FF ruft im Hintergrund virenbefallene Seite auf

    Ich nutze FF Version 2.0.0.20, Betriebssystem Windows XP mit SP3. Mit FF 3 bin ich ehrlich gesagt gar nicht klargekommen, weil der damals unglaublich viel Arbeitsspeicher gefressen hat, ohne dass ich überhaupt damit gearbeitet habe.

    So, mein Problem: Seit gestern meldet meldet avast (Anti-Virensoftware) immer wieder, dass eine bestimmte Website (NICHT mein System!) von einem Virus befallen sei, und rät mir, die Verbindung zu trennen. Dies geschieht einfach mit dem Button "Trennen" direkt in avast. Es wird dann weiterhin gemeldet, dass der Virus bzw ein Trojaner (HTML:Iframe-inf) im Browsercache sich befände, und ob ich ihn löschen will. Dies geschieht dann auch und alles ist wieder "okay" für eine Weile. Nach einigen Minuten schlägt avast erneut an...
    Inzwischen habe ich rausgefunden, dass dieser HTML:Iframe-inf sich wohl in Webseiten festsetzt und dort offenbar virenbefallenen Code einschleust. (Es ist jedoch auch möglich, dass es einfach eine Fehlmeldung ist und generell Seiten it iFrames erkannt werden.)

    Okay, so weit, so schlecht.
    Das Beunruhigende ist: Ich rufe diese Seite gar nicht auf!!! Und habe sie auch seit Ewigkeiten nicht mehr besucht. Es handelt sich dabei um http://thomashawk. com / atom.xml (Vllt lieber NICHT AUFRUFEN! Ich sags nur der Vollständigkeit halber). Wie gesagt, ICH rufe diese Seite NICHT auf, FF meldet dennoch, sie sei von Viren befallen und ich soll die Verbindung trennen. Das macht mir ein bisschen Bauchschmerzen. Warum ruft FF von mir unbemerkt Webseiten auf? Wie kann das sein?

    Dazu muss ich sagen: Es handelt sich bei der Seite um eine ansonsten absolut seriöse Seite eines Fotografen & Fotojorunalisten. Ich hatte vor einer Ewigkeit den Feed dieser Seite abonniert. Diesen habe ich umgehend aus meinem Reader GELÖSCHT (ich nutze die FF Erweiterung "Sage" als Feedreader). Ich habe den Cache x-mal ausgeleert, Cookies gelöscht. Ich habe Sage selbst dektiviert, FF unzähliche Male neu gestartet - alles ohne Erfolg. Sobald ich FF starte, schlägt avast wieder an, und zwar leider auch noch regelmäßig alle 5 Minuten oder so!
    Übrigens finden bei einem Systemscan weder Malwarebytes, noch avast irgendwelche Schädlinge (letzeres schlägt nur an, wenn FF läuft)

    Momentan bin ich mit Opera unterwegs, und es ist seit einer halben Stunde RUHE, aber das ist für mich keine Dauerlösung.
    Also: Warum ruft FF im Hintergrund Webseiten auf und wie stelle ich das ab? (An De- und Neuinstallation habe ich auch schon gedacht. Allerdings weiß ich nicht, ob meine Backups mir dann was nützen, denn ggf spiele ich ja genau diesen "Bug" oder was auch imme wieder mit auf?)

    Moin und willkommen im Forum.

    Habe eben mal über Google die Seite "thomashawk" suchen lassen. Auch bei mir hat sich (obwohl ich die Seite nicht direkt aufgerufen habe) schon Avast gemeldet. Irgendwas hat Avast etwas von "frame" gemurmelt. Wahrscheinlich ist das wieder so eine "false/positive" Meldung.

    Ah, dafür schon mal vielen Dank. Ich hatte vor ein paar Monaten sowas schon mal, damals war es die Seite von Trevor Jones (ebenfalls ein Fotograf!). Das hat sich aber innerhalb kürzester Zeit als False positive herausgestellt und war dann auch "weg" :)

    Im Grunde habe ich auch die Seite von Thoms Hawk als False Positive im Verdacht.
    Aber was mich beunruhigt: Wieso schlägt avast immer an, wenn ich diese Seite gar nicht aufrufe? Da muss doch im Hintergrund bei FF was passieren, oder nicht?
    Weil, andere Browser haben das Problem nicht. Ich bin jetzt den ganzn Morgen mit Opera unterwegs, und es ist Ruhe...

