Online-Banking-Seiten lassen sich nicht öffnen

    Quelle: APMichael

    Zitat von APMichael

    Nur es gibt halt einfach keinen richtigen Ansatzpunkt für die Problemlösung.

    Wie verhält sich das System im abgesicherten Modus?

    Zitat

    bisher keine Viren oder Malware gefunden

    Auch die Platte mal nicht aus dem laufenden System heraus geprüft (Platte aushängen und in einem anderen PC verbauen)? Stichwort Rootkits und intelligente Malware

    Zitat

    auf identischen PCs tritt das Problem nicht auf.

    Identisch werden sie nicht sein.

    Zitat

    Man bräuchte eine Möglichkeit dem Firefox beim Aufruf der SSL-Seiten auf die Finger zu schauen, eventuell könnte man dann entdecken was falsch läuft oder ob etwas verändert wird.

    Mit Whireshark kannst du zumindest den Verbindungsaufbau beobachten.

    Quelle: APMichael

    Zitat von APMichael

    Die hosts-Datei zeigt z.B. auch keine entsprechenden Einträge.

    Hast du auch zuvor in der Registry geprüft, welche hosts gegenwärtig verwendet wird?

    Zitat

    (Würde auch den Sinn einer Malware nicht verstehen, die nur den Zugang zu den Online-Banking Seiten unterbindet anstatt diese auf Phishing-Seiten umzuleiten.)

    Unterbinden und lokal umleiten. Malware im System kann dann den Server spielen. Phishing beim Online-Banking ist inzwischen nicht mehr wirklich effektiv.

    Zusätzlich:

    Zitat

    Des Weiteren sind die SSL-Seiten nur unter Firefox, nicht aber unter dem IE blockiert.

    Vielleicht funktioniert die Malware nur im Zusammenspiel mit dem IE so gut (Anpassung/Optimierung). Insbesondere wäre es dann eine Möglichkeit zu verhindern, dass der Fx (oder andere Browser - schon getestet?) zum Online-Banking genutzt werden. So greift das Opfer auf den IE zurück, was der Malware entgegen kommt.

    Quelle: angelheart

    Zitat von angelheart

    hier hat keiner einen Plan, wie dieses Problem zu lösen sei.
    [...]
    Jede Menge Vermutungen, unterschiedliche Tipp

    Das Problem in dem Fall ist eher, dass es verschiedene Ursachen haben kann (amoklaufene Sicherheitssoftware, Malware, störende Drittprogramme usw.) und man im einzelnen prüfen muss. Zu der Prüfung sind aber bisher keine User wirklich bereit gewesen.

    Quelle: angelheart

    Zitat von angelheart

    es gab hier einige User, die tatsächlich ihre Firewall deinstalliert haben - und trotzdem kamen sie nur mit der firefox1.exe weiter.

    Wie verlässlich solche Aussagen sind, sollte hier jedem bekannt sein. :roll:

    Quelle: pcinfarkt

    Zitat von pcinfarkt

    Gehört in Support- Links verboten!

    Deine Meinung ist bekannt.

    Zitat

    remonte,
    Welche(s) dumme Programm(e) merkt(-en) diese Veräppelei nicht?

    Programme bei denen der Entwickler sich nicht die Mühe gemacht hat, die Signaturen der zu behindernden Prozesse zu prüfen, sondern die Bestimmung des Prozesses allein über den Prozessnamen realisiert. Ist auf diese Weise auch robuster gegen Updates und man erwartet auch nicht, dass ein normaler User die exe umbenennt.

    Platte ausbaun und in einen andren PC testen, find ich ne gute Idee.
    Was die deinstallierten Firewalls angeht: Das muß ich zunächst glauben.

    Ein Tipp, von Road-Runner, im anderen Thread zum gleichen Thema: nach PC Start im Taskmanager mal schaun, ob da schon ein Prozess von Firefox läuft, bevor der Firefox gestartet wird.

    angelheart

    …Wie viele rätselhafte Städte unter der Erde baut nicht das, was wir das Herz nennen!… (Lars Gustafsson)

    Firefox 43.0.1

    Quelle: angelheart

    Zitat von angelheart

    Was die deinstallierten Firewalls angeht: Das muß ich zunächst glauben.

