FF öffnet Spam-Seiten anstatt gewünschtem Link

ricz

Hallo zusammen,

gestern habe ich FF neu installiert, da ich vorher Probleme hatte (z.B. ließ sich kein neuer Tab öffnen). Habe jetzt die Version 3.6.23. Soweit läuft auch alles einwandfrei. Außer: wenn ich einen Link anklicke (z.B. in der Google-Suche oder direkt auf einer Website) öffnet sich nicht der gewünschte Inhalt, sondern eine Art Spam/Werbung-Seite von Klingeltönen, "Gewinnspielen" etc. Manchmal erscheinen auch Pop-Up-Meldungen, wenn ich diese Seiten schließen will ("Bist du sicher, dass du die Seite verlassen willst? Deine ID hat gewonnen" blablabla).

Gibt es eine Möglichkeit solche Seiten zu sperren/blockieren? Oder weiß jemand den Grund warum solche Seiten auftauchen und was man dagegen tun kann?

Ich hatte das vor einiger Zeit schon mal (noch bevor ich FF neu installiert habe) - da kam meistens die Seite von adf.ly oder so ähnlich (tiny urls). Habe es damals irgendwie geschafft diese Seite zu blockieren, daraufhin hat sich dann nur mehr eine leere, weiße Seite geöffnet, die ich schnell schließen konnte, und irgendwann kamen diese ungewollten Seiten gar nicht mehr.

Ich hoffe, dass jemand hier eine Lösung für mein Problem hat Danke euch schon mal im Voraus! Liebe Grüße, ricz

2002Andreas

Hallo und Willkommen hier im Forum.

Evtl. hilft dir schon diese Erweiterung

http://adblockplus.org/de/

dazu eine Filterliste

http://adblockplus.org/de/subscriptions

Z.B.

EasyList Germany

ricz

Vielen Dank für die schnelle Antwort!

Habe nun adblockplus installiert und auch die Easylist Germany aktiviert. Da nach wie vor die unerwünschten Seiten geöffnet wurden, habe ich die Urls dieser Seiten unter "Meine Blockierregeln" hinzugefügt. Nun steht bei einer dieser Seiten zwar bei "Treffer" "5" aber blockiert wurde sie immer noch nicht

Ich hoffe es ist ok, wenn ich einige dieser Seiten hier nenne - vielleicht lässt sich das Problem dann leichter erkennen?
h**p://m.vuwl.com/
h**p://http://xml.plusfind.net/click?i=8Shy5q5g*N4_0

Meist ist es so, dass erst eine URL erscheint, und dann auf eine andere weitergeleitet wird (es zählt auch ein Countdown auf der Seite, dass man in x Sekunden weitergeleitet wird).

Hach ist das nervig...

Info RR: Links unklickbar gestaltet + Korrektur von WW

2002Andreas

Ist das nur mit dem Firefox so ?

ricz

Ja. Habe ansonsten noch Chrome, da gibt es diese Probleme nicht.
Und wie gesagt, ist so ein ähnliches Problem ja auch vorher schon mal aufgetreten, als ich noch eine etwas ältere (aber ähnliche) Version vom FF hatte.

MaximaleEleganz

Benenne im Programmordner des Browsers die Datei firefox.exe bei geschlossenem Programm um und teste danach erneut.

ricz

Danke auch für deinen Tip! Leider schon beim ersten Versuch, wieder einen Link zu öffnen, Fehlanzeige. Statt der Seite des Ministeriums kam eine Motorsport-Seite haha

Docc

Hallo ricz,

du hast dir wahrscheinlich einen Schädling eingefangen. Wenn du Glück hast, ist es "nur" eine "search site".

Lade dir Malwarebytes Antimalware runter, dann das Tool updaten, einen Full-Scan durchführen. Anschließend ein Logfile erstellen und hier posten. - Funde bitte nicht löschen, sondern in Quarantäne verschieben!!!

