Firefox als Spion? Was ist denn da passiert?

Hallo,
nachdem ein Virenscanner beim Bereinigen auch die Firefox-Einstellungen teilweise zurücksetzte, bekam ich doch einen nicht geringen Schreck :shock: Denn eine Internet-Seite, die per http-URL (also auf einem Server im Netz) angesprochen wurde, zeigte mir bei jedem neuen Tab eine Übersicht an. Dort waren kleine Bilder, quasi Icons, allerdings in anderer Form und Größe, zu sehen. Sie zeigten -verkleinert- Internet-Seiten an, die ich in diesem Tab anwählen könnte. Das Ganze war wohl als Empfehlung gemeint. Allerdings waren unter diesen Empfehlungen auch Seiten, die ich tatsächlich des Öfteren ansteuere oder zumindest in letzter Zeit mindestens einmal angesteuert habe. Nur: Woher weis der Server das :-?? ?

Der Browser muss also diese Seiten an den Server gemeldet haben, mit anderen Worten: Auf dem Server wurde ein Surf-Profil angelegt :grr: . Das Pikante dabei: Auf der Seite konnte ich keine Empfehlungen entdecken, die für mich absolut ungeeignet erschienen. Das wäre aber mit Sicherheit passiert, wenn es sich lediglich um die Darstellung statistischer Daten gehandelt hätte ...nach dem Motto: Das sind die Seiten, die von Forefox-Nutzern gerne genutzt werden. Vielmehr waren sämtliche Vorschläge ganz gezielt auf mich abgestimmt.

Das funktioniert aber nur, wenn mit den an den Server weitergeleiteten Daten auch die IP und weitergehende, spezifische Informationen geschickt und dort auch mit dem Profil zusammen abgespeichert werden. Es wird also ein personenbezogenes :-??? Profil erstellt (ist sowas nicht sogar gesetzwidrig? Eine Zustimmung habe ich nie gegeben :-?? ). Die anderen Informationen außer der IP (etwa Seriennummer der CPU oder was auch immer) müssen enthalten sein, sonst wäre das Profil am Folgetag automatsich ungültig geworden. Bei DSL wird einmal am Tag die Verbindung getrennt und anschließend eine neue IP vergeben. Damit kann der Nutzer über die IP nicht mehr identifiziert werden (es sei denn über die historischen Akten des Providers; so macht das die Polizei im Bedarfsfall).

Nun habe ich gleich mehrere Fragen zu diesem Thema:
Ist das allgemein bekannt und nur ich habe davon nichts mitbekommen bisher?
Was soll das?
Wie kann man es abschalten (nicht die Darstellung im Browser, die habe ich bereits weg; die Datenverschickung an den Server)?
Wann wird der Unsinn ganz abgeschafft?

Tschüß

ManfredP

Zitat von 2002Andreas

Meinst du damit die Seite: about:newtab?

Eben nicht 'about'. Da stand eine http-URL im Kopf (ich habe mir den genauen Wortlaut leider nicht gemerkt, aber es war ein mozilla-Server). Die Seite wurde auch unter 'about:config' entsprechend benannt (ich hatte die Zeile mittels des Suchbegriffs 'tab' gefunden, mir aber den genauen Namen nicht eingeprägt. Wollte den Mist nur schnell loswerden. Erst im Nachgang ging mir auf, dass ich ja nur den Teil mit den bereits erhobenen Daten verändert hatte, nicht aber die Datenerhebung)

Zitat von 2002Andreas

Wenn ja, da werden Seiten aus deiner Chronik vorgeschlagen die du besucht hast.

Welcher Scanner? Was alles wurde bereinigt?

Hauptsächlich wurden mehrere Hijacking-Reste entfernt. Es waren ispageing und yoursites123 auf dem Browser aktiv und hatten sich durchaus auch gegenseitig teilweise gelöscht, ohne, dass ich zunächst wusste, wo das genau her kam. Als ich in Foren wegen yoursites123 nachforschte, kam die Empfehlung, SpyHunter einzusetzen. Das Scan-Protokoll habe ich jetzt allerdings nicht parat und die Sachen sind natürlich inzwischen ausgeräumt.

