Malware Datei nsis.jar

profjoerg

Hallo,

kennt jemand die folgenden Dateien:
Programme/Mozilla Firefox/chrome/nsis.jar
Programme/Gemeinsame Dateien/nsis/uninst.exe
Programme/Gemeinsame Dateien/nsis/ns28.dll
Ich schreibe darüber im Firefoxforum weil die eine Datei
im Verzeichnis Mozilla Firefox/chrome liegt.
Spybot Search & Destroy findet diese Dateien und noch einige
Registryeinträge unter NSIS Media Extension.
Die Dateien erzeugen zufallsbedingt nervige Werbe-Popups,
von welcher URL hab ich bisher nicht ergründen können
obwohl ich Wireshark auf Autostart gesetzt habe.
Wenn man das löscht erscheint es beim nächsten Neustart wieder.
Ich hab mir zunächst so geholfen indem ich die Dateiinhalte
zerstört habe also den Code gelöscht und irgendwelchen Blödsinn
reingeschrieben habe.
Die vorhandenen Dateien werden offenbar nicht überschrieben.

Gruß

Jörg

Wawuschel

http://forum.joergkrusesweb.de/foxie-browser-…n-t-1619-1.html

oder auch

http://julialoeba.de/blog/2006-12-0…fahrungsbericht

oder

http://nsismedia.net/uninstall/

hoffe es hilft

Oliver222

nsis.jar

Nach meinen Informationen gehört Deine "Infektion" zu einem Open-Source Installer-Project, welches bezüglich Malware-Implementationen manipulierbar ist oder einfacher ausgedrückt - als eine Malware-Schleuse auf Deinem System ausgenutzt werden könnte, wobei bekannte Begriffe Dich in die Irre locken sollen - bzw. ungewollte Programme an den FF und seinen Funktionen andocken könnten.

Stichpunkt: Nullsoft Installer oder Foxie? Was hattest Du denn im Vorfeld installiert? (Foxie-Shell nutzt die Trident-Engine des IE´s und hat mit dem FF, ausser einigen seiner Features sonst nichts weiter zu tun).

Abhilfe: Die nsis.jar aus dem Chrome Ordner manuell heraus löschen und Registry:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\NSISMedia] anschliessend separat löschen.

Oliver

profjoerg

Hallo Oliver,

ich hab weder Nullsoft Installer noch Foxie installiert sondern
nur den ganz normalen Firefox 2.0 .
Ich hab mein System mittlerweile "entseucht" und mache jetzt eine
Systemsicherung unter Linux mit:
tar cvfz /daten1/win2000/win2000_061216.tgz
"Dokumente und Einstellungen" "Program Files" Programme winnt
Weiterhin hab ich noch folgende Eintragungen in der "hosts"-Datei gemacht:

# hiermit wird das dämliche automatische Update für den
# T-DSL Speedmanager abgeklemmt
127.0.0.1 teata.t-ipnet.de
127.0.0.1 test.t-com-dsl.de
127.0.0.1 nsismedia.net

Ich nehme doch an daß NSIS Media Extension von nsismedia.net
eingeschleust wird.

Gruß

Jörg

Wawuschel

Zitat von profjoerg

ich hab weder Nullsoft Installer noch Foxie installiert sondern nur den ganz normalen Firefox 2.0

dann frag ich mich von welcher Quelle du deinen Fx 2.0 heruntergeladen hast?

ich kann die von Dir angegebenen Dateien auf meinem PC nämlich nicht finden

Liste der empfohlenen Download-Seiten
http://www.firefox-browser.de/wiki/Liste_der…Download-Seiten

Gruß
Wawuschel

AngelOfDarkness

Hier ist im übrigen die Seite des Nullsoft Sciptable Install System (NSIS) :

http://nsis.sourceforge.net/Main_Page

...:AOD:...