Zurück   Trojaner-Board > Sonstiges > Lob, Kritik und Wünsche

Lob, Kritik und Wünsche: Hinweise zu Ad/Malware Threads (bitte offen lassen)

Windows 7 Wir helfen bei Windows Bluescreens oder Trojaner entfernen stets kostenlos. Hier nehmen wir Wünsche, Lob und Kritik zu unserem Forum und Experten entgegen und freuen uns über jede Meinung. Keine Bereinigung von Rechnern!

Antwort
Alt 11.09.2019, 21:14   #1
Citro
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



Da mein erster Thread https://www.trojaner-board.de/196220-hinweise-ad-malware-threads.html geschlossen wurde und mir geraten wurde einen Neuen zu eröffnen, mache ich dies hiermit.

In der Hoffnung, dass dieser offen bleibt und vielleicht auch nicht so sehr offtopic wird

Zum Thema:
Zum Thread https://www.trojaner-board.de/196392-programm-ohne-namen-zeichenfolgen-verhindern-herunterfahren.html

Das scheint an Adobe Creative Cloud zu liegen, da gibts in letzter Zeit einige Meldungen dazu
https://community.kaspersky.com/kaspersky-internet-security-13/strange-coresync-application-prevents-shutdown-3249

https://linustechtips.com/main/topic/1100301-idk-whats-going-on/

https://forums.adobe.com/thread/2650942
hier auch mit möglicher Lösung https://forums.adobe.com/message/11247870#11247870

Das soll wie gesagt nur ein Hinweis sein, und ich will in keiner Weise damit verhindern, dass nicht die üblichen "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" Standards wie Systemscan mit FRST usw. nicht gemacht werden sollten

Geändert von Citro (11.09.2019 um 21:29 Uhr)

Alt 11.09.2019, 21:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



Danke erneut für deinen Hinweis.

Der TO scheint aber zunächst mal eine Analyse zu wünschen. Und dann sehen wir weiter.
__________________

__________________

Alt 12.09.2019, 11:36   #3
Citro
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



Gern geschehen. Klar, Analyse ist auf jeden Fall wichtig
BTW: ist es irgendwie möglich mit die per PN zu schreiben? oder lehnst du das generell ab? Ich wollte manche Dinge vorerst nicht öffentlich posten. (später vielleicht schon)
__________________

Alt 12.09.2019, 11:37   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



PNs hab ich nicht so gerne. Schreib es doch einfach hier rein.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.09.2019, 16:21   #5
Citro
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



werde ich machen, wenns an der Zeit ist. Wie gesagt, wollte ich mich vorher nicht öffentlich austauschen.

Cosinus schrieb hier: https://www.trojaner-board.de/196220-hinweise-ad-malware-threads-2.html#post1721870

Zitat:
Und der Download von gimp24 lieferte mir 90038ea1895b2fe2a63fe6f69fc2115161b9af6a509e96ee08371138260de45e (gimp-2.10.12-setup-3.exe)
Heute nicht mehr, jetzt bekommt man eine andere Datei mit Namen "gimp-2.10.12.3-setup_x86_x64.exe"

https://www.virustotal.com/gui/file/7fee2f8a3ded3b5e50dcb7128c0222cee0a8b285dfe201b2c08e58f8c93608ad/detection

leider erkennt kein AV Programm diesen Schrott und unter Details->Signers sieht man den bekannten Namen.

Habe ich mal installiert und sah zunächst unter AppData\Roaming\GIMP Updater\Updater.exe https://www.virustotal.com/gui/file/d601ee6fa1181d90a54ae17c0b3472c85ccef209a216efef4ee630ef917cd379/detection

Es öffnet sich dann die bekannte Seite /download_ok.php

Nach einem Rechnerneustart wird wahrscheinlich etwas entpackt (schwarzes Konsolenfenster ging kurz auf)
Danach 3 Dateien in dem Ordner
gimp.ico
uninst.exe
Updater.exe (gleicher hash wie vorherige Updater.exe)

die unsinst.exe https://www.virustotal.com/gui/file/461e2589605377fc6d67d0db2a0a61284ae8ce5343194c9d111b3de4c6f1bfb6/detection

Ich habe noch alles auf dem Rechner in der VM falls weitere Angaben erwünscht sind.