Ach ja, inzwischen habe ich die Seite 'about:config' noch einmal aufgerufen, tab als Suchbegriff eingegeben und da gibt es zu einem Eintrag, der verändert wurde, die Option 'zurücksetzen', die tatsächlich die mozilla-URL wieder zutage förderte.
Daher jetzt etwas konkreter:
Die Einstellungen, die diese Sache, die ich hier meine, beeinflussen, stehen in 'about:config' und heißen:
browser.newtabpage.directory.ping
mit dem Eintrag: https://tiles.services.mozilla.com/v3/links/
sowie:
browser.newtabpage.directory.source
mit: https://tiles.services.mozilla.com/v3/links/fetch/%LOCALE%/%CHANNEL%
Dazu gehört auch der Eintrag:
browser.newtabpage.enabled
der das Ganze aktiviert (oder eben nicht). Es gibt noch weiter 'browser.newtabpage'-Einträge in der config, etwa '.enhanced' für eine offenbar erweitere Funktion oder '.rows' für die Zahl der Spalten bei der Anzeige der Bildchen.

Zitat von 2002Andreas

Lad dir bitte mal dieses Programm runter:

Mit Adwcleaner nach Problemen suchen

Adware ist da definitiv nicht aktiv.

Zitat von 2002Andreas

Erklärung dazu findest du im Link bzw. ganz unten auf der Seite.

Und bitte nichts löschen, sondern den Inhalt vom Scan, unter Benutzung des Buttons: Code, ins nächste Antwortfenster hier kopieren

[Blockierte Grafik: http://www7.pic-upload.de/thumb/19.03.14/8zzrd7j538v9.png]

PS:
Wenn du es möchtest, kannst du oben im Scan ( wenn vorhanden) deinen Namen durch xxx ersetzen.

Tschüß und Danke für Deine schnelle Antwort

ManfredP

Zitat von 2002Andreas

Damit hast du dir den größten Mist auf deinen PC geladen

Such das mal bei Google etc., und mach dann bitte den Scan wie vorgeschlagen.

Hier also der Scan:

# AdwCleaner v5.028 - Bericht erstellt am 06/01/2016 um 15:09:00
# Aktualisiert am 04/01/2016 von Xplode
# Datenbank : 2016-01-04.2 [Server]
# Betriebssystem : Windows 7 Professional Service Pack 1 (x86)
# Benutzername : Admin - ERININ
# Gestartet von : F:\temp\ftp\AdwCleaner.exe
# Option : Suchlauf
# Unterstützung : http://toolslib.net/forum


***** [ Dienste ] *****


Dienst Gefunden : IhPul
Dienst Gefunden : WdMan


***** [ Ordner ] *****




***** [ Dateien ] *****


Datei Gefunden : C:\Users\Admin\AppData\Local\Temp\lengine.ini.log
Datei Gefunden : C:\Windows\system32\lavasofttcpservice.dll


***** [ DLL ] *****




***** [ Verknüpfungen ] *****


Verknüpfung Infiziert : C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System\Paragon Partition Manager™ 2014 Free\Paragon Partition Manager™ 2014 Free.lnk ( hxxp://www.yoursites123.com/?type=sc&ts=1450858737&z=27350456477c9c8dedecf86g2z6w4eabaw8b2m3c8c&from=wpm07173&uid=WDCXWD2000JS-00MHB0_WD-WCANKC61658516585 )


***** [ Aufgabenplanung ] *****


Geplante Aufgabe Gefunden : Security Utility Updater


***** [ Registrierungsdatenbank ] *****


Schlüssel Gefunden : HKCU\Software\Mozilla\Extends
Wert Gefunden : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [default_newtabff@gmail.com]
Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{85198F55-85AC-498A-BFE4-BBC33840F4AB}
Schlüssel Gefunden : HKCU\Software\Yahoo\Companion
Schlüssel Gefunden : HKCU\Software\Mozilla\Extends
Schlüssel Gefunden : HKLM\SOFTWARE\hdcode
Schlüssel Gefunden : HKLM\SOFTWARE\V9
Schlüssel Gefunden : HKLM\SOFTWARE\TSv
Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Daten Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope] - {0633EE93-D776-472f-A0FF-E1416B8B2E3A}


***** [ Internetbrowser ] *****




########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1903 Bytes] ##########

Die von mir ursprünglich kritisierten Elemente, hauptsächlich von dem spätergekommenen 'yoursites123', wurden von dem SpyHunter tatsächlich entfernt. Lediglich ein Link ist noch da, der allerdings ganz interessant war. Denn es handelt sich um einen Link, der auch auf die Firma Paragon verweist und auf deren Programm 'Partition Manager 2014', das die kostenlos verteilen. Da eine ältere Version, fiel mir nichts darüber ein. Offenbar ein Fehler.