    Ich nehme das auch stets so hin, allein mir fehlt meist der Glaube.

    Hallo!

    So, ich konnte das Problem heute "lösen". Firefox funktioniert nun auf dem fehlerhaften PC wieder anstandslos. Kurzfassung: Wie die Mehrheit schon vermutet hatte, war tatsächlich eine unbemerkt eingeschlichene Malware verantwortlich!

    Habe heute so ziemlich alles Empfohlene ausprobiert. Der abgesicherte Modus brachte keine Änderung, daher habe ich nochmals alle möglichen Anti-Viren-, -Rootkit-, -Spyware-Programme (MS Malicious Software Removal, Blacklight Rootkit Eliminator, Avast Virus Cleaner, McAfee Avert Stinger, AntiVir Personal, Ad-Aware Free, Spybot S&D, HijackThis, ...)ausprobiert - leider ohne Erfolg, nichts wurde gefunden. Danach ist mir aufgefallen, dass ich folgendes Programm vergessen hatte:

    Zitat von phil0sofa

    Du kannst auch zusätzlich Scans mit Malwarebytes...


    Und kaum war der Scan beendet, wurde folgendes gefunden:

    Code
    Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack)


    Nach Entfernen dieses Eintrags, funktionierten die SSL-Seiten wieder! Finde es aber schon seltsam und traurig, dass kein anderes Programm dies gefunden hat...

    Weiß jemand, wo man genauere Informationen über diese Malware erhalten kann? Habe bisher leider nichts Brauchbares gefunden. Insbesondere würde mich interessieren, wie ein einzelner Registry-Eintrag so etwas verursachen kann.

    Nochmals vielen Dank an alle die geantwortet haben.

    Viele Grüße,
    Michael

    Einmal editiert, zuletzt von APMichael (20. Juni 2009 um 21:43)

    Super,
    das ist doch mal eine Info :!:

    Du hast den Schlüssel händisch entfernt?
    Oder entfernt das Tool den Schlüssel aus der Registry?

    Noch eine persönliche Bemerkung:
    Das war mit der beste Re Support, seit ich hier poste.

    angelheart

    …Wie viele rätselhafte Städte unter der Erde baut nicht das, was wir das Herz nennen!… (Lars Gustafsson)

    Firefox 43.0.1

    Das Problem ist trotzdem noch vorhanden, der Eintrag kommt mit Sicherheit wieder.
    Und da die Ursache für die Malware auch nicht klar ist (nein, der Reg-Schlüssel ist es nicht),
    bleibt amS nur die Radikalkur, so bitter das auch ist. Wurde aber hier auch schon genannt:
    https://www.camp-firefox.de/forum/viewtopi…=566298#p566298
    Alles andere grenzt irgendwie an ein kleines Kind, welches sich die Augen zuhält und
    mein, es wäre unsichtbar.

    Warten wir mal, ohne Illusionen. Brummelchen.
    Die Userinit.exe wurde in diesem Topic nicht erwähnt.

    Ich denk, APMichael meldet sich hier wieder, wenn sein Erfolg nur temporär war.

    angelheart

    …Wie viele rätselhafte Städte unter der Erde baut nicht das, was wir das Herz nennen!… (Lars Gustafsson)

    Firefox 43.0.1

    Zitat von angelheart

    Du hast den Schlüssel händisch entfernt?
    Oder entfernt das Tool den Schlüssel aus der Registry?


    Das Tool hat den Schlüssel mit einem Klick entfernt und in den Quarantäne-Ordner verschoben. Nachdem wieder alles fehlerfrei lief und kein anderes Programm den Schlüssel vermisst hatte, habe ich den Schlüssel mit dem Tool komplett löschen lassen.

    Zitat von angelheart

    Noch eine persönliche Bemerkung:
    Das war mit der beste Re Support, seit ich hier poste.


