Wie funktioniert eine Adware-Infektion in Firefox und wie wird man sie los?

tag-icon tag-icon firefox security browser adware
Wie funktioniert eine Adware-Infektion in Firefox und wie wird man sie los?

In den letzten Wochen ist mir bei Windows 8.1 und Firefox V44 Folgendes passiert. Die einzigen aktiven Add-ons sind Adblock Plus, Flashblock und Norton Identity Safe:

  • Zunächst macht mich Norton Internet Security (das mir versichert, dass in Sachen Sicherheit alles in Ordnung ist und grünes Häkchen gesetzt ist) darauf aufmerksam, dass eine große Menge ausgehenden Datenverkehrs erkannt wurde. Es fragt mich, ob ich Power Eraser ausführen möchte. Das habe ich zweimal getan. Der Gesamtbeitrag von Power Eraser zu Sicherheit und Schutz besteht darin, sich über das alte Tool Office.exe (ein Überbleibsel aus Office 2000, dessen Entfernung ich zugelassen habe) und die Registrierungseinstellung, die das Laden von Profilen in Powershell ermöglicht, aufzuregen. Seitdem habe ich es nicht mehr verwendet.
  • Edit: Als ärgerliche Randbemerkung habe ich versucht, einen vollständigen Scan mit Norton auszuführen, aber es hat sich geweigert. Ich habe Vollständiger Scan ausgewählt, dann Los, und nichts ist passiert. Auch die Optionen ließen sich nicht aufrufen. Am Ende habe ich die Diagnose von Norton ausgeführt und festgestellt, dass eine Neuinstallation empfohlen wurde. Toll, es zeigt mir Unmengen von grünen „Alles OK hier“ und es wusste nicht einmal, dass es nicht richtig lief.
  • Plötzlich macht mich Firefox darauf aufmerksam, dass eine obszöne Anzahl von Popup-Fenstern blockiert wurde.
  • Manche schleichen sich trotzdem durch und machen mich normalerweise darauf aufmerksam (mit Angaben zu meiner Netzwerkverbindung), dass ich „Popup-Fenster aktiviert habe!“ und dass ich mich an Leute wenden solle, die mir dabei „helfen“. Andere sind angeblich Site-Umfragen von der Site, auf der ich mich befinde, die seltsamerweise alle gleich aussehen, selbst wenn sie sich auf völlig unterschiedliche Websites beziehen.

Dies scheint noch um ein Vielfaches schlimmer zu sein, wenn man sich eine bestimmte Site ansieht: smh.com.au.

Ich vermute, bin mir aber nicht sicher, dass die durchrutschenden Popups etwas mit diesem Flash-Element zu tun haben, das auf //partners.cmptch dot com verweist und sich auf der Seite vorgestellt hat:

Verdächtiges Flash-Element

Überall auf der Seite stelle ich fest, dass bestimmte Wörter anklickbar geworden sind, immer „unterstützt von DNS Unlocker“, etwa so:

DNS-Unlocker-Element

Häufig leckt der Browser laufende Skripte ab, die auf Akamai verweisen:

Akamai-Skriptsperre

Nachfolgend finden Sie ausführlich den Teil meiner Frage, der sich von der Frage „Wie kann ich bösartige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?“ unterscheidet.

Hier ist der lächerliche Teil. Irgendjemand, irgendwo,mussweiß nicht, wie dieses Ding das macht, was es macht. Aber ich kann diese Informationen nicht finden. Jede Websuche liefert Links, wie man Adware „behebt“. Ausnahmslos sind das Links zum Herunterladen von „der weltbesten Anti-Adware-Software aller Zeiten!“, die das Problem auf magische Weise für Sie löst. In den Fällen, in denen es eine sogenannte „manuelle“ Lösung gibt, umfasst diese das Entfernen von Suchmaschineneinträgen (von denen ich keine nicht standardmäßigen habe) oder der Startseite (die immer noch auf die Firefox-Standardeinstellungen eingestellt ist) oder das Zurücksetzen des Browsers (was ich bereits getan habe, indem ich Firefox auf die Werkseinstellungen zurückgesetzt habe, bevor ich die beiden oben genannten Add-Ons wieder hinzugefügt habe).

In meiner Verzweiflung griff ich schließlich auf ein Anti-Adware-Tool zurück, das in zahlreichen PC-Zeitschriften empfohlen wurde: AdwCleaner v5.032.

Dies ist, was es bewirkt hat:

***** [ Files ] *****

[-] File Deleted : C:\WINDOWS\SysWOW64\vers

...
***** [ Registry ] *****

[-] Key Deleted : HKLM\SOFTWARE\Classes\AppID\BHO.DLL
[-] Key Deleted : HKLM\SOFTWARE\Classes\.bdcm
[-] Key Deleted : HKLM\SOFTWARE\Classes\.bdcr

Und das Ergebnis davon? Absolut nichts. Sobald ich Firefox öffnete und zur SMH-Site zurückkehrte, ging das Ganze von vorne los.

In meiner Verzweiflung bin ich nun hier und hoffe, dassjemanddessen Kenntnisse über Server, Browser, HTML und dergleichen weitaus größer sind als meine, kann mir eine Vorstellung davon geben, wie das passiert und was ich tun kann, um ihm ein für alle Mal einen Holzpfahl durchs Herz zu treiben.

Um es ganz klar zu sagen... Ein Link wird in den Haupttext einer Webseite eingefügt ... Wie? Eine Flash-Komponente wird in eine solche Seite eingefügt (vorausgesetzt, das ist es, was hier passiert) ... wie? Ein Skript, das möglicherweise nicht Teil des eigentlichen Seiteninhalts ist, wird ausgeführt ... wie? Kurz gesagt, durch welchen Mechanismus treten diese Infektionen auf? Es ist sicher, dass nicht nur die Abfälle von Protoplasmen Viren verbreiten, die so etwas wissen. Menschen, die diese Viren bekämpfen, müssen sich einige Mühe gegeben haben, die Mechanismen zu verstehen und daher auch, wie man sich gegen sie verteidigen und sie besiegen kann.

Antwort1

Ihre AdwCleaner-Protokolle zeigen an, dass Sie etwas mit dem Namen BHO.DLL hatten.Eine schnelle Suchefür BHO.DLL gibt an, dassBHO.DLL ist Spyware.

Wenn AdwCleaner es nicht entfernen könnte, würde ich es als Virus behandeln (und nicht als gewöhnliche Adware).

Daher würde ich eine Antwort auswählen ausdieses Community-Wiki. Auch wenn es mir schwerfällt, das zu sagen, die wahrscheinlich beste Lösung ist die Wiederherstellung von Windows.

verwandte Informationen