit Adblock was zu tun hätte und habe dieses zuerst deaktiviert - was keinen Erfolg brachte und anschließend entfernt - wodurch ebenfalls keine Besserung auftrat. Mit ein wenig Recherche stellte sich heraus dass ich nicht der erste war, der auf der o.g. Seite ein Virus eingefangen hat, doch niemand hatte meine Symptome. Anscheinend mögen die Betreiber dieser Seite keine Besucher, die Adblock aktiviert haben und versuchen sie mit solchen Mitteln "zu bestrafen". Ich rate jedem dringend davon ab auf solche Seiten zu gehen. Problem: Firefox hängt sich andauernd auf und reagiert nicht. Im Taskmanager läuft der Forefox-Prozess trots klicks auf "Programm schließen" sowie der Plugin Container for Firefox läuft auch weiter. Logs siehe Anhang Ich hoffe Ihr könnt mir helfen!!! |
hi, bitte auch während der suchläufe thread fire deaktivieren. war übrigens nicht grad erfolgreich... Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
|
Ist es normal, dass der pc neustartet während Combofix läuft und nach dem Neustart kein Programm lädt? In der Anleitung stand nur was von dass der Desktop verschwindet?. Na super, jetzt geht garnichts mehr -.- Das Notebook bootet, dann steht ganz normal dass Windows gestartet wird aber bis zum Anmeldebildschirm kommt man nicht, ist nämlich einfach nur ein schwarzer Bildschirm mit dem Mauszeiger und dass wars, passiert garnichts mehr. Ich versuche mal mit der Win7 DVD den pc zu reparieren. |
hi dein pc ist befallen mit malware (spyeyes) machst du oninebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges damit, wie zb berufliches? |
Leider ja. Onlinebanking und paypal. Wie stelle ich mein System wieder her. Habe die Win DVD reingetan wollte auf den angeblichen wiederherstellunspunkt zurück die Combofix angeblich gemacht hat, doch da ist keins. Abgesicherter Modus stellt den gleichen Fehler da, dass der Bildschirm einfach schwarz bleibt. |
hi, das ist erst mal dein geringstes problem, rufe sofort die bankan, lasse onlinebanking sperren. notfall nummer ist: 116 116 falls du nen zweit pc hast, alle passwörter endern. lade ubuntu live cd und brenne sie: Download | Ubuntu dann starte deinen infizierten rechner damit, starte ubuntu im probier modus und sichere alle wichtigen daten wie bilder dokumente musik vidios auf ne externe platte. danach formatieren wir und sichern das system vernünftig ab. |
Beim Onlinebanking kann derjenige nichts machen, da ich chiptan verfahren nutze. Paypal werde ich sofort das passwort ändern mit dem zweitlaptop von dem aus ich hier schreibe. da habe ich windows gerade neu installiert und avira. der ist nicht befallen. Email läuft über google und da nutze ich das sms-tan verfahren. Somit müsste der Angreifer auch im Besitz meines Handys sein oder in meiner Nähe mit entwprechend teurer technik um die sms abzufangen und das würde sich bei meinem Kontostand nicht lohnen! - (geschrieben mit einem lachendem und einem weinendem Auge) Gut da ich eig nur die Systempartion C sichern muss um wieder dorthin Windows neu aufzuspielen hällt sich die Menge mit 53GB noch in grenzen, obwohl über usb 2.0 und 5400rpm der 2,5er Platten es sich hierbei nur um Tage handeln kann :-D Soll ich somit sichern, windows neu installieren und dann mich hier melden? Eine Frage noch: kann ich unter Ubuntu meinen Produktkey auslesen? Ist nämlich ein Originalkey, den ich mir leider nicht aufgeschrieben habe und nicht ohne Weiteres wieder wieder drankomme. |
