Firefox-Browser "mit Werbung befallen"
 

Vorab: großen Dank für alle Hilfe und Aufmerksamkeit im Voraus!

User Oliver-T hat schon gut zusammengefasst: Ich verwende den Firefoxbrowser, Version 34.0.5 auf einem Mac 10.8.5 Könnt Ihr einem Apple-User auch helfen?

Die Symptome:

1. bei einem wahllosen Klick auf einen Link oder in ein Feld hinein oder auf einen Buton springen oftmals diverse Tabs auf, die zu Werbeseiten führen;

2. einzelne Worte des Fließtextes einer Seite sind als "besonderer Link" hinterlegt (in Großdruck und mit einem grünen Logo rechts oben am Wort versehen, woraufhin sich öfters ein kleines Werbebild oder gar -video öffnet);

3. Firefox ist sehr langsam geworden, der Lüfter springt öfters an, weil Firefox im Betrieb ist;

4. ständig springen PopUp-Fenster auf;

5. wenn ich auf google etwas suche, werden auf einmal zusätzliche Einträge generiert;

6. ständig tauchen auf allen Seiten die selben Banner auf.

Der Vergleich mit dem Safari-Browser zeigt: Nur der Firefox ist von all diesem befallen. Mir wäre allerdings am liebsten, mit dem Firefox weiterarbeiten zu können. Nicht nur der unabhängigen Software wegen, sondern natürlich auch, weil dort alle meine Browser-relevanten Daten abgespeichert sind.

Der Screenshot zeigt, wie mein Beitrag z. B. im Firefox dargestellt wird. Symptom 2 kann man daran sehr gut nachvollziehen.

1. Bitte die Anleitung befolgen: http://www.trojaner-board.de/158652-...dware-mac.html

2. Wenn etwas gefunden wurde, bitte einen Rechnerneustart ausführen.

3. AdwareMedic erneut starten und über das Menü Scanner wählen und dann Open Log File

4. Alle Einträge des heutigen Datums kopieren und hierher Posten.

5. Lade dir EtreCheck herunter: hxxp://etresoft.com/download/EtreCheck.zip
> Entpacken
> Die App in den Programmordner verschieben und Starten.
> Log-Datein ins Clipboard kopieren und hier im Thema in "Code-Tags" einfügen.

Gruß,
-dante

2014-12-23 11:08:52: ----- Scan Started -----
2014-12-23 11:08:52: Scanning with signatures version 41
2014-12-23 11:08:53: Genieo : /Users/martinscott/Library/Safari/Extensions/Omnibar.safariextz
2014-12-23 11:08:53: Genieo : /Users/martinscott/Library/LaunchAgents/com.genieo.completer.download.plist
2014-12-23 11:08:53: Genieo : /Users/martinscott/Library/LaunchAgents/com.genieo.completer.update.plist
2014-12-23 11:08:53: Genieo : /Users/martinscott/Library/LaunchAgents/com.genieo.completer.ltvbit.plist
2014-12-23 11:08:53: Genieo : /Applications/InstallMac
2014-12-23 11:08:53: Genieo : /Users/martinscott/Library/Application Support/com.genieoinnovation.Installer
2014-12-23 11:08:54: Buca Apps : /Users/martinscott/Library/Safari/Extensions/cinemas-+-plus-+.safariextz , /Users/martinscott/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/c89e608b8b064d3bb6aa233b13@2e0d60f7b92b4d0899a4a88b.com
2014-12-23 11:08:54: Buca Apps : /Users/martinscott/Library/Safari/Extensions/cinemas-+-plus-+.safariextz , /Users/martinscott/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/c89e608b8b064d3bb6aa233b13@2e0d60f7b92b4d0899a4a88b.com
2014-12-23 11:08:54: Buca Apps : /Users/martinscott/Library/LaunchAgents/Safari Security
2014-12-23 11:08:54: Buca Apps : /Users/martinscott/Library/LaunchAgents/cinemas-+-plus-+_enabler.plist
2014-12-23 11:08:54: Buca Apps : /Users/martinscott/Library/LaunchAgents/cinemas-+-plus-+_enabler.sh
2014-12-23 11:08:54: Buca Apps : /Users/martinscott/Library/LaunchAgents/cinemas-+-plus-+_updater.plist
2014-12-23 11:08:54: Buca Apps : /Users/martinscott/Library/LaunchAgents/cinemas-+-plus-+_updater.sh
2014-12-23 11:08:54: Buca Apps : /Users/martinscott/Library/LaunchAgents/cinemas-+-plus-+.ver
2014-12-23 11:08:54: ----- Scan Ended -----
2014-12-23 11:09:47: +++++ Attempting to remove adware +++++
2014-12-23 11:09:47: /Users/martinscott/Library/Safari/Extensions/Omnibar.safariextz
2014-12-23 11:09:47: /Users/martinscott/Library/LaunchAgents/com.genieo.completer.download.plist
2014-12-23 11:09:47: /Users/martinscott/Library/LaunchAgents/com.genieo.completer.update.plist
2014-12-23 11:09:47: /Users/martinscott/Library/LaunchAgents/com.genieo.completer.ltvbit.plist
2014-12-23 11:09:47: /Applications/InstallMac
2014-12-23 11:09:47: /Users/martinscott/Library/Application Support/com.genieoinnovation.Installer
2014-12-23 11:09:47: /Users/martinscott/Library/Safari/Extensions/cinemas-+-plus-+.safariextz
2014-12-23 11:09:47: /Users/martinscott/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/c89e608b8b064d3bb6aa233b13@2e0d60f7b92b4d0899a4a88b.com
2014-12-23 11:09:47: /Users/martinscott/Library/Safari/Extensions/cinemas-+-plus-+.safariextz
2014-12-23 11:09:47: /Users/martinscott/Library/Application Support/Mozilla/Extensions/{ec8030f7-c20a-464f-9b0e-13a3a9e97384}/c89e608b8b064d3bb6aa233b13@2e0d60f7b92b4d0899a4a88b.com
2014-12-23 11:09:47: /Users/martinscott/Library/LaunchAgents/Safari Security
2014-12-23 11:09:47: /Users/martinscott/Library/LaunchAgents/cinemas-+-plus-+_enabler.plist
2014-12-23 11:09:47: /Users/martinscott/Library/LaunchAgents/cinemas-+-plus-+_enabler.sh
2014-12-23 11:09:47: /Users/martinscott/Library/LaunchAgents/cinemas-+-plus-+_updater.plist
2014-12-23 11:09:47: /Users/martinscott/Library/LaunchAgents/cinemas-+-plus-+_updater.sh
2014-12-23 11:09:47: /Users/martinscott/Library/LaunchAgents/cinemas-+-plus-+.ver
2014-12-23 11:09:47: +++++ Adware removal complete +++++
2014-12-23 11:10:03: ===== Attempting restart =====

