Fehler - ein anderes Programm greift gerade auf die Datei zu
-
wellnessfrau-hh -
6. Juli 2009 um 19:19 -
Erledigt
-
-
Moin.
Rechner nochmal mit einer anderen Software auf Malware überprüft. Siehe da, diese hat tatsächlich etwas gefunden. Firefox läuft wieder. PUUH! Danke für Eure Hilfe.
Grüsse aussem Ruhrgebiet.
Ede
-
@Ede - das Gebrummel war nicht an dich gerichtet, falls du das so aufgenommen hattest.
Aber das doch was gefunden wurde, sollte dich nachdenklich stimmen.
Dein Sicherheitskonzept hat heftige Lücken!
Da du die Quelle nicht ausmachen kannst, bist du jederzeit wieder gefährdet.
Entweder über das Konzept nachdenken, aber eh erst, nachdem du dein
Windows nach Formatieren neu aufgesetzt hast.
(um mögliche neue lokale Herde auszuschliessen)Boersenfeger - denk mal an die News bzgl Gaga :p
-
Tag zusammen,
ich habe mich extra hier angemeldet, weil ich das gleiche Problem hatte/habe und Maximor Recht geben muss. :wink: Ich bin heute über eine der betroffenen Seiten gestolpert und hatte daraufhin exakt diese beschriebenen Probleme. Firefox Benutzerkonto löschen, Neues Firefox Benutzerkonto erstellen, Firefox Neuinstallation, saubere Neuinstallation, sogar Firefox Registry Einträge löschen half alles nichts.
Lösung war letztendlich Windows Systemwiederherstellung und Firefox Neuinstallation.Habe mich dann auf die Suche nach der "heißen Seite" gemacht - und sie leider auch wieder gefunden. Jetzt ist wieder alles beim alten: Firefox geht nicht mehr. Habe die Seite mit dem IE7 angesurft, der IE7 stürzt ebenfalls ab, es passiert aber nichts weiter. Leider war auch ne Instanz vom Firefox auf- die wurde dafür gekillt.
Wer Interesse an der URL zu der Seite hat (und Lust auf ein paar Std. Arbeit), bitte per PN. Ich werde die URL aus Sicherheitsgründen aber nicht veröffentlichen, halte ich für zu gefährlich.
So long..
-
-
Mir bitte auch. Danke.
(Ich werde natürlich vor dem Besuch dieser Seite ein Image meiner kompletten Festplatte erstellen, um es gegebenenfalls wieder zurücdkspielen zu können).
-
Für sowas nutzt man ne Sandbox oder VM!
(wenn das tatsächlich so "gefährlich" sein sollte) -
Zitat von Brummelchen
Für sowas nutzt man ne Sandbox oder VM!
(wenn das tatsächlich so "gefährlich" sein sollte)Kann ja jeder machen wie er will... Als ich über die Seite gestolpert bin, hatte ich leider keine Zeit mehr vorher ne VM aufzusetzen. :p
Ich weiß auch nicht ob "gefährlich" der richtige Ausdruck ist... Hautausschlag bekommt man jedenfalls nicht davon. -
Danke, Link kam an und selbiger hängt längere Zeit bei einem "503 Server error!" - das ist ein iframe 1x1.
Wobei die Anzeige getürkt zu sein scheint.
ZitatServer error!
The server encountered an internal error and was unable to complete your request. Either the server is overloaded or there was an error in a CGI script.
Mit einem wget auf den iframe: 504 Gateway Time-out. -
Nach dem Aufruf dieser bösen Seite hat mein Virenscanner avast gleich Alarm geschlagen.
[attachment=0]avast.png[/attachment]
Natürlich habe ich sofort die Verbindung getrennt.
@ Brummelchen: Danke für den Hinweis. Ich habe mich daraufhin daran erinnert, dass ja auf meinem Laptop noch eine VM installiert ist und die Seite darin getestet.
-
Road-Runner: Guter Virenscanner.. Meiner hat versagt.
Ich werd mal avast! testen@.Ulli: Genau wie auch hier, bei mir war aber dann noch Firefox und IE7 weg.
-
Ist aber nicht direkt vergleichbar, da mein System in einer anderen Liga läuft. Selbst ein XP in der VirtualBox mit avast! zeigte keinerlei Symptome.
Warum aber ein profaner wget bislang keine Erkenntnisse brachte - keine Ahnung.
-
gehe ich Richtig davon aus, (die mir unbekannte Website) ein Drive-by-Downloads verursacht.
Ein Drive-by-Download ist Computercode, der einen Software-Bug in einem Webbrowser ausnützt.
