Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Browser öffnet ohne Vorwarnung verdächtige Webseiten

R

Rylith

kennt sich schon aus
EDIT: Eine Kurzfassung aller Lösungsvorschläge hier im Thread samt Links findest du hier.

Hallo!

Ich habe seit gestern das Problem, dass in meinem Browser (Firefox 33.1, also aktuell) zu jeder Gelegnheit seltsame Tabs geöffnet werden - beispielsweise hatte ich mein Passwort bei Dropbox vergessen und ein neues angefordert, dann ging ein solcher Tab auf, dann wollte ich den Status eines Pakets nachverfolgen, wieder ging ein Tab auf,... - die Seite, die ich eigentlich besuchen wollte wird auch geöffnet. Gerade übrigens auch hier bei Dr. Windows - und euch traue ich nun wirklich nicht zu, dass ihr zu denen gehört. ;) Hängt also wohl nicht mit der Webseite zusammen.

Ich habe den PC gestern ein paar Stunden bevor das zuerst passiert ist mit Avast Premier gescannt, da habe ich sicherheitshalber gerade nochmal einen Scan gestartet, der aber noch läuft. Glary Utilities meldet auch keine Spyware.

Mit seltsame Tabs meine ich übrigens so diese typischen Betrügerwebseiten, in denen einem zum Beispiel schnelles Geld und Co. angeboten wird - wurde zum Glück von NoScript geblockt.

Ich hänge später gerne noch einen HijackThis-Log an, jetzt muss ich leider erstmal los.

Vielen lieben Dank schonmal!
 
Zuletzt bearbeitet:
Anzeige
Diese Browser-Viren oder Hijacker handelt man sich schnell mit Free- und Shareware aus dem Netz ein. Malwarebytes und Co. finden zwar zuverlässig diese lästigen Übeltäter, aber eines nicht. Wenn man auf die Eigenschaften der Verknüpfung geht, findet man unter Ziel dann hin und wieder eine Adresserweiterung. Es darf dort nur "Firefox.exe" und nichts mehr dahinter stehen. Sollte etwas dahinter stehen, entfernen.
Hat man das Firefox-Symbol auf der Taskleiste, muss man erst von dort lösen und dann wieder anheften.
 
So, erstmal vielen Dank für eure Antworten!

Ich editiere hier nach und nach mal...

AdwCleaner hat nun erstmal gescannt und auch etwas gefunden, unter anderem Softonic - scheinbar habe ich mir da wohl was eingefangen, als ich mir eine Demo von Sony Vegas runtergeladen habe (gut, hier könnte man natürlich fragen, warum ich das nicht direkt bei Sony getan habe - keine Ahnung um ehrlich zu sein). Da kam auch keine Abfrage, ob ich die normale oder benutzerdefinierte Einstellungen möchte....

Im Internet Explorer ist mir das noch nicht aufgefallen, ich behalte aber mal ein Auge drauf, ob sich da was tut.

Ich lasse AdwCleaner jetzt nochmal durchlaufen um zu schauen, ob da noch was auftaucht. Hier mal mein Log - Malwarebytes scannt grad noch:

# AdwCleaner v4.101 - Bericht erstellt am 12/11/2014 um 23:24:13
# Aktualisiert 09/11/2014 von Xplode
# Database : 2014-11-12.2 [Live]
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername : Nussi - CONSTANCE
# Gestartet von : C:\Users\Nussi\Downloads\adwcleaner_4.101.exe
# Option : Löschen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****

Ordner Gelöscht : C:\ProgramData\Partner
Ordner Gelöscht : C:\Users\Nussi\AppData\Roaming\WebExtend

***** [ Tasks ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\WMHelper.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{A7DDCBDE-5C86-415C-8A37-763AE183E7E4}
Schlüssel Gelöscht : HKCU\Software\OCS
Schlüssel Gelöscht : HKCU\Software\Softonic

***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17344


-\\ Mozilla Firefox v33.1 (x86 de)


-\\ Google Chrome v38.0.2125.111


-\\ Chromium v


*************************

AdwCleaner[R0].txt - [1276 octets] - [12/11/2014 23:14:21]
AdwCleaner[R1].txt - [1336 octets] - [12/11/2014 23:21:13]
AdwCleaner[S0].txt - [1160 octets] - [12/11/2014 23:24:13]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1220 octets] ##########



----------------------------------------------------------------------------------------------
EDIT:

Der zweite Scan hat nichts gefunden, Malwarebytes ist noch dran und ich teste nebenbei noch ein bisschen im IE.