Eine Veränderung beim Start von Browsern oder bei der Suche ist mir nicht aufgefallen. (obwohl ich zusätzlich noch viel anderen Mist da installiert habe)


Alt 09.10.2019, 09:34   #6
Citro
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



Leider gibt es einiges extrem Schädliches, was sich Nutzer durch Software installieren und was von keinem AV Programm erkannt wird. Teilweise sind es auch Dateien, die großen Schaden anrichten können, aber an sich legale Dateien sind und somit auch nicht erkannt werden.

Meist fängt man sich solche Dinger ein durch Downloads wie zb. bei Chip.de durch den Installer ein, wenn man dort die Sponsored "Angebote" nicht explizit verweigert.

Ich will mal konkret werden: Ich installiere zb. so etwas (versehentlich) mit. Im besten Fall merke ich es, weil ich in zb. Firefox eine Erweiterung habe, die vorher nicht da war. (Es muss aber gar nicht unbedingt eine Erweiterung installiert worden sein) Nun könnte man meinen, ok, dann deinstalliere ich eben das Programm wieder und lösche die Erweiterung über about:addons. Leider weit gefehlt. Bei der Installation wird nämlich der Selbstschutz von Firefox ausgehebelt (evtl. auch andere Browser, aber das habe ich nicht genauer untersucht) und genau das ist das Problem.

Die interne blocklist URL wird geändert, sodass von mozilla geblockte Erweiterungen weiterhin ausgeführt werden. Auch so Sachen wie Telemetrie werden an falsche Server geschickt.

Dies geschieht durch kurzfristige angelegte user.js oder eine Invalidprefs.js, die die prefs.js ändert und somit die Werte in about:config ändert. Diese js. Dateien sind ganz normale gültige Dateien und somit werden sie auch nie als schädlich eingestuft werden.
(Ich nutze selbst eine user.js, allerdings habe ich diese selbst händisch angelegt und weiß was ich mache)

Fazit: bei jedem Ad/Malware Befall würde ich dazu raten, danach seine Lesezeichen zu sichern und dann sowohl den Browser komplett zu deinstallieren
Danach nachsehen ob auch in
C:\Program Files
C:\Program Files (x86)
der Ordner "Mozilla Firefox" völlig weg ist
Danach
C:\Users\xxx\AppData\Roaming komplett den Ordner "Mozilla" löschen
C:\Users\xxx\AppData\Local komplett den Ordner "Mozilla" löschen
(xxx steht für den Benutzernamen)

Auch %temp% zu löschen wäre anzuraten.

Nachtrag: übrigens, warum ich in solchen Fällen nicht empfehle "nur" Firefox zurück zu setzen sondern wirklich alles zu löschen ist, dass oberhalb des Profilverzeichnises durchaus auch Daten sein können, welche weiterhin nachgeladen werden können.

Geändert von Citro (09.10.2019 um 10:02 Uhr) Grund: Nachtrag

Alt 09.10.2019, 10:39   #7
schlawack
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



@Citro
Würde es auch ausreichen, wenn ich eines meiner vielen mit MozBackup erstellten Firefox Backup einspiele?
__________________
Windows 10 Pro 1903

Alt 09.10.2019, 10:48   #8
Citro
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



NEIN! siehe auch meinen Nachtrag. Außerdem ist MozBackup heillos veraltet und die Entwicklung wurde eingestellt.
Wenn man Profile sichert, dann händisch. Ich erstelle einfach immer ein Zip vom Profilordner
Ist ja nicht so schwer einfach die Win Taste zu drücken %appdata%\Mozilla\Firefox\ eingeben und nen .zip zu erstellen (mit Datum versehen)

Alt 09.10.2019, 10:49   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



Zitat:
Zitat von schlawack Beitrag anzeigen
@Citro
Würde es auch ausreichen, wenn ich eines meiner vielen mit MozBackup erstellten Firefox Backup einspiele?
MozBackup sichert doch nur das Profil oder nicht?
Es geht doch darum, dass man nicht nur das Profil löscht und neu macht (oder eben aus einem Backup wiederherstellt) sondern eben auch, das Programmverzeichnis vom Firefox zu löschen und den Firefox dann neu zu installieren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.10.2019, 10:50   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



Zitat:
Zitat von Citro Beitrag anzeigen
Ist ja nicht so schwer einfach die Win Taste zu drücken %appdata%\Mozilla\Firefox\ eingeben und nen .zip zu erstellen (mit Datum versehen)
Das kann man auch wunderbar selbst scripten...7z und winrar haben ja ein exe dafür, also ein CLI Tool
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.10.2019, 10:52   #11
schlawack
 