    Vielen Dank! :D Da ich mich selbst immer mal wieder über Fragende in Foren aufrege, die nie ein Ergebnis oder höchstens nur den Satz "es geht wieder" zurück schreiben, wollte ich es schon schön ausführlich berichten. :D

    Zitat von Brummelchen

    Das Problem ist trotzdem noch vorhanden, der Eintrag kommt mit Sicherheit wieder.
    ... Alles andere grenzt irgendwie an ein kleines Kind, welches sich die Augen zuhält und
    mein, es wäre unsichtbar.


    Da der PC nicht dringend benötigt wird, warte ich erst einmal ab, ob es wieder auftaucht. Mag schon sein, dass eine Neuinstallation immer die bessere Wahl ist (ich hätte es bei Nichterfolg ja auch so gemacht), aber dann frage ich mich letztendlich doch, warum so viele Menschen so viel Zeit in die Entwicklung von Anti-Programmen stecken, wenn diese eh nie richtig funktionieren und wirkungslos sein sollen.


    Schönes Wochenende und viele Grüße,
    Michael

    Kein AV-Programm erhebt den Anspruch auf 100% - ist technisch einfach unmöglich.
    Von entfernen mal ganz zu schweigen. Das ist leider das Trügerische, welches durch
    gute PR immer gern vermittelt werden soll. Deswegen ist Sicherheit insgesamt ein
    Konzept, keine einzelne Software.

    Noch eine letzte Anmerkung: Da ich mich ja selbst frage, wie ein einziger Registry-Eintrag so ein Fehlverhalten verursachen kann, bin ich nochmals meine gestrige Vorgehensweise durchgegangen. Fakt ist, dass keine der anderen genannten Programme eine Infektion festgestellt haben und dass der Fehler auch unter dem abgesicherten Modus von XP aufgetreten ist. Vor dem Einsatz von "Malwarebytes" hatte ich allerdings noch folgendes probiert. In den Eigenschaften von LAN-Verbindung wollte ich das Protokoll TCP/IP entfernen und wieder neu installieren (hatte unter Win 9x oft Netzwerk-Probleme behoben). Allerdings ließ sich das Protokoll nicht entfernen, sondern nur abwählen (sprich Häkchen weg). Dadurch wurde dann die gesamte LAN-Verbindung deaktiviert - das Protokoll ließ sich aber trotzdem nicht entfernen. Also wieder Häkchen beim Client für Microsoft-Netzwerke gesetzt und schon war wieder alles wie vorher aktiviert. Direkt danach funktionierten die SSL-Seiten im Firefox nicht, aber vielleicht hatte Windows ja noch irgendetwas im Hintergrund abgearbeitet.

    Wenn also nicht "Malwarebytes" (eventuell wurde von dem Tool ja doch mehr als nur ein Registry-Eintrag entfernt) für den Erfolg gesorgt hat, dann kann es eigentlich nur noch die obige Vorgehensweise gewesen sein.

    Sofern der Fehler zurückkehren sollte, melde ich mich selbstverständlich wieder.

    Viele Grüße,
    Michael

    Zitat von APMichael

    Wenn also nicht "Malwarebytes" (eventuell wurde von dem Tool ja doch mehr als nur ein Registry-Eintrag entfernt) für den Erfolg gesorgt hat, dann kann es eigentlich nur noch die obige Vorgehensweise gewesen sein.

    Es war Malwarebytes. Hatte genau dasselbe Problem und denselben Registryeintrag. Nach Entfernen mittels Malwarebytes funktioniert der Firefox-Zugriff auf meine Online-Banking-Login-Seite wieder.

    Vielen herzlichen Dank an Dich, APMichael!

    Gruß, Don

    Zitat von angelheart

    TCP ip lässt sich gar nicht so einfach deinstallieren.
    Siehe mal die nette Anleitung hierzu.
    http://www.faq-o-matic.net/2006/08/04/tcp…u-installieren/


    Super, vielen Dank. Werde ich gleich in meine FAQ-Sammlung aufnehmen.