# AdwCleaner v4.101 - Bericht erstellt am 12/11/2014 um 23:35:51
# Aktualisiert 09/11/2014 von Xplode
# Database : 2014-11-12.2 [Live]
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzername : Nussi - CONSTANCE
# Gestartet von : C:\Users\Nussi\Downloads\adwcleaner_4.101.exe
# Option : Suchen

***** [ Dienste ] *****


***** [ Dateien / Ordner ] *****


***** [ Tasks ] *****


***** [ Verknüpfungen ] *****


***** [ Registrierungsdatenbank ] *****


***** [ Browser ] *****

-\\ Internet Explorer v11.0.9600.17344


-\\ Mozilla Firefox v33.1 (x86 de)


-\\ Google Chrome v38.0.2125.111


-\\ Chromium v


*************************

AdwCleaner[R0].txt - [1276 octets] - [12/11/2014 23:14:21]
AdwCleaner[R1].txt - [1336 octets] - [12/11/2014 23:21:13]
AdwCleaner[R2].txt - [820 octets] - [12/11/2014 23:35:51]
AdwCleaner[S0].txt - [1300 octets] - [12/11/2014 23:24:13]

########## EOF - C:\AdwCleaner\AdwCleaner[R2].txt - [939 octets] ##########



-----------------------------------------------------------------------------------------------
EDIT 2

Malwarebytes ist fündig geworden - ich habe das jetzt mal in die Quarantäne gepackt - grad ist es allerdings nochmal passiert (in Firefox, beim Internet Explorer ist mir noch immer nichts aufgefallen):

Habe ich da irgendetwas übersehen? (diddy49, meintest du, dass man die Dateien manuell suchen muss? Klingt für mich nämlich grad so wo ich nochmal drüberlese. Tut mir leid, die Nacht war etwas kurz, da bin ich nicht ganz so aufnahmefähig...)

Und hier mal der Malwarebytes-Log:
Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 12.11.2014
Scan Time: 23:36:41
Logfile: Malwarebytes.txt
Administrator: Yes

Version: 2.00.3.1025
Malware Database: v2014.11.12.10
Rootkit Database: v2014.11.12.01
License: Trial
Malware Protection: Enabled
Malicious Website Protection: Enabled
Self-protection: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Nussi

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 502977
Time Elapsed: 46 min, 16 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 1
Adware.AdTools, HKU\S-1-5-21-3597741075-2440855455-3258035530-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\AdTools, Inc., Quarantined, [2ebca69418648babc165fdde877c15eb],

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 0
(No malicious items detected)

Physical Sectors: 0
(No malicious items detected)


(end)
 

Anhänge

  • Malwarebytes.png
    Malwarebytes.png
    62 KB · Aufrufe: 253
Zuletzt bearbeitet:
Gegen die PUPs und die BHOs fährst Du mit MBAM am besten.
Guide & Download: http://www.drwindows.de/windows-anl...anti-malware-vollstaendiger-suchlauf-pup.html

HijackThis ist ähnlich wie OTL und es listet das Resultat in einer übersichtlichen und leicht verständlichen Gesamtansicht auf.
Was von den aufgelisteten Inhalten zu misstrauen ist obliegt im Auge des Betrachters, daher setzt HJT ein Mindestmaß an Know-how voraus.

Und immer schön die Hosts-Datei auf Sauberkeit hin überprüfen.
Guide: Hosts-Datei bearbeiten in Windows - CHIP
Eine Sicherheitskopie ist in Windows hinterlegt: C:\Windows\winsxs\amd64_microsoft-windows-w..nfrastructure-other_31bf3856ad364e35_6.1.7600.16385_none_6079f415110c0210\hosts
 
Rylith schrieb:
Habe ich da irgendetwas übersehen? (diddy49, meintest du, dass man die Dateien manuell suchen muss? Klingt für mich nämlich grad so wo ich nochmal drüberlese. Tut mir leid, die Nacht war etwas kurz, da bin ich nicht ganz so aufnahmefähig...)
Zum Vergrößern anklicken....

Nein, das meine ich nicht. Oft verändern solche unerwünschten Addons die Zieladresse in der Vernüpfung des Browsers. Da kann man scannen wie man will, aber man wird trotzdem auf eine ungewünschte Seite umgeleitet.

So sollte es z.B. aussehen:

Clipboard01.jpg

Hinter Firefox.exe sollte nichts mehr stehen. Wenn ja, entfernen.
 
So, AdwCleaner habe ich nochmal laufen lassen, der hat nichts mehr gefunden, Updates gab es auch keine - jetzt starte ich Malwarebytes nochmal...

Die Hosts-Datei habe ich angeschaut, soweit ich das beurteilen kann sieht die ok aus, ich habe da grad mal ein Bild angehängt.

hosts.png

Und danke diddy49! Ich hab da jetzt mal geschaut, einmal bei den Verknüpfungen (Taskleiste und Desktop) als auch bei Firefox selbst (siehe Screenshot - einfach nochmal zur Sicherheit, dass ich da nichts falsch verstanden habe) geschaut, da scheint auch alles ok zu sein.

Eigenschaften_Firefox.png

Ich gebe dann Bescheid, wenn Malwarebytes fertig gescannt hat.



