Ich verwende Windows 7. Als ich gestern eine Website mit Firefox geöffnet habe, wurden mir oben auf der Website drei Anzeigen angezeigt.
Als ich dann andere Websites mit verschiedenen Browsern überprüfte, sah ich diese Anzeigen:
Im Quelltext der Seite kann ich keinen Code für diese Anzeigen erkennen. Nach der Verwendung von Inspect Element wurde dieser Code zum Header hinzugefügt:
<iframe src="http://85.25.138.211/index.php?3a2j"></iframe>
Und der Code im Textkörper dieser Anzeige lautet:
<a href="http://track.impreskin.pl/product/ImpreSkin/?uid=21002&pid=153&bid=1659" rel="nofollow" title="wygladzanie zmarszczek"><img src="http://track.impreskin.pl/banner/?uid=21002&pid=153&bid=1659" alt="wygladzanie zmarszczek"></a>
Ich sehe keine neuen und unerwünschten Plug-Ins in meinen Browsern und ich habe Hotspot Shield nicht installiert.
Handelt es sich hierbei um Schadsoftware und wenn ja, wie kann ich sie entfernen?
Antwort1
Sie haben es mit Malware zu tun, die so konzipiert ist, dass sie unmittelbar vor der Anzeige von Webseiten durch Ihren Webbrowser aktiv wird. Normalerweise fängt sie eine Browseranfrage zum Abrufen einer Webseite ab, analysiert die von Ihnen besuchte Site und versucht, HTML-Werbung einzuschleusen, die für das, was Sie gerade ansehen, relevant sein kann, aber nicht muss.
Sie müssen die Proxy-Einstellungen aller Ihrer Webbrowser überprüfen und vollständige Malware- und Antivirenscans auf Ihrem PC ausführen, da Ihr Computerschwer infiziert
Adblock hilft Ihnen nicht, das ist ein Virus. Ich würde mit Sicherheit vermuten, dass alle Webseiten sehr langsam geladen werden und wenn Sie Ihren Task-Manager überprüfen, verwendet FireFox wahrscheinlich 300-500 MB, nur um eine Webseite anzuzeigen.
Antwort2
Nach Recherchen fand ichdiese Antwortvon Martin Prikryl:
... das Problem tritt im Mobilfunknetz nur wegen des Caching auf. Nach einiger Zeit der Verbindung mit dem Mobilfunknetz und ständigem Aktualisieren verschwand das Problem. Und trat erst wieder auf, nachdem ich mich wieder mit dem WLAN verbunden hatte.
Dadurch wurde klar, dass das Problem auf einen manipulierten Router zurückzuführen ist. Das Zurücksetzen auf die Werkseinstellungen hat das Problem behoben.
Antwort3
Ich habe genau das gleiche Problem. Plattform: Windows 7 64. Es greift nicht nur Firefox an. Es hackt alle Ihre Webbrowser (Firefox, IE und ich vermute, es hätte auch Chrome erwischt) … das heißt, es ist entweder als Erweiterung oder als ein Stück global zwischengespeicherter Skriptcode (für alle Browser) installiert … oder vielleicht sogar etwas Globaleres.
Mir ist es gelungen, eine Notlösung für das Problem zu „hacken“ – nämlich diese IPs mit der Windows-Firewall zu blockieren und auch die Firefox-Adblock-Erweiterung herunterzuladen, aber das behebt nicht das zugrunde liegende Problem, nämlich dass das System selbst gehackt wurde.
TEILWEISE LÖSUNG (behebt den größten Teil des visuellen Elends): Durchsuchen Sie Ihr Windows-Verzeichnis und bearbeiten Sie entweder "lmhosts" oder "hosts", um diese URLs zuzuordnen auf
"localhost":
(promo.cityads.ru)
(track.impreskin.pl)
(rcm-na.amazon-adsystem.com)
(www.juicyads.com)
-oder-
Blockieren Sie diese Remote-IPs in den Firewall-Einstellungen
(72.21.202.62)
(81.177.161.202)
(54.192.118.235)
(199.83.129.149)
-und- installierenAdblockfürFeuerfuchs.
Der Name des Hackers bleibt dennoch auf Ihren Seiten stehen.
UNGELÖSTE WINKEL ZUR BEHEBUNG DES RESTES: Ich arbeite noch an diesem Teil ... aber ich versuche eine Suche nach Dateiinhalten auf der Festplatte nach .js- und/oder php-/css-Dateien, die Folgendes enthalten: „wygladzanie zmarsczek“ und die oben genannten URLs
^entfernen Sie zugehörige Dateien
Wenn das nicht klappt, versuchen Sie, den gesamten .js-, php- und css-Caching zu löschen. Tut mir leid, aber ich arbeite noch daran, herauszufinden, wie das geht.
Nichts davon beweist, dass Sie wirklich alle Malware von Ihrem PC entfernt haben. Es bekämpft nur ein Symptom (wie wenn Sie eine Krankheit hätten, aber Aspirin zur Schmerzlinderung nähmen). Es könnte noch viel mehr von diesem Virus auf dem PC übrig sein.
Diese Lösung ist also weit von der „Perfektion“ entfernt. Diese würde bedeuten, den Angriffsvektor des Virus zu verstehen, die Sicherheitslücke zu schließen und alle möglicherweise von ihm abgelegten Dateien zu entfernen. Aber sie ist immer noch viel besser als nichts.
Wenn irgendjemand den offiziellen Namen für diesen Angriff nennen und einige dieser Fragen beantworten könnte, würde dies dazu beitragen, ein öffentliches Verständnis aufzubauen und so das Problem zu lösen.
ERGEBNISSE: Diese Dateien wurden mit dieser Suchsignatur verknüpft zurückgegeben:
C:\Users\computer_name\AppData\Local\Mozilla\Firefox\Profiles\pxxczg4r.default\cache2\entries\2E0C4058E084A83FFD5E59DF25634B4708213893
C:\Users\computer_name\AppData\Local\Mozilla\Firefox\Profiles\pxxczg4r.default\cache2\entries\C116A7489A2D13D65DA56BD218030121E46D2476
C:\Users\computer_name\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\HND03M2G\ga[1].js
Relativieren Sie den Pfad für Ihren eigenen PC, indem Sie „Computername“ durch Ihren eigenen selbstreferenziellen PC-Namen ersetzen. Diese Cache-Dateien werden unter Firefox mit einem möglicherweise zufälligen Namen generiert. Das Löschen des gesamten Caches ist möglicherweise die beste Lösung.