IhPul und WdMan, zwei gefundene Dienste, sind allerdings tatsächlich problematisch. Reicht es, die im Dienste-Fenster zu deaktivieren oder kommen die dann trotzdem noch hoch?

Den Browser hat SpyHunter scheinbar nicht beeinflusst. Oder würden die dann einen Mozilla-Seite nutzen? Mal ganz abgesehen davon, dass es die Seite und die Informationen dort ja auch geben muss.

Tschüß
Ich muss Firefox jetzt mal zumachen, Adwcleander will das so.

ManfredP

Zitat von 2002Andreas

Mein Vorschlag!
Alles entfernen lassen und ein neuen Profilordner erstellen.

Geh dazu auf: Hilfe..Informationen zur Fehlerbehebung.. und dann rechts auf den Button: "Firefox restaurieren", siehe dazu auch hier:

Firefox restaurieren – die meisten Probleme einfach lösen

Guter Vorschlag! Allerdings anders, als er vermutlich gemeint war. Denn nun wurde eine Anzeige, die durch irgend einen Umstand beim letzten Mal nicht aufgetaucht war und nur beim ersten Nutzen erscheint, wieder angezeigt. Sie beweist, dass Mozilla das Ganze veranlasst hat:

"Neuer Tab" wurde aktualisiert!


Von nun an werden Ihnen beim Öffnen der Neuer-Tab-Seite Seiten angezeigt, die Sie interessieren könnten. Einige werden von Mozilla vorgeschlagen, andere werden von Partnern Mozillas gesponsert.


Um diesen Dienst zur Verfügung zu stellen, werden einige Daten in Übereinstimmung mit unserem Datenschutzhinweis automatisch an Mozilla gesendet. Sie können dies durch Abwählen in den über das Zahnrad-Symbol zu öffnenden Einstellungen (
) deaktivieren.

Das ist ganz einfach soweit (man braucht also die about:config-Seite gar nicht). Aber: Die Behauptung, das Ganze sei in Übereinstimmung mit dem Datenschutzhinweis, kann so nicht stimmen, denn da steht meines Wissens nirgendwo, dass personenbezogene Daten gesendet werden. Und, wie gesagt: Ohne die ist eine personenbezogene Empfehlung nunmal nicht zu machen. Die Einstellung unter dem Zahnrad schaltet nur die Anzeige ab, nicht aber die Datenübertragung (zumindest steht darüber nirgendwo etwas; unter dem Zahnrad erscheint nämlich nur der Punkt, neben anderen mit anderer Funktion, 'leere Seite anzeigen', über die Datenübertragung steht da nichts).

Ach ja, nur, um das klar zu stellen: Wenn Mozilla weis, wo ich hin surfe, ist mir das nicht wirklich wichtig. Aber die Mozilla-Server stehen in den USA und damit weis die NSA alles, was Mozilla weis (sie dürfen die NSA nicht aussperren; die Kooperation ist zwingend). Und was die so alles mit diesen Daten anfangen oder eventuell auch in Jahren erst anfangen werden, weis kein Mensch. Ebenso wenig, wie sorgfältig die die Daten dann analysieren. Es soll schon zu schweren Übergriffen gekommen sein, weil die Analysten was missverstanden haben.

Weil in den USA sowieso in vielen Fällen gilt: 'Was der Wirtschaft nützt, wird gemacht', könnten diese Daten auch leicht irgendwo auftauchen, wo man sie garantiert nicht haben will, etwa bei diesen privaten Sicherheitsfirmen, die zunehmend sogar den Ami's selber unangenehm werden oder anderswo in Wirtschaftsunternehmen. Man hat einfach keine Kontrolle über die eigenen Daten in den USA (das hat ja sogar einen Datenschutzbeauftragten einmal zu der Warnung veranlasst, dass das Übertragen persönlicher Daten auf Server in den USA nach deutschem Recht illegal sein könnte und Firmen sollten da besonders aufpassen).

