Habe ich einen "Browser-Virus"

    HAllo,
    ich bekomme öfters eine falsche Website obwohl ich die richtige Adresse eingebe.
    Woran liegt das, und wie bekomm ich das weg?
    Muss ich Firefox neu installieren?
    Vielen Dank für eure Hilfe!!
    Grüße von Dainel

    Hallo,
    habe kürzlich ewido-ntispy installiert, die findet nichts...
    kann man spyware auch manuell suchen?
    Hab mal was von Host-Dateien gehört - keine Ahnung was das ist...
    Viele Grüße von Daniel

    Zitat

    kann man spyware auch manuell suchen?

    Wenn Du mit Manuell scannen meinst, selbst jede Datei im Explorer zu überprüfen, dann Nein.

    Wenn Du damit meinst, manuell ein Programm zu starten, dann Ja. Ich empfehle die bereits von Heaven_69 genannten Programme.

    Zur hosts-Datei: Artikel von Wikipedia

    Du findest diese Datei bei WinXP unter C:\WINDOWS\system32\drivers\etc\hosts Die Datei hat keine Dateiendung. Öffnen kannst Du sie mit einem beliebigen Texteditor (z.B. Notepad), wenn Du etwas in der Datei änderst, muss sie auch wieder ohne Dateiendung abgespeichert werden.

    Normalerweise sollte ausser ein paar auskommentierten Zeilen(*) nur dieser Eintrag vorhanden sein:

    127.0.0.1 localhost

    Wenn bei Dir noch andere Einträge vorhanden sind, melde Dich nochmal.


    (*) auskommentierte Zeilen erkennst Du daran, dass zu Beginn der Zeile dieses Zeichen steht: #

    Diese Zeilen sind nur zur Information und haben keinen Einfluss auf das Funktionnieren des Rechners.

    Die "Hosts"- Datei kann unter Windows normalerweise gelöscht werden, solange Du nicht auf irgendwelche sensiblen, manuellen Adressumsetzungen (z.B. bei Online-Banking) angewiesen bist.

    Bei FF prüfe doch einmal die User.js (muß nicht vorhanden sein) oder Prefs.js
    auf folgende Einträge:

    about:config:
    network.proxy.type -> 0 (no proxy)
    network.proxy.http -> address
    network.proxy.http_port -> port

    Nach meinem bisherigen Wissensstand, kann es sich bei Deinem Problem

    a. eigentlich nur um eine Proxy-Veränderung speziell unter FF handeln, die von einer separaten und von Dir gewollten Programm-Installation verusacht worden ist, oder aber auch

    b. um eine Spyware-Infektion, die in der Tat Deine Hosts-Datei oder die Run-Keys (HKLM\..\Run:etc.) Deiner Registry überschrieben hat, was gerade dann Auswirkungen hätte, wenn auf Deinem System FF als Standard-Browser definiert ist.

    Ein Scan mit SpyBot oder PestPatrol würde zumindest das Zweitere ausschließen.

    -----------------------------------------------------------------------------------------------------------

    ganz unabhängig davon, kann ich hier nur für alle empfehlen, den WSH (Windows Scripting Host) unter Windows zu deaktivieren und zwar durch:

    "HKEY_Local_Machine\Software\Microsoft\Windows Script Host\Settings" und darin die Zeichenfolge "Enabled" zu erstellen und ihr den Wert "0" zuzuweisen, um den WSH zu deaktivieren. Damit wäre zumindest, bezüglich Script-gesteuerter Mail-Anhänge, noch ein weiteres "Einfallstor" für Malware geschlossen. Der FF selber kann, nach meinem Wissen, nicht direkt auf den WSH zugreifen.


    Oliver

    Hallo Oliver,
    vielen Dank für deine umfangreiche Antwort...
    Werd jetzt erstmal Spybot installieren und dann sieht man mal. die variante a) überfordert evtl. meine PC-Kenntnisse, deshalb versuch ich mal b.
    Gruß Daniel

    Hallo,
    habe nun mal Spybot S&D drüberlaufen lassen.
    Der hat auch ein paar "Probleme"gefunden. Und zwar 16 "verfolgende Cookies" in meinem verwendeten irefoxprofil von diversen .com Seiten die mir eigentlich unbekannt erscheinen.
    Werd die Dinger mal löschen, Cookies zu entfernen kann ja nicht sehr schwer sein.
    Aber andererseits sind Cookies ja eigentlich auch nichts dramatisches!?

    Und das Programm findet wirklich verlässlich Spyware?
    Habe neulich im aktuellen Chip-Heft was gelesen von der Spywareentfernung, klang echt kompliziert. Irgendwelche Programme die sämtliche laufenden Prozesse anzeigen ( von denen man als Laie eh die Hälfte nie geört hat ) und dann die richtigen Prozesse beenden usw...

    Naja, mal sehn was es bringt wenn ich die Cookies lösche. Grüße von Daniel
    PS: Verwunderlich, die Cookies sind nur in meinem Firefox-Hauptprofil.
    Für mein Test-Profil wurden keine Cookies erwähnt. Ich habe dort aber das selbe Problem...

    Zitat

    habe nun mal Spybot S&D drüberlaufen lassen.
    Der hat auch ein paar "Probleme"gefunden. Und zwar 16 "verfolgende Cookies" in meinem verwendeten irefoxprofil von diversen .com Seiten die mir eigentlich unbekannt erscheinen.

    "Tracking Cookies" sind harmlos und haben mit Deinem Problem nichts zu tun.