Er beeinflusst den Browser das zu tun, was der Angreifer möchte, z. B. bösartigen Code ausführen,
den Browser zum Absturz bringen oder Daten auf dem Computer lesen.Road-Runner, Dein Screenshot mit der avast! Warnung ist für mich zu offensichtlich. :wink:
Gruß, Erich
-
Wie lautet der URL?
-
Du findest sie auf meinem Screenshot https://www.camp-firefox.de/forum/viewtopi…=591352#p591352
Ich möchte sie nicht hier schreiben, damit niemand sie versehentlich anklicken kann. Wer sie aus dem Screenshot heraus in die Adresszeile eintippt, tut das bewusst.
-
Road-Runner,
danke Dir recht herzlich für deinen mutigen Schritt nach vorne.(Ohne Zensur)Gruß, Erich
-
Zitat von sanluisobispo
und Maximor Recht geben muss.
Seine Aussagen bleiben nach wie vor unbelegte Behauptungen.
ZitatWer Interesse an der URL zu der Seite hat (und Lust auf ein paar Std. Arbeit), bitte per PN. Ich werde die URL aus Sicherheitsgründen aber nicht veröffentlichen, halte ich für zu gefährlich.
Aber nicht für gefährlich genug dein wohl nicht ausreichend gesichertes System einem zweiten Mal der Seite auszusetzen. Aus der Ferne die Empfehlung: neu aufsetzen!
Zitat von Road-RunnerDu findest sie auf meinem Screenshot https://www.camp-firefox.de/forum/viewtopi…=591352#p591352
Von Ulli wurde mir einer mit einer Pfad-Angabe dahinter genannt.
Zum Code:
Nach einem kurzen Blick darauf handelt es sich um ein Exploit-Kit. Die über einen Iframe eingebundenen Seiten leiten teilweise auf andere Server weiter. Zunächst wird verschleierter JavaScript-Code ausgeführt, der wiederum einen weiteren Request erzeugt. Man kann davon ausgehen, dass dabei Browser-Informationen übermittelt werden (verschlüsselt), die als Resultat wieder eine Antwort mit ebenfalls verschlüsseltem Schadcode auslösen. Vom Verhalten erinnert der Code an die Vorgehensweise von LuckySploit.Grundsätzlich werden bei solchen Angriffen vorhandene Sicherheitslücken ausgenutzt. Anfällig sind dabei vor allem Browser-Plugins bzw. oder Schnittstellentechnologien wie ActiveX. In manchen Fällen auch unmittelbare Sicherheitslücken in Browsern selbst.
Letzteres wurde hier mehrfach unterstellt, der Nachweis unter 3.5.3 bleibt man weiterhin schuldig. Es sei aber angemerkt, dass der Besuch der Seiten mit einem nicht aktuellen Fx durchaus eine Gefahr darstellen kann, insbesondere wenn man sonstige gängigen Sicherheitspraktiken vernachlässigt. -
-
Zitat von boardraider
Seine Aussagen bleiben nach wie vor unbelegte Behauptungen.
Ich beziehe mich auf folgende Aussagen:Zitat von MaximorDabei wird die Original Firefox.exe im Programmverzeichnis durch eine leere Datei mit gleichem Namen ersetzt. Außerdem wird eine mmplayer.exe Datei im Verzeichnis C:\Dokumente und Einstellungen\USER\Anwendungsdaten\Adobe\ plaziert, die tatsächlich sofort und ständig auf die leere Datei Firefox.exe zugreift. Damit dies auch in Zukunft passiert, wird die mmplayer.exe auch bei jedem Rechnerstart in der Registry gestartet über autorun gestartet: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run --> C:\Dokumente und Einstellungen\USER\Anwendungsdaten\Adobe\mmplayer.exe
Mit dem Firefox 3.5.3 und ohne ausreichende Sicherung (wie es wohl das aktuelle avast! wäre) treten exakt die oben beschriebenen Vorgänge auf. Das sieht für mich verdächtig nach einem Beleg aus...Zitat von boardraider
Letzteres wurde hier mehrfach unterstellt, der Nachweis unter 3.5.3 bleibt man weiterhin schuldig. Es sei aber angemerkt, dass der Besuch der Seiten mit einem nicht aktuellen Fx durchaus eine Gefahr darstellen kann, insbesondere wenn man sonstige gängigen Sicherheitspraktiken vernachlässigt.Also eine haltlose Unterstellung ist das doch schon lang nicht mehr.
-
Wie ich oben schrieb sind direkte Lücken im Browser weniger häufig ein Problem als vielmehr Plugins wie Flash oder der Adobe Reader. Somit bleibt der Nachweis weiterhin offen, dass es sich um eine Sicherheitslücke im Fx 3.5.3 handelt. Für Bugs in Plugins und mies konfigurierte Systeme von Anwendern zeichnet Mozilla nicht verantwortlich.
-