Dawanda erscheint unaufgefordert immer wieder

  • Hallo,

    neuerdings öffnet bei mir hartnäckig bei jedem FF-Neustart eine Seite, auf der ich gestern einen Newsletter abbestellt habe: de.dawanda.com.
    Ich habe diese Seite nun mehrfach geschlossen, aber nach jedem Neustart ist sie wieder da.
    Wo könnte sich diese Seite typischerweise eingenistet haben?

    Grüße Lionsson

  • Ganz grobet Ding scheinbar:

    Nachdem ich weder unter about:config noch sonstwo irgend einen Hinweis auf Dawanda gefunden habe, habe ich mir mal die in letzter Zeit aktualisierten AddOns angeschaut. Und dort diesen Eintrag gefunden:

    A Web Browser Renaissance (deaktiviert)
    Alle Rechte (C) zu Web Browser Renaissance liegen bei Sean.Martell. Verfügbar unter CC-BY-AA. Keine Haftung.

    Dieses offensichtlich selbständig installierte AddOn habe ich nun gelöscht. Schaumama.

    GL

  • Jau, sorry:

    GL

  • Lasse die Funde löschen und zwar alle! Dazu startest du AdwCleaner, führst erneut einen Scan durch und klickst anschließend auf den Löschbutton. Der Rechner wird danach neu gestartet. Sicherheitshalber abermals einen Scan durchführen und falls etwas gefunden wird, wie gehabt hier das Ergebnis einstellen.
    Falls es keine neuen Funde gibt, kannst du AdwCleaner deinstallieren [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png]

    :arrow: Führe einen Scan mit dem Junkware Removal Tool [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png] aus und poste den Inhalt des Scanergebnisses.

    Den Hinweis kannst du ignorieren, da Junkware Removal Tool weiterhin angeboten wird:
    Malwarebytes stellt Junkware Removal Tool (JRT) ein und gibt bekannt, dass die diesbezügliche Wartung am 26. Oktober 2017 endet.

    Anleitung Junkware Removal Tool [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png]

  • Code

    Getan wie geheißen, guten Morgen.
    Allerdings frage ich mich, was JRT nun zerschossen hat. Immerhin startet FF nicht mit den zuletzt geöffneten Seiten, sondern mit http://www.infolive.de (habe ich vorher noch nie gesehen) und mit https://www.mozilla.org/de/privacy/firefox.

    Als Startseite hat das Programm, wie ich gerade feststelle, http://www.infolive.de/tv_radio.php eingetragen.

    Ich bin nicht begeistert...

    Edit: Die Vorschau, die ich immer gerne checke, bevor ich hier eine Antwort sende, sagt: "Dein Beitrag besteht aus 316419 Zeichen. Es sind maximal 60000 Zeichen erlaubt." Wohl ein zu umfangreicher Code, den ich jetzt also lösche, sodass Ihr ihn leider nicht sehen könnt...

    Edit2: Über "Vorherige Sitzung wiederherstellen" konnte ich eben jenes tun. Es geht also "lediglich" um's Prinzip...

    GL

  • Edit 3: JRT hat offensichtlich weitere Einstellungen an meinem Fuchs verändert. U.a. startet er nun nimmer mit den beim letzten Schließen geöffneten Seiten, sondern mit der o.g. Startseite, die das Programm ja installiert hatte. Weiters scheint mir z.B. der Schriftgrad verändert zu sein.
    Kann ich die von JRT vorgenommenen Änderungen rückgängig machen?

    GL

    P.S.: JTR führt als anscheinend einzige ausgeführte Aktion noch auf: Deleted the following from „C:\Users\Lionsson\AppData\Roaming\Mozilla\Firefox\Profiles\xxx.default\prefs.js"

  • JRT wird die prefs.js aufgrund von Malware Befall entfernt haben. Firefox legt daraufhin eine neue an mit den Standardwerten. Spricht alles was du mal über die Einstellungen des Firefox verändert hast musst du wieder einstellen. Ebenso wie die Startseite. Wird die Startseite trotzdem wieder auf eine andere, nicht von dir gewünschte, eingestellt, so ist immer noch Malware bei dir auf dem PC.