Lieber Dante12,

danke soweit schon mal, vor allem für die schnelle Rückmeldung!

Den Teilaspekt "> Log-Datein ins Clipboard kopieren und hier im Thema in "Code-Tags" einfügen." von 5. habe ich leider nicht ganz verstanden. Ich habe den Button "Copy report to clipboard" gedrückt - und jetzt?

Und, by the way, was habe ich eigentlich gemacht? :-)

EtreCheck version: 2.1.5 (108)
Report generated 23. Dezember 2014 11:15:50 MEZ

Click the [Support] links for help with non-Apple products.
Click the [Details] links for more information about that line.
Click the [Adware] links for help removing adware.

Hardware Information: ??
MacBook (13-inch, Aluminum, Late 2008) (Verified)
MacBook - model: MacBook5,1
1 2 GHz Intel Core 2 Duo CPU: 2-core
8 GB RAM
BANK 0/DIMM0
4 GB DDR3 1067 MHz ok
BANK 0/DIMM1
4 GB DDR3 1067 MHz ok
Bluetooth: Old - Handoff/Airdrop2 not supported
Wireless: en1: 802.11 a/b/g/n

Video Information: ??
NVIDIA GeForce 9400M - VRAM: 256 MB
Color LCD 1280 x 800

System Software: ??
OS X 10.8.5 (12F45) - Uptime: 0:5:15

Disk Information: ??
OCZ-AGILITY4 disk0 : (256,06 GB)
disk0s1 (disk0s1) <not mounted> : 210 MB
SSD Martin Scotts MacBook (disk0s2) / : 255.20 GB (70.30 GB free)
Recovery HD (disk0s3) <not mounted> [Recovery]: 650 MB

HL-DT-ST DVDRW GS21N

USB Information: ??
Apple Inc. Built-in iSight
Apple, Inc. Apple Internal Keyboard / Trackpad
Apple Computer, Inc. IR Receiver
Apple Inc. BRCM2046 Hub
Apple Inc. Bluetooth USB Host Controller

Gatekeeper: ??
Mac App Store and identified developers

Kernel Extensions: ??
/Applications/Toast 9 Titanium/Toast Titanium.app
[not loaded] com.roxio.BluRaySupport (1.1.6) [Support]
[not loaded] com.roxio.TDIXController (2.0) [Support]