steht der key nicht auf der cd bzw der verpackung?? |
Leider nein, da es eine MSDN-AA Lizenz ist. Somit habe ich im Rahmen der MSDN-AA Lizenz der Uni Windows im letztes Semester online runtergeladen. Dieses Semester hat meine Uni keine Lizenzen erworben. Die Lizenzen vom letzten Semester jedoch sind weiterhin gültig, jedoch kann ich mir den Produktkey leider nicht mehr anschauen, da ich keine Berechtigungen (mehr) verfüge. Ich hatte zwar eine Email an den zuständigen Support gesendet, jedoch keine Antwort bekommen :killpc: P.S. Hier scheinen ja sehr viele Leute zu geben, die den blöden 50€wurm eingefangen haben. Also wenn man das Geld überweisen soll, da müssten doch gewiss die Bankdaten mitangegeben sein oder nicht? Dann kann man Anzeige machen oder Selbstjustiz betreiben. |
ne ist ukash also ziemlich anonym. hmm sicher erst mal die daten muss mir da was einfallen lassen bzw hab da schon ne idee. |
Schade hätte jetzt enweder auf Webmoney oder yandex-money getippt (also irgendwas aus den Oststaaten). Ich bin am sichern, nur läuft das eher schleppend voran noch ca 20 minuten dann ist das C-Laufwerk gesichert. Gibt es eine Möglichkeit die infizierte Seite an google zu melden? Update: Sicherung ist fertig! Ich erwarte Eure Befehle Meister! |
Hier ist noch das Log von ComboFix bevor das System geschrottet wurde. Meine Frage: Wieso hat das System nicht geladen und der Wiederherstellungspunkt wurde nicht erstellt? Aus dem Log kann ich jedoch nicht auf Anhieb einen Virus erkennen. :glaskugel2: |
wegen der infizierten seite, weist du denn welche es war? kannst du die mir als private nachicht senden? kann dir leider nicht sagen warum das schief gegangen ist, sowas passiert leider manchmal |
Mein Problem ist zurzeit, dass ich aus der gesicherten Regystry keinen Windows 7 Key auslesen kann. Ich kriege zb mit einem Program den Key ausgelesen, der jedoch die Form BBBB-BBBB-BBBB verschlüsselt ist komischerweise. ein anderes programm kriegt den Key überhaupt nicht ausgelesen. Ich sicher erstmal das System von diesem zweitlaptop und versuche dann die registry mit der vom 1.pc zusammenzuführen und dann so auszulesen. |
hast du nen pc mit brenner zur verfügung? bzw kommst du wieder ins windows rein? |
Ja auf dem 2. Laptop läuft auch Win7. und das Laufwerk C: vom 1. laptop habe ich auf eine externe Festplatte gesichert. |
das wird dann wohl so nicht gehen. kommst du an nen pc mit brenner? download: http://filepony.de/download-otlpe/ und brenne es mit ISOBurner auf eine CD. ISO Burner Download - ISO Burner 2.5 isoburner anleitung: http://www.trojaner-board.de/83208-b...ei-cd-dvd.html • Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen. Starte dein System neu und boote von der CD die du gerade erstellt hast. Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten, http://www.trojaner-board.de/81857-c...cd-booten.html • Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen. versuch jetzt mal mit nem tool die daten auszulesen |
Ich kann das doch versuchen auf nen bootfähigen stick aufziehen?! |
jo kannst du auch machen Wichtig: Der USB Stick muss mindestens 512 MB oder mehr haben. Sichere gegebenfalls alle Dateien von dem USB Stick, diese werden nach den folgenden Schritten nicht mehr vorhanden sein.
C:\).
