Hallo Leute,

vielen Dank für das Forum, ich habe mich einige Stunden eingelesen und bin erstaunt über den hohen Mehrwert und Kompetenz.

Dennoch habe ich eine recht dämliche Frage:
Während des Besuches, innerhalb von wenigen Sekunden, bekam ich die Meldung:

Code: Alles auswählenAufklappen

ATTFilter

Muster in Datei Users\Windows7\appdata\local\mozilla\firefox\profiles\s9vxxxx.default\cache2\entries\CE04NF514C04AE312403C4CA6AF4F3B11331A2 enthält folgendes Muster "PUA/CryptoMiner.Gen" und wurde in Quarantäne verschoben
         

Anschließend habe ich den Ordner "mozilla" in Appdata gescannt und 3 weitere Dateien mit gleichen Muster, ebenfalls im Cache2 und Entries gefunden und diese gelöscht.

(Ich habe durch das Forum rausgefunden, dass Avira nicht empfohlen wird, vielen Dank für die Info, ich werde mich entsprechenend umorientieren )

Ein weiterer Scan des Ordners + System blieb ohne Funde.

Sieht stark nach dem Versuch aus, ein Addon etc. durch verstecktes Coin Minig zu betreiben. Dies wurde hier im Artikel gut beschrieben, dort ist folgendes Zitat zu finden:

Möglichkeit 1:
Die meisten Hersteller von Anti-Viren bzw. Anti-Malware blockieren bereits standardmäßig dieses unerwünschte Verhalten der Websites. Dies macht sich häufig in einer Fundmeldung bemerktbar, beispielsweise:

Code: Alles auswählenAufklappen

ATTFilter

Trojan.Script. Quelle: coinhive.com 

[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2! 
C:\Users\Test\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\RD6M6PY6\coinhive.min[1].js
         

Meine eigentliche Frage: Sofern ein Antivirenprogramm sofort, allein beim Versuch wie oben im Artikel von euch beschrieben, direkt blockiert, ist dann schon etwas passiert?

Ich gehöre zu den panischen Usern, die immer sofort das System neu aufsetzen wollen, sofern das Antivirenprogramm Alarm schlägt, daher entschuldigt bitte die dumme Fragestellung.

Ich danke euch

In hysterische Panik auszubrechen ist das dämlichste was man machen kann.
Auch in diesem Fall zeigt sich mal wieder: wer lesen kann ist im Vorteil!

Zitat:

Trojan.Script. Quelle: coinhive.com

Lesen --> https://www.trojaner-board.de/186983...coin-hive.html

Hallo cosinus,

vielen Dank für deine schnelle Antwort zur späten Stunden am Wochenende. Panik hat sich Dank des Forums gelegt, daher habe ich mich eingelesen und letztendlich trotzdem die dämliche Frage gestellt

Zumindest bin ich auf der sicheren Seite. Einige Sicherheitsaspekte aus dem Artikel geben mir auf jeden Fall in Zukunft weiteren Schutz.

Ich habe zu danken.

Also speziell in diesem Fall hilft es wie gesagt coin hive zu blockieren. Da wurden ja mehrere Möglichkeiten genannt. Generell blockt man Schrottseiten ganz gut mit uBlock. Wenn du wilst kannst du dir auch noscript antun, ich verwende noscript seit Firefox Quantum nicht mehr...

Allgemein: immer genau lesen was das AV anzeigt und nicht wie ein aufgescheuchtes Hühnchen panisch alles löschen. Es kann nämlich auch ein Fehlalarm sein!

Euer Tipp mit der Coinblockliste in AdBlock hilft enorm, nutze ich bei Seiten, die mich sinnlos vollspammen wollen.

NoScript habe ich zuletzt vor 2010 genutzt, da gabs mal damals die Panik über JS Schwachstellen. uBlock ist mir völlig neu, da werde ich mich mit beschäftigen.

Zitat:

Allgemein: immer genau lesen was das AV anzeigt und nicht wie ein aufgescheuchtes Hühnchen panisch alles löschen. Es kann nämlich auch ein Fehlalarm sein!

Gebe ich dir Recht, ich habe nur den Zusammenhang zwischen den Browser und AV nicht verstanden. Ich dachte zunächst, die verseuchte Seite lädt und installiert die Schadsoftware und wird erst im Anschluss gefunden - dann wäre es theoretisch zu spät.

Letzter Fund war bei mir 2016 und ein Fehlaram, bin relativ vorsichtig aber wenn, dann kommt leider sowas bei rum

Zum Glück gibts hier 16 Jahre Erfahrungen, in denen ich mich reinlesen kann

Das TB gibt es seit 1999, also jetzt 20 Jahre Erfahrung, ich bin seit 2004 dabei