Hallo Community,
ich komme mit einer Frage, die eigentlich nicht mehr gestellt werden dürfte, aaaaaber:
Auf dem Rechner einer Bekannten lassen sich Popups nicht verhindern, wenn man auf Youtube geht. Ich habe heute selbst die im IE und in FF angebotenen Einstellungen zum Blocken ausprobiert, es hat nichts gefruchtet. Bestimmte Sex-Popups kamen immer wieder.
Da die Bekannte eigentlich nur mit dem IE (Win XP) unterwegs ist, wäre hauptsächlich eine Möglichkeit dafür erwünscht. Den FF mit Adblock Plus habe ich allerdings nicht ausprobiert.
Noch zu erwähnen wäre: wenn sie Youtube aufruft, erscheint über dem gewünschten Video auch nicht der "normale" Youtube-Text, sondern wie in der rechten Leiste auch Sex-Reklame.
Auf dem Rechner sind die Win-Standardeinstellungen gewählt.
Wie kann ich der Bekannten helfen? Was sollte ich mal ausprobieren?
Gruß ins informative Forum!
Wolfgang
Internet-Software, Browser, FTP, SSH 4.708 Themen, 38.981 Beiträge
Eventuell hat sich was Übles im Browser eingenistet - obwohl: Das glaube ich eher nicht....
Guck mal in die Sicherheitseinstellungen vom IE. Vielleicht kann man da mit einer höheren Sicherheitsstufe was blocken.
Ansonsten ist das hier vielleicht ein interessanter Link für dich. YouTube würde nicht das 1. Mal Opfer von Hackern sein:
http://www.bild.de/digital/internet/youtube/sex-porno-auf-youtube-kanal-sesamstrasse-20499374.bild.html
Sex auf Youtube? Ganz bestimmt nicht, da versteht Youtube keinen Spaß. Da ist was faul.
Da ist was faul.
War auch erst mal meine Annahme. - Aber wie kann eine Schadsoftware von einem Rechner aus Sex-Popups bei Youtube einbinden? - Das wäre mir neu! Etwas anderes wäre es, wenn das auf jeder geöffneten Seite im Internet der Fall wäre....
Ich glaube dann doch eher, dass da was bei Youtube gehackt wurde - s. meine Verlinkung oben.
Aber man lernt nie aus. Was veranlaßt die denn zu dieser Vermutung? - Hast du was Konkretes und kennst eine Möglichkeit, dass der Browser so manipuliert werden kann, dass bei YouTube Porno-Werbung eingeblendet wird? - Mich würde das jedenfalls überraschen....
Auch eine Youtube-Seite ist ja nur eine HTML-Datei, die eine Schadsoftware ( die sich etwa in deine Netzwerkverbindung einklinkt) manipulieren kann, bevor sie der Browser in die Finger bekommt.
Ich glaube dann doch eher, dass da was bei Youtube gehackt wurde
Das ist natürlich auch eine Möglichkeit. Aaaber: dann müssten ich und du ja z.B. auch diese Sex-Reklame haben, wenn wir Youtube aufrufen. Ich geh dann jetzt mal auf Youtube, um das zu überprüfen!
... Schade, keine Sexshow für mich....
So ein Mist, bei mir auch nicht.....
@winnigorny1
Ich kann dir ja mal den Computer meiner Bekannten ausleihen ...
Danke für das nette Angebot, aber mir ist grad eingefallen, dass es einfachere Möglichkeiten gibt, um an Sexseiten zu kommen...
wie kann eine Schadsoftware von einem Rechner aus Sex-Popups bei Youtube einbinden?
Genauso wie eine Schadsoftware auch Onlinebanking-Webseiten manipulieren kann...
AUA! - Manchmal bin ich aber auch mit dem Klammerbeutel gepudert - klar!
Wie kann ich der Bekannten helfen? Was sollte ich mal ausprobieren?
Systemdiagnose mit O.T.L. by Oldtimer, Logs bei Pastebin hochladen und hier verlinken. Ich guck dann drüber. Da wird vermutlich nicht nur ein unerwünschtes Add-on/Browser Helper Object installiert sein, sondern auch mindestens ein überwachender Hintergrundprozess.
Wenn ein System soweit offen ist, kann noch mehr im Argen liegen.
Danke für die bisherigen Vermutungen/Voschläge.