Nun boote von mit der OTLPE USB Stick. Hinweis: Wie boote ich von CD (einfach statt ner CD USB Device auswählen)[list][*]Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.[*] |
Komisch wenn ich das Programm aus dem CMD starte erkennt es keines meiner USB sticks. wenn ich jedoch in den Ordner usb_prep8 gehe und das Program PetoUSb mit administratorrechten starte, erkennt es meinen usb stick als fixed. Wenn ich jedoch alles so anwende bottet der laptop nicht. sehr komisch. ich hate die iso mit deamon gemountet und das laufwerk als quelle angegeben, jetzt versuche ich es mal mit der 7zip methode. Update: Habe jetzt gebrannt und der CD Key kann auch nicht gefunden werde, hat auch hier die Form: BBBBB-BBBBB-BBBBB |
hmm und vllt mal persönlich zur uni gehen und fragen? |
Siehe meinen 1. Post: Zitat:
Quelle: https://adblockplus.org/releases/ Vorallem Zitat:
:singsing: |
du meinst du hast dir die malware auf der adblock seite eingefangen, halte ich eher für unwarscheinlich hab sie mir mal angesehen hier passiert auf jeden fall nichts. |
nein ich habe die Malware auf der Seite: rapid8.com eingefangen und zwar hat die seite die Funktion, dass die für verschiedene Filehoster einen premiumlink generiert. Diese Funktion wollte ich nutzen und habe einen Link eingegeben (ich nutzte übrigens Firefox mit eingeschaltetem Adblock) als ich auf den Button zur generierung eines Premiumlinks geklickt habe, hat auf einmal Firefox angefangen zu freezen und threatfire hatte mich gefragt ob ich ein bestimmten Prozess ausführen möchte oder nicht. Ich hatte dann auf Prozess beenden geklickt und habe den tastkmanager gestartet und habe gesehen dass da ein Prozess namens mohammed.exe läuft, den hatte ich ja dann durch den TM beendet. Das was ich dannach geschrieben habe dass beim nächsten ausführen von Firefox die Seite von Adblock kam war somit ganz normal und hatte nichts mit der Malware zutun. Da ich den Prozess mithilfe Threatfire beendet hatte und durch den TM den mohammed.exe auch nehme ich stark an dass ich zum Glück die Malware es nicht geschafft hatte sich in meinem System einzunisten. Das würde erklären wieso Avira damals nichts gefunden hatte (auch die Sache mit der Rescue CD). Ich bin mir jedoch ziemlich sicher dass die Malware auf der Seite vertrieben wurde, denn wenn man danach googelt, finden sich einige Leute, die dort was eingefangen haben. Deswegen habe ich geraten der Seite fern zu bleiben. Das mit Adblock was ich einen Post höher geschrieben habe, war nur zur Info damit jemand nicht sofort in Panik verfällt wenn er Direfox startet und auf einmal einen zweiten Tab von Adblock sich öffnet. Ich hoffe ich habe es nicht zu verwirrend erklärt ^^ |
die malware ist aktiv und das system muss neu aufgesetzt werden. |
Gut jedoch blieb mir die Frage, wieso werder Avira noch Combofix nichts gefunden hatten -.- Naja nun ist das System ja neu aufgesetzt und ich bin froh, dass ich endlich ausmisten konnte. Ein weiteres Problem ist dass Windows update nicht funktioniert nachdem ich nach dem neu aufsetzen des Systems gestern lauter updates gezogen hatte. Welche Sicherheitssysteme würdest du denn empfehlen. Habe bis jetzt nur Avira Professional Security samt Firewall und Fritz!Protect. |
wie lautet der fehler beim updaten folgendes würde ich empfehlen: dann sichern wir jetzt mal das system ab: ok, erst mal anmerkungen: die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch! - als antimalware empfehle ich emsisoft. dieses ist zwar eine bezahl software, aber sie bietet meiner meinung nach den besten schutz. du kannst es 30 tage lang testen, und ich kenne shops wo man es für 9 € bekommt was eig sehr günstig ist. bei den kostenlosen würde ich zu avast greifen, zwar nicht ganz so gut, aber ok. - wenn du onlinebanking machst, lasse dich von deiner bank beraten, ein card reader, klasse 3 (komfort reader) + starmoney um onlinebanking zu machen. kostet zwar was, die banken zahlen da aber dazu, sollte sich also in grenzen halten. - als browser rate ich dir zu chrome: https://www.google.com/chrome?hl=de falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen. http://www.trojaner-board.de/96344-a...