    Hab ich gemacht seit gestern. Inzwischen gabs auch ein Update der Viren-DB, aber das Problem tritt immernoch auf.
    Ich bin einfach davon ausgegangen, dass FF eventuell eine Sicherheitslücke hat, da Malware auf Webseiten gemeldet wird, die ich gar nicht aufrufe. Wie gesagt, ich hatte den Feed der Seite abonniert, diesen aber inzwischen gelöscht. Meine Vermutung war, dass es noch ein Hintertürchen gibt, wo dieser Feed im Cache oder so gespeichert ist (Cache, Cookies, auch alles schon gelöscht)

    Diese Beobachtung

    Zitat von Global Associate

    [...] Habe eben mal über Google die Seite "thomashawk" suchen lassen. Auch bei mir hat sich (obwohl ich die Seite nicht direkt aufgerufen habe) schon Avast gemeldet. Irgendwas hat Avast etwas von "frame" gemurmelt. [...]


    kann ich bestätigen.

    Seltsam... dh Eure Vermutung ist kein Sicherheitsloch im FF, sondern einfach nur ein False Alarm von avast?
    Wäre schön, dennoch wurmt mich, dass avast anschlägt, obwohl die Seite nicht aufgerufen wird :?

    Zitat von Milla

    Ich nutze FF Version 2.0.0.20
    ....
    Das Beunruhigende ist: Ich rufe diese Seite gar nicht auf!!!

    Zitat von Milla

    Seltsam... dh Eure Vermutung ist kein Sicherheitsloch im FF, sondern einfach nur ein False Alarm von avast?
    Wäre schön, dennoch wurmt mich, dass avast anschlägt, obwohl die Seite nicht aufgerufen wird :?


    Zitat

    Note: This is the last planned release of Firefox 2. All users are encouraged to upgrade to Firefox 3. Firefox 2.0.0.20 does not include Phishing Protection.

    Release Date:
    December 18, 2008

    Es gibt keine Strong-Taste und keine Strange-Taste.

    Firefox 3.6 RC2 ruft Seiten auf, die man nicht besucht hat. Bzw. Feeds die gelöscht worden sind?

    Falls ja, sollte dringend ein Bugeintrag erstellt werden. (Oder gibt es schon einen, habe jetzt gar nicht gesucht.)

    Es gibt keine Strong-Taste und keine Strange-Taste.

    Beachte bitte meinen obigen Link betreffs Prefetching. Da ist es gar nicht nötig einen Link anzuklicken und die Seite aufzurufen, da bereits Teile von verlinkten Seiten vorgeladen werden. Ich hatte nur via Google nach Thomas Hawk gesucht und Avast schlug an. Probier es doch selbst. :wink:

    [Blockierte Grafik: http://firefox.czapura.de/gruss2.png]
    Win XP Home SP3, CPU: Pentium 4, 2,6 GHz, Dual Core, 1 GB RAM
    Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0
    Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20130620 Thunderbird/17.0.7
    Meine Add-Ons

    Zitat von Estartu

    Hängt vllt. damit zusammen:
    http://www.firefox-browser.de/wiki/Link_Prefetching

    Hängt sicher damit zusammen. Wenn ich den Eintrag network.prefetch-next unter about:config auf false setze, kommt keine Warnung bei der google-Suche nach thomashawk. Die Warnung kommt dann nur (genau wie in Opera; IE vorsichtshalber nicht getestet) wenn ich die Seite selbst aufrufe.

    Zitat von Fury

    Ist mir bekannt, aber vllt hast du ja auch gelesen, was ich gleich zu Beginn meines Postings zum Thema Upgrade geschrieben habe: Ich kann mit FF 3 nicht arbeiten. Ich habs versucht mit 3.0 in mehreren Unterversionen, mit 3.5 - der ja angeblich sooo schnell sein soll. Und dabei kann ich mich zurücklehnen und im Taskmananger zusehen, wie bei EINER (!) geöffneten Seite (egal welcher) sich die Speicherauslastung für FF innerhalb kürzester Zeit scheinbar von selbst auf bis zu 400MB hochschraubt und der Browser praktisch nicht mehr benutzbar ist, da unglaublich langsam. Deswegen hab ich irgendwann aufgegeben und bin wieder auf FF 2 umgestiegen, bei dem ich dieses Problem nicht habe.

    Und bevor einer fragt: Das Problem bei Version 3 besteht auch im Auslieferungszustand mit "frischem" Profil, ohne jegliche Addons und dergleichen :?

