Beiträge von Zitronella

1.

nun mache folgendes

● wenn AdwCleaner noch gestartet ist dann klicke im Dashboard auf "Bereinigen und Reparieren" bzw. "In Quarantäne verschieben" (falls nicht gestartet, dann starte ihn erneut mache erneut den Suchlauf und drücke dann darauf"). Danach wirst du aufgefordert deinen Rechner neu zu starten. Lasse dies zu.

2.

Wenn du sicherer sein möchtest, dass sich nichts schädliches mehr auf deinem PC befindet, dann würde ich dir noch den ESET Online Scanner empfehlen. Den kannst du nach dem Scan, bzw. nach posten des Logs auch wieder entfernen.

Da meine Anleitung dazu nicht ganz aktuell ist, verlinke ich diese fremde Anleitung wie du vorgehen sollst

https://www.trojaner-board.de/186277-anleitu…ne-scanner.html

Gib uns danach den Log wieder als Code hier im Forum

Danke 2002Andreas, klappt hervorragend. Ich frage mich nur welchen Fehler ich neulich machte beim Ausprobieren Vielleicht war ich da auch zu müde. Das mit dem überall !important hatte ich nämlich auch versucht und mit den geschweiften Klammern auch rum gespielt.

Leider habe ich meine ganzen Versuche dann gelöscht gehabt. Das ärgert mich nun selbst, denn dann könnte ich vergleichen.

Und heute hab ich es erst gar nicht mehr ausprobiert, sondern gleich als Frage ins Forum gepostet.

Ich Danke auf jeden Fall euch beiden.

Bestimmt eine Leichtigkeit für jemanden, der sich mit css besser auskennt ( zu 2002Andreas schiel )

Es gibt eine relativ neue Erweiterung Highlight Google Ads die Google Anzeigen hervorhebt.

Diese funktioniert auch, aber ich möchte sie nicht nutzen sondern das per userContent.css bewerkstlligen

Eigentlich ein leichtes, dachte ich mir, denn die Erweiterung hat nur einen css-Code drin nämlich folgenden

    .ads-ad {
        background: rgb(254, 251, 231);
        padding: 10px;
        border-radius: 5px;
        /* max-height: 65px;
       overflow: auto; */
        border: 1px solid rgb(222, 167, 57) !important;
    }
    .ads-ad:before {
        content: "Advertisement";
        background: #ffe93e;
        padding: 1px 6px;
        margin-bottom: 5px;
        display: inline-block;
        border-radius: 3px;
        text-transform: uppercase;
        font-size: .75em;
        letter-spacing: .05em;
        font-weight: 500;
    }

Aber ich bekam es nicht hin mit vorne dran gestellten @-moz-document domain(google.com) es so einzubinden, damit es auch genauso wie bei der Erweiterung angezeigt wird. Auch mit den Verändern der geschweiften Klammern habe ich rum gespielt. Klappte alles nicht. (ich erspar euch mal das posten meiner ganzen falschen Versuche)

Wie muss der Code richtig heißen, damit es angezeigt wird?

Gar nicht erst von Chip oder anderen Software Portalen herunter laden! Immer nur vom Original Hersteller.

Am besten findet man die Original Hersteller Seite (ohne irgendwelchen Referer Kram) auf der Seite https://www.heise.de/download/. Dort dann auf die entsprechende Software klicken und dann den original Hersteller - Link aufrufen.

Siehe: http://mozhelp.dynvpn.de/guide/data/_up…er-download.mp4

Aber selbst dort ist man vor Ad/Malware nicht gefeit, da manche Hersteller diese selbst in ihre Installations Software mit einbauen.

Ganz normal via Systemsteuerung deinstallieren

Danach in %appdata% und in %localappdata% jeweils den Ordner Mozilla löschen

Dann ist aber wirklich alles weg. Also wenn Lesezeichen gebraucht werden usw. diese vorher sichern.

Zitat von .DeJaVu

Manche Benutzer sind irritiert, wenn sie nach Hilfe fragen und eine Software angeboten bekommen, die als schädlich eingestuft wird

hm? Welche Software soll denn als schädlich anerkannt werden? Wird sie doch gar nicht. Es wird lediglich auf eine unbekannte Anwendung hin gewiesen

Zitat von https://kittmedia.com/2018/der-computer-wurde-durch-windows-geschuetzt-abschalten/

Das einzige, was Windows hier wirklich prüft, ist dass das Programm aus dem Internet geladen und nicht digital signiert wurde sowie dass seine Signatur nicht in der SmartScreen-Datenbank vorhanden ist.

ansonsten:

programme-auflisten.exe: https://www.virustotal.com/gui/file/1a59f…6ce96/detection ("Qihoo-360" und/oder "Trapmine"meldet meist false positive)

UninstallView-x32.exe: https://www.virustotal.com/gui/file/ab40e…b02bb/detection

UninstallView-x64.exe: https://www.virustotal.com/gui/file/c57de…10b1c/detection

starte-programme-auflisten.bat: https://www.virustotal.com/gui/file /26f670f77943402dfecc6baa094d2293a97b394fe5575e1f830243c0b0e30ecc/detection ("Qihoo-360" und/oder "Trapmine"meldet meist false positive)

Zitat von .DeJaVu

Deswegen verstehe ich dein Anliegen nicht wirklich, weil du daran ja selbst nichts ändern kannst.

Ich weiß doch vorher gar nicht welche Installationsdateien ein Nutzer genau hat. Und ob sie von irgend einem AV Programm als schädlich oder nicht erkannt werden, kann ich auch nicht vorher wissen.

Sie könnten aber schädlich sein. Und ich werde mich hüten, Nutzer dazu aufzufordern, diese hier im Forum zu veröffentlichen. Das wird Sören sicherlich ähnlich sehen.

Zitat von .DeJaVu

Jetzt zurück - gab es denn Programme und was sagt zB Virustotal dazu

Nein, gab es nicht. Sagte ich bereits:

Zitat von Zitronella

In diesem Fall gabs da aber gar nix. Nur die Auflistung der installierten Software und das Datum der erstellten user.js

Es gab nur eine Vermutung, dass das Program CDex von der Herstellerseite cdex.mu herunter geladen wurde. Das war etwa zur gleichen Zeit als die user.js erstellt wurde.

https://www.virustotal.com/gui/file/3bec6…4f91a/detection

Zitat von .DeJaVu

Wie kann man den Übergriff auf die user.js verhindern?

Haha, gute Frage wie kann man Ad/Malware verhindern? Ad/Malware kann halt alles mögliche (ver)ändern und somit auch eine user.js erstellen. Trotzdem bin ich diesbezüglich in regen Austausch mit einigen Mozilla Mitarbeitern, die sich das Problem annehmen und aufgrund von einigen Recherchen und Dateiaustausch von mir auch diesbezüglich schon weiter kamen.

Und nächste Woche gibts auch persönliche Treffen.

Ich schätze aber es wird, wenn einmal Ad/Malware zugelassen wurde (eigentlich fast immer durch Sponsored Angebote durch den Installer), auch immer Möglichkeiten geben solche Dinge wie Einstellungen in Programmen zu manipulieren.

Das Problem ist auch: Selbst wenn man den original Installer hat, den auch ein betroffener User anwendete und sich dabei Ad/Malware eingefangen hat durch Sponsored Angebote, kann man das meist im Nachhinein nicht mehr reproduzieren, da diese Sponsored Angebote sich immer wieder ändern.

Es ist auch sehr zeitaufwändig, das im einzelnen auseinander zu klabüstern um an die "meist temporären" Dateien dran zu kommen, die die betreffende Ad/Malware nachladen oder die zb. für die Erstellung der user.js verantwortlich ist.

Aber da ich diesbezüglich trotzdem schon einige Male erfolgreich war, bleibe ich da auch weiterhin dran...

Zitat von .DeJaVu

könnte der Avast-Support was dann damit anfangen?

pff, frag mich nicht. Interessiert mich nicht wirklich. Bei dem Programm CDex Installer hat Windows Defender mit aktivierter PUA-Erkennung sofort gemeckert. Avast (absichtlich durch das Sponsored Angebot bei CDex Installer) blieb ruhig... na wen wundert das noch?

Zitat von .DeJaVu

war ersichtlich, ob wenigstens Windows auf einem aktuellen Stand ist?

Nein,war nicht ersichtlich, habe danach aber auch nicht explizit gefragt. Ich muss auch zugeben, dass ich die lange Installationsliste nur überflogen habe und anhand der Auflistung auch nicht jedes einzelne Programm geprüft habe obs auf dem neuesten Stand ist.

Zitat von .DeJaVu

mit Powershell auslesen und speichern kann

hatte ich mir alles schon angesehen. Liefert viel zu wenig Infos und ist mir nicht übersichtlich genug.

Trotzdem Danke.

Zitat von Büssen

Damit ist doch der Haken aus #10 gemeint - oder gibt es noch einen versteckten Haken?

Nein, sondern

Zitat von .DeJaVu

Weil Zitronella weiter oben so drum gebeten hatte

Nein, ich habe es ihm frei gestellt.

Zitat von Zitronella

Du kannst mir den Link auch gerne per PN geben falls du das nicht öffentlich machen möchtest.

Nur Installationsdateien bitte ich Grundsätzlich den Nutzer, wenn erforderlich, per PN. Dort können u.U. bösartige Dateien drin sein, und die hier bestimmt nicht öffentlich gemacht werden sollen zum Download.

In diesem Fall gabs da aber gar nix. Nur die Auflistung der installierten Software und das Datum der erstellten user.js

Da bat ich den Themenersteller übrigens auch dies hier zu schreiben.

Und auch Haken raus bei "Website-Einstellungen"

Du kannst ruhig auf "nach benutzerdefinierten Einstellungen anlegen" lassen nur darf dahinter bei "Einstellungen" nicht der Haken bei Cookies sein.

habe ich schon ewig so, siehe auch

https://mozhelp.dynvpn.de/guide/firefox-…utz-einstellung (Unterbild 4)

(die Anleitung ist etwas veraltet und mittlerweile funktioniert es auch ohne Erweiterung "Vergiss Mein Nicht" )

und was ist unter

"Die Chronik löschen, wenn Firefox geschlossen wird"--> "Einstellungen" eingestellt?

Zitat von Büssen

Code

privacy.sanitize.pending: [{"id":"shutdown","itemsToClear":["cache","cookies","history","formdata","downloads","sessions"],"options":{}},{"id":"ne

somit werden Cookies beim Beenden gelöscht. Also kein Wunder, dass du dich jedes Mal neu einloggen musst

Einfach mal posten

●☰ ➜ (?) Hilfe ➜ Informationen zur Fehlerbehebung

● jetzt die Schaltfläche "Text in die Zwischenablage kopieren" anklicken

● jetzt den kopierten Text aus der Zwischenablage als </>Code hier ins Forum einfügen. siehe dazu

Vielleicht hast du Cookies löschen lassen beim Beenden von Firefox?

Der Reihe nach abarbeiten. Gib Bescheid wenn du etwas nicht gemacht hast bzw. nicht machen konntest/wolltest. ( .DeJaVu : ich wollte strukturierter Vorgehen, da ich ja bissel mehr Infos durch die PN habe)

1.

Unbedingt deinstallieren

Avast Free Antivirus hier mit dem Uninstaller von https://www.avast.com/de-de/uninstall-utility (siehe *Hinweis am Ende)

CCleaner

chip 1-click download service

mypopupblocker

ggf. deinstallieren, falls du es nicht explizit nutzt

Bonjour

GoToMeeting

GoTo Opener

Update oder deinstallieren: (das kannst du übrigens auch ganz am Ende von Allem machen)

IrfanView 4.51 (64-bit) https://www.irfanview.net/64bit.htm

KeePass Password Safe 2.43 https://keepass.info/download.html

LibreOffice 6.1.4.2 https://de.libreoffice.org/download/download/

Mp3tag v2.80 https://www.mp3tag.de/download.html

Notepad++ (32-bit x86) 7.7.1 https://notepad-plus-plus.org/downloads/

VLC media player 2.2.4 http://www.videolan.org/vlc/download-windows.html

2.

setze dein Firefox Profil komplett zurück indem du folgendes machst:

●☰ ➜ (?) Hilfe ➜ Informationen zur Fehlerbehebung

● dann oben rechts auf die Schaltfläche "Firefox bereinigen" klicken

● Warte bis Firefox ganz von selbst wieder startet. Deine Lesezeichen und Passwörter bleiben dabei erhalten, deine Erweiterungen müsstest du dann aber erneut installieren. Bitte installiere zunächst nichts und teste erst das Verhalten von Firefox und berichte.

3.

mache folgendes:

● mit AdwCleaner suchen ➔ http://mozhelp.dynvpn.de/guide/mit-adwcleaner-suchen

Anstatt bei Schritt 3a der Anleitung den Inhalt auf paste.nn-d.de hochzuladen,

fügst du stattdessen den Inhalt hier direkt ins Forum per </> Code ein.

-----------------------

*Hinweis:

Bei Win10 sollte man NUR den Windows Defender nutzen mit zusätzlichem Adware Schutz

Hier ist beschrieben wie man prüft ob dieser aktiviert ist und wenn nicht, wie man ihn aktiviert

https://www.deskmodder.de/blog/2018/08/2…eren-windows-10

● installieren NUR was du wirklich brauchst.

●Lade Software ausschließlich vom Hersteller herunter und nicht von anderen Download Portalen.

●Installiere immer benutzerdefiniert, sprich: wähle beim installieren immer "Optionen" bzw. "benutzerdefiniert" dann kannst du Dinge abwählen oder verweigern.

●halte alle Programme auf deinem PC auf den aktuellen Stand - mache Updates, insbesondere alle Windows Updates.

●nutze einen eingeschränkten Account und nicht den Admin Account.

●Erstelle Backups

Mehr Infos unter: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfe…puter_node.html

Ich warte erst auf die Beantwortung meiner Fragen

Ich kann jetzt schon sagen, dass Firefox entführt wurde und sich Ad/Malware auf dem System befindet.

Auch Sicherheitsmechanismen in Firefox ausgehebelt! Ich würde gerne wissen wo der Kram her kommt, denn es häuft sich in letzter Zeit.

Nachdem du die user.js aufgelistet hast wäre es echt toll wenn du mit helfen könntest die Ursache heraus zu bekommen. Vielleicht ist das noch allgemein nützlich für Mozilla.

1.Bitte nenne mir zunächst auch wann diese user.js erstellt wurde (genaues Datum)

2. Gibt es noch weitere .js Dateien (außer prefs.js) in deinem Profilordner? Wenn ja welche? bitte auch nach Erstellungsdatum gucken und posten und den Code posten.

3. Des weiteren bitte ich dich deine Software aufzulisten und zwar genau so:

● Auflistung von in Windows installierter Softwareanwendungen ➜ https://mozhelp.dynvpn.de/guide/Installi…ramme-auflisten

Du kannst mir den Link auch gerne per PN geben falls du das nicht öffentlich machen möchtest.

4. Ich bitte dich in der Zwischenzeit keine Software zu löschen/deinstallieren.

5. Wenn du noch herunter geladene Installationsdateien hast, die du um den Zeitpunkt als die user.js erstellt wurde (oder kurz davor), bitte ich mir diese auch per PN zu senden bzw. auch auf https://workupload.com/ hoch zu laden und mir den Link per PN zu geben.

Am besten noch in der PN schreiben, woher du diese genau hattest (herunter geladen hast).

Später gib es Anleitungen zur Bereinigung und Profil zurücksetzen. Also bitte damit vorerst warten.

Bei mir ist die Malwreschutz aktiviert und ich erhielt da auch immer das Ergebnis wie 2002Andreas beim Chip-Installer

https://www.deskmodder.de/blog/2018/08/2…eren-windows-10

Wert 1 = Der PUA Schutz ist aktiviert

Zitat von OneTimeUser

user.js-Einstellungen

Der Profilordner besitzt eine user.js-Datei, welche Einstellungen enthält, die nicht von Firefox erstellt wurden.

Hi, bitte das nächste Mal in Code einfügen

● ☰ ➜ (?) Hilfe ➜ Informationen zur Fehlerbehebung

● scroll nach unten zu "user.js-Einstellungen" und klicke auf "user.js-Datei"

● kopiere den Inhalt dieser Datei und füge ihn hier als </>Code ein. siehe dazu