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 126 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • :arrow: Mit Administrator-Rechten machst du bitte einen Scan mit Malwarebytes [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png]

    Anleitung Malwarebytes [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png]

    Wichtig: Nach dem Scan nichts löschen! Füge die Inhalte mit Klammer Code ein.

    [Blockierte Grafik: https://picload.org/image/rliaiwpi/klammercode.png]

    Und halte dich genau an die Anleitung!

  • Mal vielleicht etwas zu einfach. Aber mal unter Extras > Einstellungen > Allgemein > im Abschnitt "Startseite" nachgesehen, ob hier dawanda als Startseite eingetragen ist? Denn das könnte man schon einmal ändern.

    Mit besten Grüßen vom Ammersee
    Thomas
    Dell Inspiron 14 5430, Intel Core i5-7200U, 8 GB RAM, SSD 256 GB, Intel Iris Xe Graphics, Win 11 Home, Defender, Office 2021 LTSC Prof.

  • Mal vielleicht etwas zu einfach. Aber mal unter Extras > Einstellungen > Allgemein > im Abschnitt "Startseite" nachgesehen, ob hier dawanda als Startseite eingetragen ist? Denn das könnte man schon einmal ändern.

    Selbstverstäbndlich hat es das. Zwar nicht http://www.dawanda.irgendwas, sondern http://www.infolive.de/tv_radio.php.
    Wenn es das getan hat und ein paar Dinge, die ich in #10 und #11 beschrieben habe, frage ich mich, was es ungefragt sonst noch alles geändert hat. In about:config gab es jedenfalls etliche Änderungen. Zu viele für mich.

    Glücklicherweise hat es auch einen System-Wiederherstellungspunkt angelegt. Und den habe ich benutzt.

    GL


  • Wenn es das getan hat und ein paar Dinge, die ich in #10 und #11 beschrieben habe, frage ich mich, was es ungefragt sonst noch alles geändert hat. In about:config gab es jedenfalls etliche Änderungen. Zu viele für mich.

    Wenn ich das so lese, stellt sich für mich ein weiteres Mal die Frage (nämlich wie schon hier:( Wozu gibt es die Firefox-eigene Sandbox? Die sollte doch genau solche Szenarien verhindern. Sprich: nach dem Schließen + Leeren der Sandbox (was bei einer browser-spezifischen Sandbox ja wohl nur identisch mit dem Schließen des Browsers sein kann) sollten alle unliebsamen Veränderungen beseitigt und der Browser wieder im "Normalzustand" sein. Das wäre Wesen und Funktion einer Sandbox. Es geschieht aber offensichtlich nicht.


    Glücklicherweise hat es auch einen System-Wiederherstellungspunkt angelegt. Und den habe ich benutzt.


    Sicherlich das Beste, was du in der Situation machen konntest. Du hättest sonst wohl kaum mehr sicher sein können, dass dein Rechner noch sauber ist.

  • Und nochmals eine Sandbox ist nicht dafür da um Malware die bereits auf dem PC ist, dass nach aussen hin zu kommen zu verhindern. Des Weiteren ist die Sandbox ja nur aktiv, wenn der Firefox läuft und nicht wenn dieser nicht gestartet ist. Die momentanen Änderungen des TE finden ja statt, wenn Firefox nicht läuft.

    JRT und der AdwCleaner wurden von Malwarebytes übernommen. Malwarebytes Anti-Malware ist deren eigentliches Programm. JRT soll und ist schon wohl schon teilweise im AdwCleaner integriert werden. Wobei, m.E.n., JRT immer noch alleine am besten funktioniert. Und wie gesagt, wenn JRT die prefs.js vom Firefox löscht, so ist dies die richtige Maßnahme. Steht dort, aber eher in der user.js, dann auf einmal wieder diese anderen ominöse Startseite, so ist immer noch Malware auf dem PC. Bzw. irgendein scheinbar sauberes Programm, dass da im Firefox Einstellungen vornimmt.

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 126 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)


  • Und nochmals eine Sandbox ist nicht dafür da um Malware die bereits auf dem PC ist, dass nach aussen hin zu kommen zu verhindern. Des Weiteren ist die Sandbox ja nur aktiv, wenn der Firefox läuft und nicht wenn dieser nicht gestartet ist.


    Stimmt.