    Zitat von donnerherz

    Es war Malwarebytes. Hatte genau dasselbe Problem und denselben Registryeintrag. Nach Entfernen mittels Malwarebytes funktioniert der Firefox-Zugriff auf meine Online-Banking-Login-Seite wieder.


    Vielen Dank für die Rückmeldung. Somit ist zumindest mal die Ursache bekannt und es gibt zugleich eine bessere Lösung als das Umbenennen der "firefox.exe". Hoffen wir, dass das Problem damit dauerhaft behoben ist.

    Schön wäre es, wenn man noch mehr Infos über diese Malware finden könnte.

    Viele Grüße,
    Michael

    >> Schön wäre es, wenn man noch mehr Infos über diese Malware finden könnte.

    Macht euch besser Gedanken, damit dieser Scheiss nicht nochmal auf eurem System landet,
    denn an Firefox kann es nicht sonderlich gelegen haben... :roll:

    @ Brummelchen

    Zitat

    Macht euch besser Gedanken, damit dieser Scheiss nicht nochmal auf eurem System landet,
    denn an Firefox kann es nicht sonderlich gelegen haben...

    Na ja, es gibt sicher Naseweise, die sich gerne mal auf scharfen Seiten an Cracks und Hacks dran kommen wollen...
    Man kann, und soll sich auch auch über diese Problematik Gedanken machen!

    Allein, diese Gedanken beendet die installierte Sicherheitssoftware. Unabhängige Tests bezüglich dieser Sicherheitssoftware - so wie ich mir das vorstelle,
    habe ich im Net noch nie gesehn. Man kann ja auch nicht beliebig Sicherheitssoftware parallel installieren.

    Ich hab das hier geschilderte Problem nicht. Ich fahre ne ganz konservative Strategie: Einen Virenscanner (Kaspersky) der erkennt Malware und die Windows Firewall. Ich weiss nich ob KAV die hier geschilderte Malware im Datenstrom erkennt/hat? Hier ist sie nicht drauf, sonst müßte ich die Fierefox Exe auch umbenennen. Welche Gedanken soll ich mir, als "halbwegs erfahrener" User, machen...

    angelheart

    …Wie viele rätselhafte Städte unter der Erde baut nicht das, was wir das Herz nennen!… (Lars Gustafsson)

    Firefox 43.0.1

    Ja ne is klar, wenn man schutzlos zwielichte Seiten ansurft, ist der Gau vorprogrammiert.
    Wobei man hier wirklich erwähnen muss, dass Firefox auf den meisten Müll mit den richtigen
    Einstellungen (Keine Popups, JS reduziert, Java aus) nicht reagieren kann.
    Die nächste Stufe wäre eine Sandbox -> Sandboxie für solche bzw alle Seiten.
    Darüber könnte man HIPS stellen, Online Armor Free oder auch Comodo.

    HIPS ist eine Art "Firewall" für das System und Zugriffe darauf.
    Unbekannte Programme müssen genehmigt werden, Einstellungen können gespeichert werden.
    OA und Comodo bieten gleichzeitig noch eine Firewall, aber das ist nicht so relevant.

    Virenjäger sind dann im Nachhinein praktisch, wenn man Daten aus der Sandbox in das
    Host-System überträgt - sind aber sonst auch ganz nützlich ^^

    Quelle: APMichael

    Zitat von APMichael


    Da der PC nicht dringend benötigt wird, warte ich erst einmal ab, ob es wieder auftaucht. Mag schon sein, dass eine Neuinstallation immer die bessere Wahl ist

    Ja das ist so, und nach einer Infektion dies nicht zu tun, ist grob fahrlässig. Insbesondere, wenn man den Rechner für Online Banking nutzt. Da wird auch ein Richter irgendwann kein Verständnis mehr aufbringen können :evil: Zudem behebt man in keinster Weise das Sicherheitsloch, dass das System aufweißt.