/Incompatible Software/Parallels Service.app
[not loaded] com.parallels.kext.prl_hid_hook (4.0 3848.527072) [Support]
[not loaded] com.parallels.kext.prl_hypervisor (4.0 3848.527072) [Support]
[not loaded] com.parallels.kext.prl_netbridge (4.0 3848.527072) [Support]
[not loaded] com.parallels.kext.prl_usb_connect (4.0 3848.527072) [Support]
[not loaded] com.parallels.kext.prl_vnic (4.0 3848.527072) [Support]

Startup Items: ??
ParallelsDesktopTransporter: Path: /Library/StartupItems/ParallelsDesktopTransporter
Startup items are obsolete in OS X Yosemite

Launch Agents: ??
[invalid?] com.brother.LOGINserver.plist [Support]
[loaded] com.oracle.java.Java-Updater.plist [Support]

Launch Daemons: ??
[loaded] com.adobe.fpsaud.plist [Support]
[loaded] com.adobe.versioncueCS3.plist [Support]
[loaded] com.charlessoft.pacifist.helper.plist [Support]
[running] com.memeo.Memeod.plist [Support]
[loaded] com.oracle.java.Helper-Tool.plist [Support]

User Launch Agents: ??
[invalid?] com.adobe.ARM.[...].plist [Support]
[running] com.crossrider.wss002442.agent.plist [Support]
[running] com.spotify.webhelper.plist [Support]
[invalid?] WebSocketServerApp [Support]

User Login Items: ??
GrowlHelperApp Programm (/Library/PreferencePanes/Growl.prefPane/Contents/Resources/GrowlHelperApp.app)
SizzlingKeys4iTunes ProgrammHidden (/Users/[redacted]/Library/PreferencePanes/SizzlingKeys.prefPane/Contents/Resources/SizzlingKeys4iTunes.app)
Dropbox Programm (/Applications/Dropbox.app)
AdobeResourceSynchronizer Programm (/Applications/Adobe Acrobat 8 Professional/Adobe Acrobat Professional.app/Contents/Support/AdobeResourceSynchronizer.app)
TuneupMyMac UNKNOWN (missing value)

Internet Plug-ins: ??
AmazonMP3DownloaderPlugin101749: Version: AmazonMP3DownloaderPlugin 1.0.17 - SDK 10.4 [Support]
FlashPlayer-10.6: Version: 16.0.0.235 - SDK 10.6 [Support]
Flip4Mac WMV Plugin: Version: 2.4.4.2 [Support]
Flash Player: Version: 16.0.0.235 - SDK 10.6 [Support]
AdobePDFViewer: Version: 8.0.0 [Support]
JavaAppletPlugin: Version: Java 8 Update 25 Check version
QuickTime Plugin: Version: 7.7.1
OfficeLiveBrowserPlugin: Version: 12.2.0 [Support]
Silverlight: Version: 4.0.50826.0 [Support]
DirectorShockwave: Version: 11.5.9r620 [Support]
iPhotoPhotocast: Version: 7.0

User internet Plug-ins: ??
Move-Media-Player: Version: npmnqmp 071303000004 [Support]

Safari Extensions: ??
Omnibar [Cached] Adware! [Remove]

3rd Party Preference Panes: ??
Adobe Version Cue CS3 [Support]
Flash Player [Support]
Flip4Mac WMV [Support]
Growl [Support]
Java [Support]
MacFUSE [Support]
SizzlingKeys [Support]

Time Machine: ??
Skip System Files: NO
Auto backup: YES
Volumes being backed up:
Destinations:
Time Machine-Backups [Local]
Total size: 999.86 GB
Total number of backups: 144
Oldest backup: 2011-05-27 22:09:00 +0000
Last backup: 2014-12-22 12:53:36 +0000
Size of backup disk: Excellent
Backup size 999.86 GB > (Disk size 0 B X 3)

Top Processes by CPU: ??
7% firefox
3% WindowServer
1% hidd
0% fontd
0% Finder

Top Processes by Memory: ??
335 MB firefox
155 MB mds
103 MB Mail
86 MB Dropbox
69 MB CalendarAgent

Virtual Memory Information: ??
5.65 GB Free RAM
1.46 GB Active RAM
528 MB Inactive RAM
685 MB Wired RAM
400 MB Page-ins
0 B Page-outs

Diagnostics Information: ??
Dec 23, 2014, 11:11:10 AM Self test - passed

Aaah. So, wahrscheinlich.
Grüße!

Du hast dir Genio Aka VSearch / InstallMac eingefangen. Das kann z.B. passieren wenn man von einer Drittseite wie Softonic die Software installiert. In den meisten Fällen enthalten solche Installer zusätzliche Software die gleich mitinstalliert wird.