    Bestätige, ob bei Dir unter Eingabe von "about:config" oben in der Adressleiste von FF (dort wo Du immer die I-Net-Adressen eingibst), unter:

    network.proxy.type -> 0 (no proxy)
    network.proxy.http -> address
    network.proxy.http_port -> port

    keine Einträge vorhanden sind, die vielleicht durch Programminstallationen verändert wurden. (Firewall, Netzwerk, etc.).


    Gehe danach vor wie folgt:
    --------------------------------------------------------------------------------------------------------------
    Lade http://www.atribune.org/ccount/click.php?id=7 auf deinen Desktop. Schliesse alle anderen Anwendungen.
    Starte Programm. Hake "Run this program as a task" an. Du bekommst die Meldung daß Look2Me-Destroyer sich in circa einer Minute schließt und wieder öffnet.
    Klicke auf OK.
    Wenn sich Look2Me-Destroyer wieder öffnet, klicke auf "Scan for L2M", dein Desktop verschwindet, das ist normal. Wenn der Scan zuende ist, klicke auf den "Remove L2M".
    Du wirst nun eine "Done Scanning" Meldung erhalten, klicke auf OK.
    Wenn fertig, erhältst Du die Meldung "Done removing infected files! Look2Me-Destroyer will now shutdown your computer" Klick auf OK.
    Dein Rechner wird nun runtergefahren, starte ihn neu.
    Programm stellt u. A. die Hosts-Datei wieder her.
    ---------------------------------------------------------------------------------------------------------------

    Scanne anschließend Dein System auf Viren, z.B. mit:

    a. Avast Malware-Removal Tool (ca. 390 Kb)
    http://files.avast.com/files/eng/aswclnr.exe

    b. Avast-Overall-Scanner (ca. 11MB)
    http://files.avast.com/iavs4pro/setupger.exe


    Wäre nett, wenn Du uns dann auf dem Laufenden halten könntest.


    Oliver

    HAllo Olli,
    habe nun mal about:config eingegeben und die entsprechenden Zeilen gecheckt...


    Einstellungsname Status Typ Wert
    network.proxy.http Standard string (kein Wert - leer )
    network.proxy.http_port Standard integer 0
    network.proxy.type standard integer 0

    so, werd jetzt mal das Programm drüberlaufen lassen...

    So, habe obiges Programm mal drüberlaufen lassen...
    Mein Problem war übrigens folgendes:

    Um eine Netzwerkinterne Seite aufzurufen habe ich früher in die Adresszeile immer ash eingegeben...
    Seit einiger Zeit lande ich aber stattdessen auf http://www.application-systems.de/
    (sieht ja eigentlich nicht sonderlich unseriös aus:o )

    Bei anderen PCs im Netzwerk tritt dieses Problem z. T. auf, z. T. nicht...

    Aber inzwischen habe ich rasugefunden dass ich die wichtige Seite ash auch direkt über die IP aufrufen kann...

    Insofern ist das Problem für mic herledigt.

    Mein Ziel ist es nicht, das hinterletzte Geheimnis meines PCs zu erforschen. Wenn er mir die Page wieder gibt ist das ok...

    vielleicht hat sic ja auch einfach die Firma Application systems inzwischen die Rechte an der Browsereingabe ash gesichert, keine Ahnung...

    Aber vielen Dank für eure umfangreiche Hilfe...

    Also ich habe folgendes Problem. Ich hab einen getarnten Streutrojaner auf meinen rechner den ich nicht runter bekomme ich krieg zwar die streuung gelöscht aber aber nicht den streuer hab jetzt schon fast alles aus probiert wäre echt toll wenn mir einer helfen könnte :D

    Was du nicht versucht hast kannst du nicht bemängel ;)

    Zitat von loky2000

    Also ich habe folgendes Problem. Ich hab einen getarnten Streutrojaner auf meinen rechner den ich nicht runter bekomme ich krieg zwar die streuung gelöscht aber aber nicht den streuer hab jetzt schon fast alles aus probiert wäre echt toll wenn mir einer helfen könnte :D


    :shock: Es gibt keine getarnten Streutrojaner. Wer hat Dir denn das erzählt?

    Wer meldet dann den Befall? Wie ist der Inhalt der Meldung? Und wo. Bitte genauen Weg angeben.
    Etwas mehr Info zu System, Browser etc. wär nicht schlecht.

    Doch, das Prinzip gibts (schon ein Weilchen).

    1 Prozess = Der Trojaner
    1 Prozess = Der dafür sorgt, dass die Datei/ der Prozess wiederhergestellt wird sobald gelöscht/geschlossen.

    Mach mal einen Virenscan im Abgesicherten Modus


    Edit: Eine andere Möglichkeit: Du hast eine offene Sicherheitslücke in deinem System, durch welche der Schädling einfach von Zeit zu Zeit wiederkommt.

    Es gibt keine Auszeichnung für möglichst viel freien Arbeitsspeicher!

    Zitat von Pseiko

    Doch, das Prinzip gibts (schon ein Weilchen).

    1 Prozess = Der Trojaner
    1 Prozess = Der dafür sorgt, dass die Datei/ der Prozess wiederhergestellt wird sobald gelöscht/geschlossen.


    Das ist doch eine normale Praxis eines Trojaners, sonst wärs doch zu einfach. Dann ist fast jeder Trojaner ein "Streuer".

    Jeder würde ich nicht sagen. Einige. Von den Neueren eher viele.

    Der "Ur-Sinn" eines Trojaners besteht darin, nicht entdeckt zu werden, was (wenn es funktioniert) solche Eigenschutzmechanismen überflüssig macht.

    Es gibt keine Auszeichnung für möglichst viel freien Arbeitsspeicher!