-----------------------------------------------------------------------------------------------
EDIT: Mallwarebytes hat nichts gefunden, jetzt ist aber auch nichts mehr passiert - was mich etwas stutzig macht ist, dass gestern, nachdem ich eigentlich alles entfernt habe nochmal was kam... ich lass jetzt nochmal avast! drüberlaufen und werde dann mal einen HijackThis-Log erstellen...


EDIT 2: Zu früh gefreut, kam leider doch nochmal was...
 
Zuletzt bearbeitet:
Ja, "Adblock Plus" ist genial. Vorher unzählige Popups, danach Ruhe. Man kann dieses Addon explizit für bestimmte Webseiten deaktivieren, falls diese mit aktivierten Adblock meckern oder nicht öffnen wollen. Auf Youtube z.B. kommt dann immer Christoph Maria Herbst und nölt wegen des Werbeblockers.

Ghostery kenne ich nicht.

EDIT: Für diese Webseite (Dr. Windows) habe ich Adblock Plus deaktiviert.
 
slobofree schrieb:
"Dropox" ist eigentlich "nutzlos", bringt noch mehr Problemen! Deinstallieren!
Zum Vergrößern anklicken....

Ob Dropbox für sie "eigentlich nutzlos" ist, muss sie wohl selbst entscheiden. Dadurch hat sie sich die Malware ja nicht eingefangen.

@Rylith
Wenn du es geschafft hast alles zu eliminieren, vergiss nicht alle deine seit der Infektion eingegebenen Passwörter zu ändern!
Bei den ganzen Funden würde ich eher zu einer Neuinstallation raten, aber ich möchte hier keinen Glaubenskrieg entfachen.

Gruß
Caro
 
Hallo Caroni
Wir sprechen ja hier von PUP also "potenziell unerwünschte Programme"und nicht von schwerwiegenden Virenproblemen,die dann eine Neuinstallation gerechtfertigen würden.
Diese PUP kann auch zb. eine Toolbar sein,die ein Programm mitgeschleppt hat. Softtonic installiert auch irgendwo einen Installer,den man finden und deleten muss.
 
Der wird bei Softonic sofort nach dem Download ohne weiteres zutun installiert & noch mehr wird da im Hintergrund mit geladen.
:cry:
# Finger weg von Softonic!
 
Diese Pup sind ziemlich häufig anzutreffen. Nicht nur Softonic ist der Übeltäter. Ganz böse ist z.B. Sweet-Page, den man nur schwer wieder los wird, da er sich in alle installierten Browser einnistet und auch Dateien im Windows-System-Ordner ablegt.

Daher sollte sofort die Warnlampe aufleuchten, wenn der Download nur über einen sogenannten Downloadmanager erfolgen soll. Darüber hinaus wird auch bei seriösen Downloads unerwünschte Software mitgeliefert. Hier immer darauf achten, zusätzliche Installionen abzuwählen. Wenn möglich, hierbei die benutzerdefinierte Installation wählen.
 
diddy49 schrieb:
Ja, "Adblock Plus" ist genial.
Zum Vergrößern anklicken....
Sorry, aber ist es nicht.
Da stehen Abzocker dahinter, die sich dafür bezahlen lassen, vorher blockierte Werbung wieder zuzulassen. Die werden dann still und heimlich auf eine "White-List" gesetzt.
Das sollte man nicht unterstützen.

Es gibt ein ähnliches Addon namens "Adblock Edge". Das ist sauber und blockiert wirklich alles.
Man kann aber einzelne Webseiten davon ausnehmen.
 
Zu dem Problem mit Softonic ist mir gerade etwas eingefallen.

Ich hatte vor längerer Zeit das Problem mit dem automatischen Aufrufen von diversen Webseiten, als ich irgendein Tool installiert hatte und bei der Installation ungefragt eine Toolbar von Softonic mitinstalliert wurde.
Ich hatte mir einen Wolf gesucht und selbst das Deinstallieren der Toolbar, sowie das Löschen von Dateien und Verzeichnissen, die ebenfalls automatisch angelegt wurden, führte zu keinem Erfolg.

Da bin ich mehr durch Zufall auf Einträge in der Registry gestoßen.
Da waren nämlich URLs zu den genannten Webseiten eingetragen und zwar beim Firefox und auch beim IE.

Deshalb unbedingt unter HKEY_LOCAL_Machine/SOFTWARE\Mozilla usw. nach verdächtigen Einträgen suchen -am besten über die Suchfunktion- und diese löschen.
In die Suchmaske einfach "Mozilla" oder "Firefox" und danach "Internet Explorer" eingeben und jeden Treffer, der einen unauthorisierten Eintrag enthält, löschen.

Dann erst war Ruhe.
 
Auch wenn es kein Werbeblocker ist, Spybot S&D erfüllt den Zweck ganz gut. Die unseriösen und penetranten Drücker sind dort geblacklistet, und der Rest ein Fall für den Blocker des Browsers.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben