Welche Startseite ist denn eingetragen?
:arrow: Benutze AdwCleaner [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png] und bevor du etwas löschen lässt, poste den Inhalt des Logfiles in Klammer CODE.
[Blockierte Grafik: https://picload.org/image/rliaiwpi/klammercode.png]
Ich habe mal bei Google danach gesucht, dann wird mir angezeigt es würde sich um ein Theme handeln.
Nutzt du sowas?
Kommt da noch mal was von dir bezgl. AdwCleaner?
Lasse die Funde löschen und zwar alle! Dazu startest du AdwCleaner, führst erneut einen Scan durch und klickst anschließend auf den Löschbutton. Der Rechner wird danach neu gestartet. Sicherheitshalber abermals einen Scan durchführen und falls etwas gefunden wird, wie gehabt hier das Ergebnis einstellen.
Falls es keine neuen Funde gibt, kannst du AdwCleaner deinstallieren [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png]
:arrow: Führe einen Scan mit dem Junkware Removal Tool [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png] aus und poste den Inhalt des Scanergebnisses.
Den Hinweis kannst du ignorieren, da Junkware Removal Tool weiterhin angeboten wird:
Malwarebytes stellt Junkware Removal Tool (JRT) ein und gibt bekannt, dass die diesbezügliche Wartung am 26. Oktober 2017 endet.
JRT wird die prefs.js aufgrund von Malware Befall entfernt haben. Firefox legt daraufhin eine neue an mit den Standardwerten. Spricht alles was du mal über die Einstellungen des Firefox verändert hast musst du wieder einstellen. Ebenso wie die Startseite. Wird die Startseite trotzdem wieder auf eine andere, nicht von dir gewünschte, eingestellt, so ist immer noch Malware bei dir auf dem PC.
:arrow: Mit Administrator-Rechten machst du bitte einen Scan mit Malwarebytes [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png]
Anleitung Malwarebytes [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png]
Wichtig: Nach dem Scan nichts löschen! Füge die Inhalte mit Klammer Code ein.
[Blockierte Grafik: https://picload.org/image/rliaiwpi/klammercode.png]
Und halte dich genau an die Anleitung!
Mal vielleicht etwas zu einfach. Aber mal unter Extras > Einstellungen > Allgemein > im Abschnitt "Startseite" nachgesehen, ob hier dawanda als Startseite eingetragen ist? Denn das könnte man schon einmal ändern.
Wenn es das getan hat und ein paar Dinge, die ich in #10 und #11 beschrieben habe, frage ich mich, was es ungefragt sonst noch alles geändert hat. In about:config gab es jedenfalls etliche Änderungen. Zu viele für mich.
Wenn ich das so lese, stellt sich für mich ein weiteres Mal die Frage (nämlich wie schon hier
Wozu gibt es die Firefox-eigene Sandbox? Die sollte doch genau solche Szenarien verhindern. Sprich: nach dem Schließen + Leeren der Sandbox (was bei einer browser-spezifischen Sandbox ja wohl nur identisch mit dem Schließen des Browsers sein kann) sollten alle unliebsamen Veränderungen beseitigt und der Browser wieder im "Normalzustand" sein. Das wäre Wesen und Funktion einer Sandbox. Es geschieht aber offensichtlich nicht.
Glücklicherweise hat es auch einen System-Wiederherstellungspunkt angelegt. Und den habe ich benutzt.
Sicherlich das Beste, was du in der Situation machen konntest. Du hättest sonst wohl kaum mehr sicher sein können, dass dein Rechner noch sauber ist.
Und nochmals eine Sandbox ist nicht dafür da um Malware die bereits auf dem PC ist, dass nach aussen hin zu kommen zu verhindern. Des Weiteren ist die Sandbox ja nur aktiv, wenn der Firefox läuft und nicht wenn dieser nicht gestartet ist. Die momentanen Änderungen des TE finden ja statt, wenn Firefox nicht läuft.
JRT und der AdwCleaner wurden von Malwarebytes übernommen. Malwarebytes Anti-Malware ist deren eigentliches Programm. JRT soll und ist schon wohl schon teilweise im AdwCleaner integriert werden. Wobei, m.E.n., JRT immer noch alleine am besten funktioniert. Und wie gesagt, wenn JRT die prefs.js vom Firefox löscht, so ist dies die richtige Maßnahme. Steht dort, aber eher in der user.js, dann auf einmal wieder diese anderen ominöse Startseite, so ist immer noch Malware auf dem PC. Bzw. irgendein scheinbar sauberes Programm, dass da im Firefox Einstellungen vornimmt.