AdwareMedic hat den grössten Teil entfernt. Jedoch hätte ich gerne ein neues Log von EtreCheck bevor wir weitermachen - Führe bitte nochmal einen Neustart aus bevor du das Log erstellst - Danke.

Zu den 5. Punkt - CODE Tags siehe hier:

http://www11.pic-upload.de/23.12.14/dwiaic9qx76x.png

Gruß,
-dante

Hallo martinscott,

1. Verzeichnis /Users/Library/Launch Agents
Wenn du den Library-Ordner nicht findest:
a. Im Finder zum Menü Gehe Zu.. wechseln
b. Die ALT-Taste drücken daraufhin erscheint der Library-Ordner

Hast du irgendwelche Dateien von diesen beiden Einträgen? Crossrider ist ein Werbe-Framework. Wenn Du es also nicht selbst installiert hast, ist es wahrscheinlich zusammen mit der bereits entfernten Adware installiert worden.
Für den Fall das du die Installer hast, würde ich es gerne Untersuchen. Melde dich bitte per PN und ich schick dir die E-Mail-Adresse für den Versand.

Für die Deinstallation such mal bitte in deinem Programm-Ordner ob die apps noch vorhanden sind. Nutze zunächst den Unistaller. Solltest du nichts finden schreib hier noch mal ins Thema.

2. Anmeldeobjekte
Schau mal bitte ob in deinem Programm-Ordner die App existiert. Nutze den Uninstaller.
Ist es bereits entfernt, dann führe die nachfolgenden Schritt aus:

a. Öffne die Systemeinstellungen und dann Benutzer & Gruppen
b. Klick auf deinen Nutzernamen (wenn nicht schon ausgewählt)
c. Rechte Seite des Fensters klicke auf Anmeldeobjekte.

Entferne den oben genannten Eintrag.

Ich empfehle keine Cleaning oder Optimierungstools einzusetzen. Das Mac OS ist so konzipiert das Reinigungsmaßnahmen automatisch ausgeführt werden.


3. Erweiterungen
Dieser Eintrag kann ignoriert werden AdwareMedic hat es bereits entfernt. Um aber auf Nummer sicher zu gehen und auch Programmfehler zu beheben, führe folgende Schritte aus:

a.In allen Browsern die du nutzt, entferne die Erweiterungen die nicht den Standard-Suchmaschinen entsprechen. Zunächst nach Omnibar, VSearch und andere unbekannte Erweiterungen.

4. Neustart des Rechners


5. Weiterführende Schritte
a. Führe folgende Befehle im Terminal aus (Gesamten Inhalte kopieren und im Terminal einfügen):

Auf deinem Desktop befindet sich jetzt eine Textdatei namens Launcher.txt. Den Inhalt bitte Kopieren und hier einfügen.

b. Alternativ kannst du auch die Browser die du nutzt zurücksetzen. Wenn du das machen willst und nicht genau weisst wie, melde dich nochmal.

6. Neuer EtreCheck Log

Gruß,
-dante

Hallo Dante,

erneut: danke für Deine tolle Hilfe!

Aber ich muss leider Rückfragen stellen, weil ich nicht alles verstanden habe:

zu 1.: Ich habe diese beiden Dateien, ja. Aber was heißt PN? Und: Nach welchen Apps soll ich suchen?

zu 2.: Check.

zu 3.: Check.

zu 4.: Check.

zu 5.:

User Launch Agents
total 464
drwx------ 9 martinscott staff 306 28 Dez 14:06 .
drwx------+ 68 martinscott staff 2312 11 Dez 13:47 ..
-rwxr-xr-x@ 1 martinscott staff 212800 27 Nov 16:25 WebSocketServerApp
-rw-r--r-- 1 martinscott staff 619 2 Nov 2009 com.adobe.ARM.ad895013aeb33ea6e968d9fdc06c0eb42c7c2a5229d98d64ad002716.plist
-rw-r--r-- 1 martinscott staff 905 29 Mai 2009 com.apple.CSConfigDotMacCert-@me.com-SharedServices.Agent.plist
-rw-r--r-- 1 martinscott staff 425 24 Dez 12:20 com.apple.FolderActions.enabled.plist
-rw-r--r-- 1 martinscott staff 517 28 Dez 14:06 com.apple.FolderActions.folders.plist
-rw-r--r-- 1 martinscott staff 628 20 Dez 15:02 com.crossrider.wss002442.agent.plist
-rw-r--r--@ 1 martinscott staff 538 25 Okt 16:42 com.spotify.webhelper.plist
Launch Agents and Daemons
total 16
drwxr-xr-x 4 root wheel 136 13 Dez 09:27 .
drwxr-xr-x+ 66 root wheel 2244 1 Dez 18:56 ..
-rw-r--r-- 1 root wheel 432 15 Jul 2011 com.brother.LOGINserver.plist
lrwxr-xr-x 1 root wheel 104 13 Dez 09:27 com.oracle.java.Java-Updater.plist -> /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Resources/com.oracle.java.Java-Updater.plist
total 40
drwxr-xr-x 7 root wheel 238 13 Dez 09:27 .
drwxr-xr-x+ 66 root wheel 2244 1 Dez 18:56 ..
-rw-r--r-- 1 root wheel 462 22 Nov 00:02 com.adobe.fpsaud.plist
-rw-r--r-- 1 root wheel 630 9 Jun 2009 com.adobe.versioncueCS3.plist
-rw-r--r-- 1 root wheel 483 11 Dez 13:51 com.charlessoft.pacifist.helper.plist
-rw-r--r-- 1 root wheel 714 23 Jun 2009 com.memeo.Memeod.plist
lrwxr-xr-x 1 root wheel 103 13 Dez 09:27 com.oracle.java.Helper-Tool.plist -> /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Resources/com.oracle.java.Helper-Tool.plist

Hallo @martinscott,

Zu 1
PN = persönliche Nachricht bzw. PM = Personal Message in Englisch.

Bis auf die Einträge Crossrider und WebSocketServerApp ist alles in Ordnung. Diese beiden Programme werden nämlich beim Login gestartet. Dazu möchte ich fragen ob du diese selbst installiert hast und damit arbeitest oder sind dir diese völlig unbekannt?
Ich habe von diesen auch kaum Informationen.

Wie läuft dein Rechner jetzt?

Gruß,
-dante

Bitte lösche folgende Einträge noch aus den Startern:

1. In Spotlight folgendes eingeben: ~/Library/LaunchAgents/ und drücke Enter.

Die Tilde (~) wird mit ALT+n erzeugt (zumindest bei meiner Tastatur)

2. Lösche folgende Einträge
3. Erstelle einen Ordner auf deinen Desktop mit dem Namen UsersLibraryCaches
und navigiere über Spotlight zu ~/Library/Caches/

4. Kopiere den gesamten Inhalt mit Command-A und verschiebe alles auf deinen neu erstellten Ordner auf den Desktop.

5. Rechner neu Starten

6. Starte das Festplattendienstprogramm und repariere die Rechte

Abschließend arbeite normal mit deinen Rechner. Wenn alles zu deiner Zufriedenheit läuft, dann kannst du den erstellten Ordner UsersLibraryCaches in den Papierkorb verschieben.

Noch einige letzte Hinweise:

a.) Prüfe unbekannte Dateien auf https://www.virustotal.com oder hxxp://virusscan.jotti.org/de
b.) Apps die nicht aus dem Store sind solltest du direkt beim Anbieter herunterladen.
c.) Vermeide bzw. Prüfe genau wenn du Apps aus einem Downloadportal installierst. Diese erhalten meistens "Huckepack" zusätzliche Software (Adware) die mitinstalliert wird.
d.) Halte deinen Rechner auf den neusten Stand insbesondere Java und Flash.
e) Das Java-Plug in im Browser wird meistens nicht benötigt, du kannst es über das Java-Dienstprogramme deaktivieren.

Wenn noch Fragen sind, ich lasse dieses Thema noch einige Tage in mein Abonnement. Für den Fall das noch Probleme auftreten, ein neues Log Posten.


In diesem Sinne einen guten Rutsch ins neue Jahr :alc:
-dante

Bis 5. bin ich gekommen. :-) Bei 6. muss ich wieder zurückfragen: Repariere "die Rechte" - was heißt das in ausführlicher? Wenn ich das verstanden habe, arbeite ich den Rest der Nachricht ab.

Wie immer: tausend Dank!

OK Schritt 6:

Öffne Spotlight und gebe dort Festplattendienstprogram ein.

Siehe Bild:
1. Wähle deine Systempartition aus
2. Überprüfe die Zugriffsrechte
3. Anschließend reparieren.

http://www11.pic-upload.de/30.12.14/d9jannrnh63.png

Gruß,
-dante

Hi -dante,

ich habe alles gemacht und alles verstanden. Es scheint erst mal kein weiteres Problem zu geben. Ich danke Dir für alle Hilfe, das war großartig - und Du machst Das ehrenamtlich, einfach, um anderen zu helfen?

Hab einen erinnerungswürdigen Abend!
Martin