    Die momentanen Änderungen des TE finden ja statt, wenn Firefox nicht läuft.


    Scheint liossons Schilderung zufolge auch zu stimmen.

    Insofern ist der vorliegende Fall tatsächlich weniger gut geeignet als der andere, um die Untauglichkeit der Firefox-eigenen Sandbox zu belegen. Wir wissen einfach zu wenig über Vorgeschichte und Hintergründe der Infektion des Rechners (die ja höchstwahrscheinlich stattgefunden hat), um klare Schlüsse ziehen zu können.

    Sollte sich lionsson z.B. irgendwann einmal bewusst Software heruntergeladen und installiert haben, die mit Malware verseucht war und die dann eben "von außen" den Browser angegriffen hat, nützt eine Sandbox natürlich nichts. Ebenso wenig nützt sie, wenn er sich den Schädling zB. über einen USB-Stick auf den Rechner geholt haben sollte. (Alles theoretische Überlegungen - nicht als Unterstellung gemeint! :wink: )

    Aber vertrauenswürdig macht das die Firefox-Sandbox trotzdem nicht (jedenfalls für mich nicht). Das ist bestenfalls ein Freispruch nach dem Motto "im Zweifel für den Angeklagten".

    Denn man kann ebenso gut Indizien dafür finden, dass der Schädling sehr wohl bei gestartetem Firefox und über gewöhnliches Surfen auf den Rechner gelangt sein könnte. Schon das Eingangsposting spricht dafür, wo es heißt:


    neuerdings öffnet bei mir hartnäckig bei jedem FF-Neustart eine Seite, auf der ich gestern einen Newsletter abbestellt habe: de.dawanda.com.
    Ich habe diese Seite nun mehrfach geschlossen, aber nach jedem Neustart ist sie wieder da.
    Wo könnte sich diese Seite typischerweise eingenistet haben?

    Das Problem scheint also erst seit gestern aufgetreten zu sein (so interpretiere ich das "neuerdings"); und es scheint entstanden zu sein, ohne dass lionsson beispielsweise irgendeine Software heruntergeladen und installiert hätte, die dann den (später geschlossenen) Browser sozusagen "von außen" attackiert hätte.

    Es kann auch durchaus zutreffen, was du (AngelOfDarkness) in Zusammenhang mit den durchgeführten Säuberungsversuchen schreibst:


    JRT [Junkware Removal Tool ] wird die prefs.js aufgrund von Malware Befall entfernt haben. Firefox legt daraufhin eine neue an mit den Standardwerten. [...] Wird die Startseite trotzdem wieder auf eine andere, nicht von dir gewünschte, eingestellt, so ist immer noch Malware bei dir auf dem PC.


    Das klingt plausibel. Aber wie und wann ist diese Malware auf den PC gekommen? Nach dem zuvor Gesagten spricht Einiges dafür, dass das (erst) gestern und im Rahmen des Surfens passiert ist. (Es sei denn, das in Beitrag #8 gepostete Logfile lässt andere Schlüsse zu. Das müssten Kenner der Materie beurteilen.) Wenn diese Vermutung stimmt, dann hätte die Firefox-Sandbox Wirkung zeigen müssen - nämlich in der Weise, dass mit dem Schließen des Browsers (das wäre wohl der maßgebende Zeitpunkt) auch alle Schädlinge wieder vom Rechner verschwinden hätten müssen (analog zum Leeren eines Abfalleimers oder zum Entfernen einer schmutzigen Tischdecke). Aus einer funktionierenden Sandbox kann (und darf) selbstverständlich auch nichts nach außen gehen, "ausbrechen"! (Mit Ausnahme dessen, was man als Nutzer ausdrücklich erlaubt [aber solche speziellen Konfigurationsmöglichkeiten bietet die Firefox-Sandbox meines Wissens ohnedies nicht].) Alles bleibt bis zum Leeren in der Sandbox "gefangen", isoliert vom "realen" System.

    Daher nochmals: Wir wissen nicht, was genau passiert ist. Deshalb ist der Firefox-Sandbox hier keine eindeutige Schuld zu geben. Aber für den Glauben an ihr zuverlässiges Funktionieren liefert der Fall sicherlich ebenso wenig Anlass.