    Quelle: APMichael

    Zitat von APMichael

    Insbesondere würde mich interessieren, wie ein einzelner Registry-Eintrag so etwas verursachen kann.

    Ein Schlüssel verursacht das sicher nicht, allerdings die Malware, die durch den Schlüssel aktiviert/ausgeführt/verankert wird.

    Quelle: APMichael

    Zitat von APMichael

    Fakt ist, dass keine der anderen genannten Programme eine Infektion festgestellt haben

    Ich hatte oben schon darauf verwiesen, dass ein Scan aus dem laufenden System heraus nur bedingt dazu in der Lage ist eine Infektion vollständig aufzudecken.

    Quelle: APMichael

    Zitat von APMichael

    Somit ist zumindest mal die Ursache bekannt und es gibt zugleich eine bessere Lösung als das Umbenennen der "firefox.exe".

    Wer hat behauptet, dass dies eine Lösung ist? Das ist eine Diagnosemittel!

    Zitat

    Schön wäre es, wenn man noch mehr Infos über diese Malware finden könnte.


    http://www.google.com/search?q=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows+NT\CurrentVersion\Image+File+Execution+Options\Userinit.exe&start=0&ie=utf-8&oe=utf-8&num=100&safe=off&nojs=1
    Google hilft!

    Da ich mich nicht auf eine "unendliche" Grundsatzdiskussion einlassen möchte (hier treffen nun mal unterschiedliche Standpunkte aufeinander), werde ich hierzu nur ein einziges mal antworten:

    Zitat von boardraider

    Ja das ist so, und nach einer Infektion dies nicht zu tun, ist grob fahrlässig. Insbesondere, wenn man den Rechner für Online Banking nutzt. Da wird auch ein Richter irgendwann kein Verständnis mehr aufbringen können :evil: Zudem behebt man in keinster Weise das Sicherheitsloch, dass das System aufweißt.


    Das hat nichts mit grob fahrlässig, sondern nur mit persönlicher Ansichtssache bzw. Übervorsichtigkeit zu tun. So wie Du vehement forderst dass eine Neuinstallation ein Muss ist, gibt es genauso viele Leute die dem widersprechen. Z.B. in der Zeitschrift c't gab es auch schon mehrere Artikel, dass man nicht immer gleich die Holzhammermethode auspacken muss, nur weil mal eine Infektion vorhanden ist. Woher weißt Du, dass das System nun ein Sicherheitsloch aufweißt? Im Übrigen schließt eine Neuinstallation auch keine Sicherheitslöcher, insbesondere nicht wenn diese vom Hersteller noch gar nicht behoben wurden.

    Zitat von boardraider

    Ein Schlüssel verursacht das sicher nicht, allerdings die Malware, die durch den Schlüssel aktiviert/ausgeführt/verankert wird.


    Eine Malware als ausführbares Programm oder als Script wurde allerdings nicht entdeckt.

    Zitat von boardraider

    Ich hatte oben schon darauf verwiesen, dass ein Scan aus dem laufenden System heraus nur bedingt dazu in der Lage ist eine Infektion vollständig aufzudecken.


    Also Aufdecken können die Programme früher oder später eigentlich alle Infektionen. Ob diese dann aus dem laufenden System heraus entfernet werden können ist eine andere Sache.

    Zitat von boardraider

    Wer hat behauptet, dass dies eine Lösung ist? Das ist eine Diagnosemittel!


    Lege doch bitte nicht jedes Wort auf die Goldwaage! Ganz am Anfang wurde dies als Lösung genannt. Wenn Du meine Beiträge gelesen hast, wirst Du merken, dass ich dies nicht als Lösung betrachtet und deswegen auch weitergesucht habe. Entschuldigung dass mein Satz nicht korrekt formuliert war.

    Zitat von boardraider

    Google hilft!


    Glaube mir bitte, ich kann Google bedienen! Etwas weiter oben habe ich deswegen auch geschrieben, dass ich keine brauchbaren Informationen gefunden habe.

    Viele Grüße,
    Michael