    @ Roadrunner: Danke, werde mich mal einlesen :)

    Einmal editiert, zuletzt von Anonymous (16. Januar 2010 um 17:05)

    Zitat von Milla

    Und dabei kann ich mich zurücklehnen und im Taskmananger zusehen, wie bei EINER (!) geöffneten Seite (egal welcher) sich die Speicherauslastung für FF innerhalb kürzester Zeit scheinbar von selbst auf bis zu 400MB hochschraubt und der Browser praktisch nicht mehr benutzbar ist, [...]


    Dann eröffne dafür einen eigenen Thread, und wir werden versuchen, die Ursache dafür ausfindig zu machen; denn Firefox an sich ist nicht das Problem.

    Also erstmal ist das eigentliche Problem jetzt gelöst wegen dem ich gepostet hatte. Ich kann nicht mehr sagen, obs ein weiterer Datenbank-Fix von avast letztlich gebracht hat oder ob der Prefetch-Tipp die Lösung war. Zumindest werde ich jetzt von avast nicht mehr wegen dieser Thomas Hawk Seite behelligt :)

    Auf das andere Angebot komme ich gerne nochmal zurück. Habe mich auch schon ein wenig durchs Forum gelesen, leider war keiner der Hinweise für mich brauchbar, da FF 3 bei mir nach wie vor wahnsinnig langsam ist und sich irgendwann aufhängt. Da wollte ich nicht den 37. THread zu diesem Thema eröffnen ;)

    Dennoch danke, ich komme drauf zurück - aber erst morgen, da ich jetzt erst mal "Feierabend" habe :)
    Danke an alle fürs Helfen bis hierhin!

    Bitte sachlich bleiben. Der "iframe" ist eine Technik die schon seit den 15 Jahren Standard in Webseiten ist. Er erlaubt es einer Seite andere Dokumente, z.B. andere HTML-Dateien in die aktuelle Seite einzubinden. Der iframe ist eine Abart des normalen Frames, der ebenso funktioniert. Der geht sogar noch viel weiter, da er selbst im Grunde keinen Inhalt hat, sondern nur Seitenteile die in unterschiedlichen HTML-Seiten (z.B. Navigation, Seitenkopf und Inhalt) aufgeteilt wurden wieder zusammenführt.

    Es ist auch schon seit über 15 Jahren normal das z.B. Werbung/Werbebanner über iFrames in Seiten eingebunden werden. Jede Werbung ist im Grund nicht von der ursprünglichen Seite, die man aufgerufen hat, sondern von einer anderen, die nur auf der aktuellen Seiten eingebunden wird. Daran ist absolut NICHTS ungewöhnlich. Das ist völlig NORMAL.

    Natürlich gibt es immer wieder Werbung die geschaltet wird, um Schädlinge zu verbreiten. Solange die Schädlinge aber keine Lücke im Browser (Achtung! Plugins können ebenfalls als Einfallstor dienen!) finden, ist dies aber ungefährlich. Das ist auch der Grund warum man Browser und Plugins IMMER aktuell halten soll und muss. Virenscanner melden nur eine Verseuchung einer Datei, nicht aber ob diese evtl. für den Anwender tatsächlich eine Gefahr darstellen. Wenn die verseuchte Datei eben keinen Angriffspunkt im Programm findet, sind sie zahnlos wie ein 100jähriger Stubentiger.

    Hierbei möchte ich auch nochmal generell auf die korrekte Nutzung von Virenscannern hinweisen. So ein Programm hilft einem nur, wenn man dessen Meldungen auch zu deuten versteht. Wenn ein Browser Sicherheitslücken besitzt, die es einem Schadprogramm (in der Regel eher auszuführende Skripte) ermöglichen die Kontrolle über den Browser zu übernehmen, und (noch viel schlimmer) der Benutzer den Browser mit Adminrechten betreibt, dann zieht so ein Virenscanner schnell mal den Kürzeren. Der Benutzer verlässt sich dann zwar auf den Virenscanner, aber ein Schadprogramm kann diesen aushebeln und ihm dann Scheuklappen aufsetzen. Was ich damit sagen will ist Folgendes: Wenn der Virenscanner einen wirklichen wirksamen Schädling findet, dann ist es bereits zu spät. Ist es ein zahnloser, dann kann man ihn in der Regel auch einfach ignorieren (der Cache vom Firefox, wo alle Seiten landen, ist abgeriegelt). Einzig wenn man Dateien herunterladen möchte um sie auf den Desktop oder so zu legen und dann mit einem anderen Programm auszuführen, sollte man vorher den Virenscanner befragen. Eine Datei selbst ist nämlich erstmal unfähig irgendwas auszulösen.