Gab es in der Vergangenheit mal ein Malwareproblem? Falls ja, welche Maßnahmen hast du seinerzeit ergriffen?

gruß,
docc

ricz

sooo, hab das jetzt alles mal ausgeführt mit dem Antimalware Programm. Danke Docc!
Es wurden auch 30 infizierte Datein gefunden. Habe dir das Logfile per PN geschickt.
Bisher hatte ich (meines Wissens nach!) keine Probleme mit Malware. Habe Microsoft Essentials, und wenn es Probleme meldet, lasse ich sie bereinigen
Naja, bis auf damals, als ich eben schon mal Probleme mit adf.ly hatte, das sich geöffnet hat ohne zu fragen.

Docc

@ ricz

Bist du damit einverstanden, dass ich das Log anonymisiere und hier in den Thread einfüge (es sind keinerlei persönliche Daten zu sehen)??

Der Rechner ist hochgradig infiziert, und das nicht erst seit gestern!! Du hast dir Malware der übelsten Sorte eingefangen (u.a. der Banking-Trojaner ZeuS/Zbot und auch noch mindestens ein Rootkit).

Achtung:
Eine zuverlässige Bereinigung ist ohne Neuinstallation nicht möglich. Von diesem Rechner darf kein OnlineBanking oder OnlineShopping ausgeführt werden. Im Idealfall wird der Rechner sofort offline gestellt!

Melde dich bitte umgehend!

gruß,
docc

____________________________________________
Edit:
Ich verschiebe den Thread in die Sicherheitsecke.
docc

Docc

Code

Malwarebytes' Anti-Malware 1.51.2.1300
http://www.malwarebytes.org


Datenbank Version: 8069


Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421


02.11.2011 20:51:47
mbam-log-2011-11-02 (20-51-35).txt


Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 576945
Laufzeit: 1 Stunde(n), 43 Minute(n), 36 Sekunde(n)


Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 19


Infizierte Speicherprozesse:
c:\Users\*****\AppData\Roaming\801A4\E0392.exe (Malware.Packer) -> 1836 -> No action taken.
c:\Users\*****\AppData\Roaming\microsoft\9288\186.exe (Malware.Packer) -> 2620 -> No action taken.
c:\Users\*****\AppData\Roaming\A4A0A\lvvm.exe (Malware.Packer) -> 2748 -> No action taken.


Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)


Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{b33ee05e-0e9f-5672-5ac7-4fedac3dbf5c} (Adware.Ezula) -> No action taken.


Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\186.exe (Malware.Packer) -> Value: 186.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\186.exe (Malware.Packer) -> Value: 186.exe -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.CycBot) -> Value: Load -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken.


Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Malware.Packer) -> Bad: (C:\Users\*****\AppData\Roaming\A4A0A\lvvm.exe) Good: () -> No action taken.


Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> No action taken.


Infizierte Dateien:
c:\Users\*****\AppData\Roaming\801A4\E0392.exe (Malware.Packer) -> No action taken.
c:\Users\*****\AppData\Roaming\microsoft\9288\186.exe (Malware.Packer) -> No action taken.
c:\Users\*****\AppData\Roaming\A4A0A\lvvm.exe (Malware.Packer) -> No action taken.
c:\program files\LP\9288\186.exe (Malware.Packer) -> No action taken.
c:\Users\*****\AppData\Local\Temp\0.2496024162580327.exe (Trojan.Spybot) -> No action taken.
c:\Users\*****\AppData\Local\Temp\upss.exe (Adware.Agent) -> No action taken.
c:\Users\*****\AppData\Local\Temp\C899.tmp (Rootkit.TDSS) -> No action taken.
c:\Users\*****\AppData\Local\Temp\C8B8.tmp (Rootkit.TDSS) -> No action taken.
c:\Users\*****\AppData\Local\Temp\rawxnmcsoe.exe (Trojan.Hiloti.Gen) -> No action taken.
c:\Users\*****\AppData\Local\Temp\xcrmnaswoe.exe (Rootkit.TDSS) -> No action taken.
c:\Users\*****\AppData\Local\Temp\jar_cache7897458383530508318.tmp (Backdoor.IRCBot) -> No action taken.
c:\Users\*****\AppData\Local\Temp\jar_cache84967173465689759.tmp (Backdoor.IRCBot) -> No action taken.
c:\Users\*****\AppData\Local\Temp\C8B9.tmp (Rootkit.TDSS) -> No action taken.
c:\Users\*****\AppData\Local\Temp\pdf-annotator-3.0.0.332_tmp.exe (Malware.Packer) -> No action taken.
c:\Users\*****\AppData\Roaming\chrome.exe (Malware.Packer) -> No action taken.
c:\Users\*****\AppData\Roaming\microsoft\9288\F239.tmp (Malware.Packer) -> No action taken.
c:\Users\*****\wichtige setup\adobe photoshop cs4 extended\photoshop4\adobe cs4 activation patch\adobe cs4 keygen.exe (Trojan.Downloader) -> No action taken.
c:\Users\*****\AppData\Roaming\wndsksi.inf (Malware.Trace) -> No action taken.
c:\Users\*****\AppData\Roaming\igfxtray.dat (Malware.Trace) -> No action taken.

