Facebook Phishing Warnung

  • Es kommt ständig die Warnung im Firefox 20 ( aber nicht im IE 8 )
    An attempt to inject a remote/unknown script has been blocked.

    Suspicious Script: https://srv.mzcdn.com/mzroute.js?158…e1-0025901ef77c
    Event Date: Sat Apr 06 2013 01:46:59 GMT+0200

    Habe den Avira mehrmals durchlaufen lassen ( es wurden auch 2 Malware endeckt u.gelöscht)
    aber die obgn. Info kommt noch


    Besten Dank für eine Hilfe

    Einmal editiert, zuletzt von JHH (6. April 2013 um 14:49)

  • Zitat von JHH

    ...es wurden auch 2 Malware endeckt u.gelöscht...

    Interessant wäre gewesen, wenn du uns mitgeteilt hättest, was genau gefunden wurde. Aber das kannst du anhand der noch vorhandenen Logdatei nachholen.

    Mit Administrator-Rechten machst du bitte einen Scan mit Malwarebytes [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

    Malwarebytes Deutschsprachige bebilderte Anleitung [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png].

    Vor dem Scan ein Update von Malwarebytes machen, dann einen vollständigen Suchlauf durchführen und den Inhalt des Logfiles in deinen nächsten Post in Klammer CODE einfügen. Wichtig: Nach dem Scan nichts löschen!

  • Zitat

    es wurden auch 2 Malware endeckt u.gelöscht


    Öffne das Protokoll von Avira und kopiere den Textinhalt hier hin bitte.

    Denkbar wären per Hacking eingeschleuste bösartige Scripte per Iframe oder direkt auf den Server, oder ein bösartiges Plugin in Firefox - dies würde jedoch bedeuten, dass sich Malware in dein System geschleust hat.

    Die WebRep des Servers ist nicht so toll
    http://www.webutation.net/go/review/srv.mzcdn.com
    http://www.webutation.net/go/review/mzcdn.com

    Einmal editiert, zuletzt von Anonymous (6. April 2013 um 16:57)

  • Guten Tag, besten Dank für Eure Hilfe & Informationen
    Bei IE 8 und Fox 20 kommt als erste Seite der Delta Search noch Wie kann ich den verschwinden lassen?

    AntVir (free) hat folgendes gefunden
    1. Die Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10\6c20714a-1761ac24'
    enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2012-1723.A.3743' [exploit].

    2.Die Datei 'C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\4996df0c-392eddd8'
    enthielt einen Virus oder unerwünschtes Programm 'EXP/2009-3867.I' [exploit].

    Wie ich sah wurde auch vorher noch bei AntiVir folgendes gefunden:
    In der Datei 'C:\Dokumente und Einstellungenxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\97JIXGRX\yontoosetup[1].exe'
    wurde ein Virus oder unerwünschtes Programm 'ADWARE/Yontoo.Gen' [adware] gefunden.

    -------------------------------------------------------------------------------------------
    Malwarebytes Anti-Malware 1.70.0.1100
    http://www.malwarebytes.org
    Datenbank Version: v2013.04.06.03
    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    xxxxxxxxx :: xx [Administrator]
    06.04.2013 12:33:25
    mbam-log-2013-04-06 (12-33-25).txt
    Art des Suchlaufs: Quick-Scan
    Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
    Deaktivierte Suchlaufeinstellungen: P2P
    Durchsuchte Objekte: 244888
    Laufzeit: 6 Minute(n), 40 Sekunde(n)
    Infizierte Speicherprozesse: 0
    (Keine bösartigen Objekte gefunden)
    Infizierte Speichermodule: 0
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel: 1
    HKLM\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Erfolgreich gelöscht und in Quarantäne gestellt.

    Soll ich den löschen lassen?

    Infizierte Registrierungswerte: 0
    (Keine bösartigen Objekte gefunden)
    Infizierte Dateiobjekte der Registrierung: 0
    (Keine bösartigen Objekte gefunden)
    Infizierte Verzeichnisse: 0
    (Keine bösartigen Objekte gefunden)
    Infizierte Dateien: 0
    (Keine bösartigen Objekte gefunden)
    (Ende)

    Eine nochmaliger Vollscan hat nichts mehr ergeben

    Besten Dank nochmals auch noch für eine evtl Rückinfo. ( Bin kein Experte aber sowas habe ich noch nicht erlebt mit meinem Netbook Samsung 10 )

    Einmal editiert, zuletzt von JHH (6. April 2013 um 14:52)

  • Gut gemeinter Hinweis am Rande: wenn du nicht möchtest dass jeder deinen richtigen Namen kennt solltest du diesen bei deiner Auflistung überall entfernen und durch Sternchen **** ersetzen, man findet deinen Namen mindestens dreimal.
    Und - wenn du Lust hast - in deinem ersten Beitrag den Thread-Titel beim Wort Pishing ausbessern in "Phishing", dann findet man die Beiträge einfacher über die Suchfunktion.


  • Zitat von JHH

    AntVir (free) hat folgendes gefunden
    1. Die Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10\6c20714a-1761ac24'
    enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2012-1723.A.3743' [exploit].

    2.Die Datei 'C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\4996df0c-392eddd8'
    enthielt einen Virus oder unerwünschtes Programm 'EXP/2009-3867.I' [exploit].


    Das ist ein Drive-by-Download, den du dir eingefangen hast, weil Java nicht aktuell war. Dem könnte man mit etwas Aufwand sogar noch beikommen.


    Das Ende der Fahnenstange ist jedoch mit "Sality" erreicht:

    Code
    HKLM\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality)


    Dieser File Infector verbreitet sich als Netzwerkwurm. Hier laufen alle Entfernungsversuche ins Leere. - Auch wenn jetzt augenscheinlich erst mal Ruhe ist, das Ding ist weiterhin aktiv. - Der Rechner wird über eine Backdoor (Hintertüre) quasi von außen fremd gesteuert.

    Sality-Infos:

    http://www.viruslist.com/de/weblog?weblogid=207319123
    http://www.threatexpert.com/report.aspx?md…bd16639aa041aca
    http://www.microsoft.com/security/porta…aWin32%2fSality
    http://www.symantec.com/security_respo…-011714-3948-99


    Ich nehme an, dass über deinen Rechner OnlineBanking, OnlineShopping oder andere Transaktionen, die mit Zahlungsverkehr verbunden sind, ausgeführt werden. Insofern solltest du im eigenen Interesse den Rechner schnellstens neu aufsetzen.

    Hier ein HowTo: https://www.camp-firefox.de/forum/viewtopic.php?f=12&t=93861

  • Und Java in Zukunft entweder gar nicht erst installieren, oder direkt ab Installation deaktivieren im Browser. Letzteres ist im Browser möglich, aber auch über die Systemsteuerung seit neuestem. Persönlich teste ich Java (so selten es auch vorkommt) nur in einer Sandbox mit eingeschränkten Rechten [Blockierte Grafik: http://img1.imagebanana.com/img/dq2md5e2/Gold.pnghttp://sandboxie.com/ (lässt sich dort einstellen). Den verlinkten Artikel zu Microsoft solltest du ernst nehmen.