-rechners.html Starte bitte mit der Passage, Windows Vista und Windows 7 Bitte beginne damit, Windows Updates zu instalieren. Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst. Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist: - Updates automatisch Instalieren, - Täglich - Uhrzeit wählen - Bitte den gesammten rest anhaken, außer: - detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist. Klicke jetzt die Schaltfläche "OK" Klicke jetzt "nach Updates suchen". Bitte instaliere zunächst wichtige Updates. Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren. Mache das selbe bitte mit den optionalen Updates. Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist. aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen. Als nächstes kommen wir zu dem Antimalware Programm. Dieses ist ein wichtiger Bestandteil des Sicherheitskonzeptes, deswegen sollte man sich gut überlegen, welche Wahl man trifft. Bei den kostenlosen Scannern halte ich Persönlich Avast! für die beste Wahl. Als kostenpflichtiges würde ich Emsisoft empfehlen Meine Antivirus-Empfehlung: Emsisoft Anti-Malware Weitere Vertreter . kaspersky: Kaspersky Lab: Antivirus software Symantec (Norton) Symantec - AntiVirus, Anti-Spyware, Endpoint Security, Backup, Storage Solutions Browserwahl: Da wir häufig mit dem Browser arbeiten, ist diese Wahl natürlich ebenfalls wichtig, die wichtigen Vertreter befinden sich in dem Verlinktem Thema. ich würde zu chrome greifen: https://www.google.com/chrome?hl=de Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: http://filepony.de/download-sandboxie/ anleitung: http://www.trojaner-board.de/71542-a...sandboxie.html ausführliche anleitung als pdf, auch abarbeiten: http://filepony.de/download-sandboxie/ bitte folgende zusatz konfiguration machen: sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen. dort klicke auf sandbox einstellungen. beschrenkungen, bei programm start und internet zugriff schreibe: chrome.exe dann gehe auf anwendungen, webbrowser, chrome. dort aktiviere alles außer gesammten profil ordner freigeben. Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: Maßnahmen für ALLE Windows-Versionen alles komplett durcharbeiten Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: Windows 7 Systemabbild erstellen (Backup) Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern bitte auch lesen, wie mache ich programme für alle sichtbar: Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox. wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst. wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser |
Es ist ein "WindowsUpdate_8024402C" "WindowsUpdate_dt000". Habe auch überall die Regel für svchost.exe auf erlauben gestellt und trotzdem gehts nicht. Habe versucht was von Microsoft Fixit zu starten jedoch kann auch er komischerweise nicht zum Microsoft server verbinden (egal ob ich die Firewall ausschalte oder anlasse). Also aus deinen Empfehlungen schlussfolgere ich dass du nicht so für meine Avira Professional Security bist (bietet sich mir an da ich es durch die Uni an eine Lizenz bis 2013 gekommen bin) und ich dachte mir so: ey wenn die Uni das selbst hat und sie es anbieten, kann es nicht so schlecht sein. Auch genießt Avira auch nicht den schlechtesten ruf. Wenn du dennoch fest davon überzeugt bist dass es keine akzeptable Lösung ist, werde ich deine Vorschläge anwenden (das jedoch erst Dienstag, da ich morgen eine Klausur schreibe und keinen Nerv bzw. Zeit habe - muss nämlich noch sehr viel lernen, hat mich die ganze Sache der letzten Tage sehr viel Lernzeit gekostet -.- ) |
hi, naja, ich will jetzt nicht sagen das avira schlecht ist, mir gefällt emsisoft nur besser auch von dem schutz den sie anbieten, wenn avira aber dir besser gefällt kannst du auch dies weiter nutzen. hmm schau mal morgen wegen dem windows update ob das vllt nur n vorübergehender fehler ist. |
mach ich! Und du geh offline, leg dich zurück und entspann dich an diesem Sonntag abend! Gefühlt bist du ja die ganze zeit hier :-) |
mach ich später noch nen film gucken oder so. viel glück bei deiner klausur übrigens :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board