Tschüß

ManfredP

Ach ja, die URL-Einträge aus der config-Seite, die ich angegeben hatte, gab es natürlich wieder. Auch das Abschalten dieser newtab-Funktion unter dem Zahnrad hat daran nichts geändert. Wo allerdings die Zielseite für diese Datenübertragung steht, habe ich noch nicht herasusgefunden (die muss ja auch irgendwo eingetragen sein; sonst wäre das zu unflexibel, wenn sich mal was ändert auf dem Server).

Zitat von madperson

Dein Browser-Verlauf wird nicht an Mozilla übermittelt. Die neue Tab Seite wird lokal auf deinem Computer anhand der meistbesuchten Seiten generiert...

Ich kapiere nur nicht -wenn das so stimmt- warum als .source in der config eine Internet-URL (mit http beginnend) eingetragen ist und keine lokale URL wie etwa eine file-URL. So sieht das für mich immer noch wie eine Datensammlung vom Server aus aus, tut mir leid.

Doch nun zurück zu dem SpyHunter. Ein Neu-Aufsetzen des Systems scheidet leider aus, das würde das System zu lange lahm legen und auch andere Probleme verursachen, da meine Software-Sammlung recht bunt ist. Also mal schauen, was M-Bam zu dem Ganzen sagt. Heute wird das allerdings wohl nichts mehr, das also morgen.

Tschüß bis dann

ManfredP

Zitat von madperson

die neue tab seite ("about:newtab") wohnt hier in deiner lokalen firefox installation: chrome://browser/content/newtab/newTab.xhtml - ich weiß nicht, von welchem ominösen eintrag du auf gegenteiliges schließt....

Oh, ich hatte ihn oben erwähnt. In der Datei 'about:config' stehen Einträge unter dem Hauptpunkt browser.newtabpage . Da stehen die beiden Punkte 'directory.ping' und 'directory.source'. Diese beiden Punkte steuern erkennbar diese Funktion und sind von Mozilla selbst (was schon dadurch klar wird, dass die Restaurierung der Installation die Einträge auf genau diesen Wert zurückgesetzt hat). Da steht drin: https://tiles.services.mozilla.com/v3/links/ und: https://tiles.services.mozilla.com/v3/links/fetch/%LOCALE%/%CHANNEL%. Die laden Daten aus dem Internet, oder? Und da kommen die Daten für die New-Tab-Anzeige her. Das habe ich durch schlichtes Löschen der Pfade festgestellt. Sobald sie weg sind, funktioniert die Anzeige nicht mehr, sind sie so wie oben angegeben, funktioniert sie wieder.

Und, ach ja, auch das hatte ich erwähnt: Kein Chrome oder so, ich habe den Firefox von der Mozilla-Seite. Einen chrome://-Eintrag sollte es da also eigentlich nirgendwo geben.

Doch nun zu M-Bam zurück. Das ist ja schneller als erwartet. Also dann doch noch diese Nacht (allerdings tatsächlich 'morgen').

Malwarebytes Anti-Malware
www.malwarebytes.org


Suchlaufdatum: 06.01.2016
Suchlaufzeit: 23:29
Protokolldatei: 
Administrator: Ja


Version: 2.2.0.1024
Malware-Datenbank: v2016.01.06.06
Rootkit-Datenbank: v2016.01.05.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert


Betriebssystem: Windows 7 Service Pack 1
CPU: x86
Dateisystem: NTFS
Benutzer: Admin


Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 344186
Abgelaufene Zeit: 29 Min., 58 Sek.


Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert


Prozesse: 0
(keine bösartigen Elemente erkannt)


Module: 0
(keine bösartigen Elemente erkannt)


Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)


Registrierungswerte: 0
(keine bösartigen Elemente erkannt)


Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)


Ordner: 0
(keine bösartigen Elemente erkannt)


Dateien: 15
PUP.Optional.CrossRider, C:\Users\Admin\AppData\Local\Temp\349.exe, , [4a2447ef3d5cc3734993d0efa4609b65], 
PUP.Optional.OutBrowse, C:\Users\Admin\AppData\Local\Temp\ccbcabfcccfa.exe, , [9ed04fe7b0e9af879e2f52d02bd6d12f], 
PUP.Optional.OutBrowse, C:\Users\Admin\AppData\Local\Temp\ccicabfbbba.exe, , [5f0f3ef84f4a280ebc11dd45aa578d73], 
PUP.Optional.Amonetize, C:\Users\Admin\AppData\Local\Temp\dxdiag 9.0 c__10924_i1470539235_il1109633.exe, , [d797f04612877bbb8026a1d85fa2e21e], 
PUP.Optional.Amonetize, C:\Users\Admin\AppData\Local\Temp\dxdiag 9.0 c__10924_i1474245133_il1466689.exe, , [f27c043263363bfb7135ef8a3ec348b8], 
PUP.Optional.OptimizerPro, C:\Users\Admin\AppData\Local\Temp\optprosetup.exe, , [1f4fd264e0b988aeb8ed72c147bae818], 
PUP.Optional.OutBrowse, C:\Users\Admin\AppData\Local\Temp\setup.exe, , [1c522e082b6e4aec555672c11de4a858], 
PUP.Optional.MyStartSearch.ShrtCln, C:\Users\Admin\AppData\Local\Temp\Setup_115050.exe, , [acc2d6608f0a1e18a5ce724c7b893bc5], 
PUP.Optional.OptimizerPro, C:\Users\Admin\AppData\Local\Temp\Setup_121026.exe, , [e68845f12d6cde5863853daca35dbb45], 
PUP.Optional.BrowserWatch, C:\Users\Admin\AppData\Local\Temp\Wtmp8800593\tmp\XTab_v4.0.exe, , [aec05dd9b5e44de9e63f61bbdc24bb45], 
PUP.Optional.CrossRider, C:\Users\Admin\AppData\Local\Temp\nsx1E45.tmp\8d71b752-446d-4c75-832e-d04be4ffd05a-uninstaller.exe, , [e88637ff8c0d2d096c702f90da2aa060], 
PUP.Optional.CrossRider, C:\Users\Admin\AppData\Local\Temp\nsx1E45.tmp\FirefoxUninstaller65781.exe, , [333b2511c8d13afc25b7695608fc38c8], 
PUP.Optional.CrossRider, C:\Users\Admin\AppData\Local\Temp\nsx1E45.tmp\InstallerUtils2.dll, , [432b7eb83366bb7b82df0aabcf324ab6], 
PUP.Optional.ABengine, C:\Users\Admin\AppData\Local\Temp\abengine.log, , [7bf39e98643543f39882336717ec629e], 
PUP.Optional.Conduit, C:\Prefs.js, , [98d6bf772178f04693f9903ff311dd23], 


Physische Sektoren: 0
(keine bösartigen Elemente erkannt)




(end)

Ach ja, ich habe bei der Betrachtung einen Punkt erkannt, der nicht so ganz meiner Vorstellung entspricht. Das Diagnose-Programm von DirectX 9.0c ist sicher kein PUP. Ich habe DirectX 9.0c installiert, weil DirectX 10 nicht abwärtskompatibel ist (wie es frühere Versionen von DirectX waren) und ich ältere Spiele und auch andere Programme einsetze, die DirectX 9 oder sogar noch älter erwarten. Da das Diagnose-Programm von DirectX 10 natürlich genau dafür gebaut ist, kann es nicht feststellen, ob die frühere Version Schaden genommen hat (was insbesondere bei manchen DirectX 6-Versionen passieren kann, weil das Installationsprogramm blind installiert und Dateien zum Teil in den Versionen identische Namen tragen). Eine Autostart-CD mit dem falschen DirectX mit drauf kann also schon Schaden anrichten, den man mit diesem Diagnose-Programm erkennen kann.

Die anderen Sachen sagen mir zum Teil was, ich kenne aber nicht ihr eventuelles Gefahrenpotential. Dateien aus diesem Temp-Ordner werden allerdings nur selten gestartet, ohne Autostart-Eintrag irgendwo sind sie also unkritisch, denke ich.

Ach ja, soll ich aufräumen lassen oder nicht?

Tschüß

ManfredP