Alles anzeigen

Beim Skat würde man sagen: Ein ganz mieses Blatt, aus jedem Dorf ein Hund! - Hier ist nichts mehr zu machen. Das System ist hochgradig infiziert und muss zwingend neu aufgesetzt werden.

Ich nehme an, du weißt, dass dein Problem weitgehend hausgemacht ist (Adobe Photoshop etc.). :wink:

Was jetzt zu tun ist, habe ich in dem folgenden Link zusammengefasst: https://www.camp-firefox.de/forum/viewtopic.php?f=12&t=93861 (Nicht von der Western Union-Startseite irritieren lassen. Der Primärschädling (SpyEye bzw. ZeuS alis Zbot) ist identisch.

Da sich im Master Boot Record (MBR) ein Rootkit eingenistet hat, müssen auch sämtliche Partitionen formatiert, aufgelöst und neu angelegt werden.

PS
Beantworte bitte noch meine Frage nach OnlineBanking/OnlineShopping.

________________________________________________________________________________________________
Edit:
ricz hat mir das mbam-Log per PN geschickt. Ich habe das Log anonymisiert und mit seinem Einverständnis hier eingefügt.
docc

ricz

Hallo docc,

vielen vielen Dank für den Link! Werde das am Wochenende gleich angehen...klingt nach viel Arbeit, aber wie du sagst: selbst schuld

Zum Online-Banking... ich weiß jetzt nicht welche Frage du meinst, aber ich verwende sehr häufig online-banking und online-shopping. Scheint bis jetzt aber zum Glück alles gut gelaufen zu sein!

Kannst du mir ein Anti-Virus-Programm empfehlen? Habe bis jetzt Microsoft Essentials verwendet. Anscheinend nicht sehr erfolgreich

LG

Docc

Zitat von ricz

Zum Online-Banking... ich weiß jetzt nicht welche Frage du meinst, aber ich verwende sehr häufig online-banking und online-shopping. Scheint bis jetzt aber zum Glück alles gut gelaufen zu sein!

Du hast dir ZeuS eingefangen. Das ist ein Schädling der darauf spezialisiert ist, die Legitimationsdaten des OnlineBankings und anderer Transaktionen zu protokollieren und an einen zentralen Server (häufig in der Ukraine) zu senden. - In jedem Fall solltest du schnellstens alle Kontobewegungen kontrollieren. Alles weitere ist in meinem Link erklärt.

Zitat

Kannst du mir ein Anti-Virus-Programm empfehlen? Habe bis jetzt Microsoft Essentials verwendet. Anscheinend nicht sehr erfolgreich

Wirklichen Schutz bietet keines der aktuellen Antivirenprogramme. Wenn du den falschen Link anklickst, ist es passiert. Das kann weder eine Freeware noch ein kommerzielles Programm verhindern.

Microsoft Security Essentials ist völlig okay. Du könntest aber auch mal Avast probieren, und natürlich die Windows-Firwall aktivieren. Wichtig ist, dass nicht mehr als ein Antivrenprogramm parallel aktiv ist.

Boersenfeger

ergänzend: Auch die parallele Verwendung von 2 Firewalls ist aus gleichen Gründen nicht angezeigt.