Und nochmals eine Sandbox ist nicht dafür da um Malware die bereits auf dem PC ist, dass nach aussen hin zu kommen zu verhindern. Des Weiteren ist die Sandbox ja nur aktiv, wenn der Firefox läuft und nicht wenn dieser nicht gestartet ist.
Stimmt.
Die momentanen Änderungen des TE finden ja statt, wenn Firefox nicht läuft.
Scheint liossons Schilderung zufolge auch zu stimmen.
Insofern ist der vorliegende Fall tatsächlich weniger gut geeignet als der andere, um die Untauglichkeit der Firefox-eigenen Sandbox zu belegen. Wir wissen einfach zu wenig über Vorgeschichte und Hintergründe der Infektion des Rechners (die ja höchstwahrscheinlich stattgefunden hat), um klare Schlüsse ziehen zu können.
Sollte sich lionsson z.B. irgendwann einmal bewusst Software heruntergeladen und installiert haben, die mit Malware verseucht war und die dann eben "von außen" den Browser angegriffen hat, nützt eine Sandbox natürlich nichts. Ebenso wenig nützt sie, wenn er sich den Schädling zB. über einen USB-Stick auf den Rechner geholt haben sollte. (Alles theoretische Überlegungen - nicht als Unterstellung gemeint! :wink: )
Aber vertrauenswürdig macht das die Firefox-Sandbox trotzdem nicht (jedenfalls für mich nicht). Das ist bestenfalls ein Freispruch nach dem Motto "im Zweifel für den Angeklagten".
Denn man kann ebenso gut Indizien dafür finden, dass der Schädling sehr wohl bei gestartetem Firefox und über gewöhnliches Surfen auf den Rechner gelangt sein könnte. Schon das Eingangsposting spricht dafür, wo es heißt:
neuerdings öffnet bei mir hartnäckig bei jedem FF-Neustart eine Seite, auf der ich gestern einen Newsletter abbestellt habe: de.dawanda.com.
Ich habe diese Seite nun mehrfach geschlossen, aber nach jedem Neustart ist sie wieder da.
Wo könnte sich diese Seite typischerweise eingenistet haben?
Das Problem scheint also erst seit gestern aufgetreten zu sein (so interpretiere ich das "neuerdings"); und es scheint entstanden zu sein, ohne dass lionsson beispielsweise irgendeine Software heruntergeladen und installiert hätte, die dann den (später geschlossenen) Browser sozusagen "von außen" attackiert hätte.
Es kann auch durchaus zutreffen, was du (AngelOfDarkness) in Zusammenhang mit den durchgeführten Säuberungsversuchen schreibst:
JRT [Junkware Removal Tool ] wird die prefs.js aufgrund von Malware Befall entfernt haben. Firefox legt daraufhin eine neue an mit den Standardwerten. [...] Wird die Startseite trotzdem wieder auf eine andere, nicht von dir gewünschte, eingestellt, so ist immer noch Malware bei dir auf dem PC.
Das klingt plausibel. Aber wie und wann ist diese Malware auf den PC gekommen? Nach dem zuvor Gesagten spricht Einiges dafür, dass das (erst) gestern und im Rahmen des Surfens passiert ist. (Es sei denn, das in Beitrag #8 gepostete Logfile lässt andere Schlüsse zu. Das müssten Kenner der Materie beurteilen.) Wenn diese Vermutung stimmt, dann hätte die Firefox-Sandbox Wirkung zeigen müssen - nämlich in der Weise, dass mit dem Schließen des Browsers (das wäre wohl der maßgebende Zeitpunkt) auch alle Schädlinge wieder vom Rechner verschwinden hätten müssen (analog zum Leeren eines Abfalleimers oder zum Entfernen einer schmutzigen Tischdecke). Aus einer funktionierenden Sandbox kann (und darf) selbstverständlich auch nichts nach außen gehen, "ausbrechen"! (Mit Ausnahme dessen, was man als Nutzer ausdrücklich erlaubt [aber solche speziellen Konfigurationsmöglichkeiten bietet die Firefox-Sandbox meines Wissens ohnedies nicht].) Alles bleibt bis zum Leeren in der Sandbox "gefangen", isoliert vom "realen" System.
Daher nochmals: Wir wissen nicht, was genau passiert ist. Deshalb ist der Firefox-Sandbox hier keine eindeutige Schuld zu geben. Aber für den Glauben an ihr zuverlässiges Funktionieren liefert der Fall sicherlich ebenso wenig Anlass.