    Für einen Laien ist aber auch das wiederum nur die halbe Wahrheit. Windowmanager wie der Windows Explorer z.B. versuchen von Bildern Voransichten zu generieren. Andere Programme führen diese Voransicht ebenfalls mit verschiedenen Dateitypen durch. Dies ist auch ein ausführen der Datei auch ganz ohne "Doppelklick". Daher liefert Firefox eine Datei nach dem Download auch erstmal einem Virenscanner. Wenn ein Virenscanner übrigens nichts findet, heißt das nicht das eine Datei sicher ist. Das bedeutet nur das der Virenscanner nichts gefunden hat. Hier hilft nur die gute alte brain.exe die einem sagt: ich lade nur Dateien von Quellen runter die vertrauenswürdig sind.

    Es gibt nur zwei wirklich Konzepte die einen wirklichen Grad an Sicherheit bietet: immer ALLES patchen und NICHT mit Adminrechten arbeiten. Virenscanner und Co machen keine 10% am Sicherheitskonzept eines Systems aus, aber viele Leute tendieren dazu diesen Programmen ihre Sicherheit zu übertragen. Dies können diese Programme aber NICHT liefern.

    Aus dem Grund ist z.B. ein Firefox 2.0 indiskutabel. Er erhält keine Sicherheitspatches mehr und kann direkt von Webseiten mit Schadecode bombardiert werden. Sollte er mit Adminrechten ausgeführt werden, ist die Bedrohung RIESIG. Selbst wenn Firefox nur mit eingeschränkten Rechten betrieben würde, könnte die Schadsoftware noch immer auf alle Daten innerhalb des Firefox zugreifen, sogar Erweiterungen zu installieren wäre unter ungünstigen Umständen möglich. Einzig Filterprogramme die Webseiten-Inhalte vorfiltern bevor sie an den Browser weitergeleitet werden (z.B. Proxies) könnten hier die Bedrohung reduzieren. Dennoch sind die wenigsten Virenscanner in der Lage browserspezifischen Schadecode zu erkennen.

    Du solltest Dir also wirklich keine Sorgen um das Verhalten vom Firefox machen (das ist völlig normal), sondern um seine Sicherheitslücken.

    Zitat von bugcatcher

    Bitte sachlich bleiben. Der "iframe" ist eine Technik die schon seit den 15 Jahren Standard in Webseiten ist. Er erlaubt es einer Seite andere Dokumente, z.B. andere HTML-Dateien in die aktuelle Seite einzubinden. Der iframe ist eine Abart des normalen Frames, der ebenso funktioniert. Der geht sogar noch viel weiter, da er selbst im Grunde keinen Inhalt hat, sondern nur Seitenteile die in unterschiedlichen HTML-Seiten (z.B. Navigation, Seitenkopf und Inhalt) aufgeteilt wurden wieder zusammenführt.

    Bitte ebenfalls sachlich bleiben und dich ggf. besser informieren :wink:
    Ich bin gelernte Mediengestalterin und code seit Jahren Webseiten. Die (völlig veraltete) Technik der iFrames ist mir hinreichend bekannt.

    Es gibt allerdings auch Malware mit dem Namen "HTML:Iframe-inf". Hierbei wird, wenn ich das richtig verstanden habe, auf einer Website "fremder" Code eingeschleust, der wiederum Skripte ausführt etc. Also durchaus nicht unbeidngt mit harmlosen iFrames gleichzusetzen. Leider schlagen einige Virenscanner aber eben auch bei "normalen" iFrames an.

    Zitat von Milla

    Es gibt allerdings auch Malware mit dem Namen "HTML:Iframe-inf". Hierbei wird, wenn ich das richtig verstanden habe, auf einer Website "fremder" Code eingeschleust, der wiederum Skripte ausführt etc.

    Genau das könnte bei der betreffenden Seite (thomashawk) auch der Fall sein. Im Netz gibt es jedenfalls schon seit mindestens Mai 2009 Meldungen, dass Seiten infiziert wurden, und avast die Meldung HTML:Iframe-inf ausgab. Von daher denke ich eher nicht, dass es sich nur um einen false positive handelt. Eine Testdatei wurde bei virustotal geprüft (nicht von mir) und es haben insgesamt 4 von 41 Scannern angeschlagen (siehe hier).