Docc

Wenn du damit zwei Softwarefirewalls meinst, liegst du völlig richtig. Die Routerfirewall und eine weitere Firewall (z.B. die Windows-FW) kann man aber ohne Probleme nebeneinander laufen lassen.

Boersenfeger

..so war es gemeint..

ricz

hm, jetzt hätte ich noch eine Frage
also das Anti-Malware-Programm hat die Infizierungen anscheinend bereinigt. Denn nach einem neuen Scan wurden keine infizierten Daten/Orte mehr gefunden. Ich scanne damit auch gerade meine ganzen Wechseldatenträger.
Heißt das jetzt, dass diese Viren/Trojaner wirklich weg sind, oder nur nicht mehr auffindbar und doch da?

Road-Runner

Zitat von ricz

Heißt das jetzt, dass diese Viren/Trojaner wirklich weg sind, oder nur nicht mehr auffindbar und doch da?

Lies mal hier: Warum man bei Infektionen den Rechner neu installieren sollte...

Alive

Guten Abend allseits

Wenn mich jemand fragt, kann eine einzige Software den PC mit Internet-Zugang nicht ausreichend schützen.

Router sind unabdinglich und eine im Sys integrierte Firewall sollte aktiviert sein. Eine gute Konfiguration an AV-Programmen
könnte zb., aus AVG 2012 in Verbindung mit Threadfire (Freeware)-sein.

Im Browser habe ich natürlich no Script (für mich wichtig)!
Mein Sys ist durch Sandboxie (geniales Freeware-Prog)-geschützt. Sandboxie lässt nichts an das System
Ein Download zb., wprd geladen, aber erst auf das Sys gelassen, wenn eine administrative Erlaubnis mit Angabe des Speicherortes erfolgt

Mein System besteht und rennt, seit Februar 2011-sorry, nicht 2010 :shock:

Eine weitere Möglichkeit würde, A Squared mit AVG 2012 ergeben, A Squared wie auch Threadfire, arbeiten im Hintergrund und überwachen verdächtige Bewegungen.

Alles zusammen, ist schon ein mögliches Sicherheitskonzept. AVG 2012, auf dessen Arbeit ich mich verlasse, blockt auch Spy., und andere Malware

Mein Sys besteht aus, Router, Win7 FW, No Script, Sandboxie und AVG )-Hardware hab ich auch :mrgreen:

Docc

Zitat von ricz

also das Anti-Malware-Programm hat die Infizierungen anscheinend bereinigt.

Das Wörtchen "anscheinend" trifft es genau. - Im Moment bekommt du exakt das zu sehen, was du sehen sollst. Nämlich ein anscheinend sauberes System.

Deine Legitimationsdaten für das OnlineBanking werden bereits irgendwo im Internet an den meistbietenden Cyberkriminellen verhökert, der sich dann damit im Internet auf Shoppingtour begibt. Freilich nicht auf Kosten von Herrn Müller oder Frau Meier, sondern auf Kosten von ricz.

Zitat von ricz

Denn nach einem neuen Scan wurden keine infizierten Daten/Orte mehr gefunden. Ich scanne damit auch gerade meine ganzen Wechseldatenträger.

Ich hatte dir bereits erklärt, dass du dir u.a. ein Rootkit eingefangen hast. Du kannst also scannen, bis du schwarz wirst. Das Rootkit würde nicht erkannt. Und loswerden kannst du dieses Kaliber nur, indem der MBR neu geschrieben wird.

Zitat von ricz

Heißt das jetzt, dass diese Viren/Trojaner wirklich weg sind, oder nur nicht mehr auffindbar und doch da?

Ich antworte mal mit einer Gegenfrage: Wie weit kann man einem Scannergebnis vertrauen, wenn der Scanner auf dem kompromittierten (also nicht mehr vertrauenswürdigen) System läuft?

PS
Tu dir selbst einen Gefallen, und leite schnellsten die Sperrung des OnlineBankings ein, und nutze dazu die Sperrnotrufnummer, die ich dir verlinkt hatte. Du hast nicht die Zeit, bis Montag zu warten!!