Hinweise zu Ad/Malware Threads (bitte offen lassen) - Standard

Hinweise zu Ad/Malware Threads (bitte offen lassen)



Danke, das wollte ich nur wissen, dann müsste ich also Firefox mit Geek Uninstaller deinstallieren, danach noch vorhandene Ordner von Firefox und Mozilla löschen, danach Firefox neu installieren und dann ein Backup mit MozBackup einspielen. Übrigens: auch wenn MozBackup veraltet ist und nicht mehr weiterentwickelt wird, es funktioniert immernoch problemlos, damit Firefox Profile als Backup zu erstellen und diese einzuspielen.
__________________
Windows 10 Pro 1903

Geändert von schlawack (09.10.2019 um 11:05 Uhr)

Antwort

Themen zu Hinweise zu Ad/Malware Threads (bitte offen lassen)
adobe, beachten, cloud, creative, eröffnung, folge, hilfesuche, hilfesuchenden, hinweise, hoffnung, https, lösung, meldungen, möglicher, neue, neuen, offen, offtopic, schei, standards, systemscan, thema, themas, thread, threads



Ähnliche Themen: Hinweise zu Ad/Malware Threads (bitte offen lassen)


  1. Hinweise zu Ad/Malware Threads
    Lob, Kritik und Wünsche - 07.09.2019 (74)
  2. Win10 Pro: Browser stürzen ab-(Chrome&Edge)-GGF Schädlingsbefall-(Hinweise: TR/Dropper.Gen & suspected of Malware.Agent.39 "PAK_Generic.008)
    Log-Analyse und Auswertung - 20.03.2018 (17)
  3. Anti Malware Programme lassen sich nicht mehr starten
    Plagegeister aller Art und deren Bekämpfung - 11.10.2017 (32)
  4. Channel 9: So lassen sich Systeme vor Malware und anderen Cyberattacken schützen
    Nachrichten - 05.10.2017 (0)
  5. Windows 8, Malware: Schrift verändert, Programme lassen sich nicht öffnen
    Log-Analyse und Auswertung - 24.05.2016 (19)
  6. Positive Finds lassen sich mit Anti-Malware nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 01.03.2015 (13)
  7. Malware laufen lassen - hier ist das Log - Weather It Up und EnhanceTronic!
    Plagegeister aller Art und deren Bekämpfung - 22.03.2014 (11)
  8. Malware und Adware Einträge lassen sich nicht beheben; GMER Absturz
    Log-Analyse und Auswertung - 25.04.2013 (9)
  9. Windows 7 BKA 2.07 Logfiles erstellt Malware laufen lassen
    Log-Analyse und Auswertung - 02.08.2012 (8)
  10. mit der Bitte um weiterbearbeitung des Threads PumBadProxy I-Explorer geblocked
    Plagegeister aller Art und deren Bekämpfung - 10.07.2011 (3)
  11. Nach einer Malware attacke lassen sich einige Programme nicht mehr updaten
    Plagegeister aller Art und deren Bekämpfung - 04.01.2011 (49)
  12. Mehrere Hinweise auf Malware --> Schwarzes Dreieck neben AntiVir + Herunterfahren in 30 Sekunden
    Plagegeister aller Art und deren Bekämpfung - 30.11.2010 (28)
  13. Hinweise auf Viren, Trojaner, malware? z.b.
    Log-Analyse und Auswertung - 11.02.2010 (1)
  14. Google leitet falsch weiter/Anti-Malware Programme lassen sich nicht starten
    Plagegeister aller Art und deren Bekämpfung - 19.08.2009 (8)
  15. Bitte Dringend hilfe! (cmd netstat viele ports offen) normal?
    Überwachung, Datenschutz und Spam - 25.04.2009 (2)
  16. threads bewerten
    Lob, Kritik und Wünsche - 17.07.2003 (4)

Zum Thema Hinweise zu Ad/Malware Threads (bitte offen lassen) - Da mein erster Thread https://www.trojaner-board.de/196220-hinweise-ad-malware-threads.html geschlossen wurde und mir geraten wurde einen Neuen zu eröffnen, mache ich dies hiermit. In der Hoffnung, dass dieser offen bleibt und vielleicht auch nicht - Hinweise zu Ad/Malware Threads (bitte offen lassen)...
Archiv
Du betrachtest: Hinweise zu Ad/Malware Threads (bitte offen lassen) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.