Leider kann ich heute nicht mehr den Rechner der Bekannten weiter "untersuchen", aber auf meinem Rechner tritt das "Sex-Phänomen" ;-) nicht auf, weder beim IE noch beim FF. Das betreffende Video befindet sich auf einer Seite innerhalb meines Youtube-Accounts und bisher hat sich noch niemand beschwert. Es ist ein Video, das zur Homepage meiner Kirchengemeinde gehört und ich glaube nicht, dass die Seite infiziert ist.
Wer mal schauen will: http://www.youtube.com/watch?v=HfSIvDmGcqE&feature=channel&list=UL
Gruß, Wolfgang
das zur Homepage meiner Kirchengemeinde gehört und ich glaube nicht, dass die Seite infiziert ist.
Da kannst du unter Umständen weit danebenliegen. Gerade solche unverdächtigen Seiten sind die Lieblingsziele der Kriminellen. Das nur am Rande.
Das kann gut sein, aber dann müssten doch noch mehr User die Popups auf ihrem Rechner sehen können - bei über 80 Besuchern. Und das sind wohl überwiegend Leute aus dem Umkreis der Kirchengemeinde. Die hätten sich bestimmt bei mir beschwert!
Wolfgang
Das war nur eine Bemerkung am Rande. Das Hauptproblem ist ganz offensichtlich lokal auf dem Rechner.
Leute aus dem Umkreis der Kirchengemeinde. Die hätten sich bestimmt bei mir beschwert!
.... oder auch nicht! - Freude, schöner Götterfunke! - Der Gentleman schweigt und genießt!! LOL!
Bei mir alles "sauber" (auch wenn ich sämtliche Werbe- und Scriptblocker deaktiviere). Da hat sich deine Bekannte wohl höchstwahrscheinlich etwas eingefangen.
Logs bei Pastebin hochladen und hier verlinken
Damit es bei der Bekannten auch klappt, habe ich die Prozedur jetzt mal mit meinem System gemacht und mich bei "Pastebin" angemeldet.
Ist es richtig, den Text von den beiden .txt-Dateien im Feld "Paste" einzufügen (getrennt) und dann auf "Submit" zu klicken? Wahrscheinlich bekomme ich dann eine URL zugesandt!?
Mit "noscript" im FF sollte dieses Phänomen gekillt werden können.
https://addons.mozilla.org/de/firefox/addon/noscript/
Auch recht nützlich:
https://addons.mozilla.org/de/firefox/search/?q=ghostery&appver=13.0.1&platform=linux
Danke für den Tipp. Ich werde bei nächster Gelegenheit die Vorschläge auf dem PC der Bekannten durchführen.
Gibt es Ähnliches auch für den IE?
Himmel! Ich sehe die Sex-Reklame auf der von dir verlinkten Youtube-Seite nicht, auch dann nicht, wenn ich bei mir NoScript & Co deaktiviere. Offensichtlich liegt es also nicht an der Youtube-Seite, die ist sauber. Deine Bekannte hat sich auf ihrem Rechner was eingefangen!!
Himmel! Ich sehe die Sex-Reklame auf der von dir verlinkten Youtube-Seite nicht...
Kein Problem, ich schicke Dir gern via PN einige Links.
Sex-Reklame auf Youtube? Eher friert die Hölle zu.
Da hier Gefahr im Verzug ist, würde ich damit nicht lange warten und der Bekannten empfehlen, mit diesem PC nicht mehr online zu gehen. Passwörter sollten vorbeugend von einem anderen Gerät aus geändert werden. Externe Datenträger sind nicht mehr anzustöpseln und solche, die es jetzt sind, als verdächtig beiseite zu legen, bis die Sache mittels O.T.L. und evtl. Malwarebytes Antimalware (Vollscan) geklärt wurde.
Für FF noscript installieren.
auf youtube dann nur ytimg.com und youtube.com zulassen.
Nix mehr mit werbung oder popups.
gruß
triker
Das hört sich gut an - werde ich ausprobieren, nur: was muss ich wo machen, um nur "ytimg.com" und "youtube.com" zuzulassen?
Das stellst Du direkt bei noscript ein.
==> Icon anklicken, etc. erlauben, temporär erlauben, verbieten...
Ist das nicht nur ein Herumbosseln an den Symptomen?????!!!! - Das ändert doch nichts daran, dass der Rechner nicht mehr vertrauenswürdig ist, oder?
Ist das nicht nur ein Herumbosseln an den Symptomen?????!!!!
Da sich bisher noch niemand gemeldet hat, der auf der Beispielseite von wowa1 auch besagte Sex-Werbung sieht, ist das wohl anzunehmen.
So -
bin heute wieder an besagtem Rechner gewesen. Ergebnis: alles paletti!
Erst einmal habe ich trikers Ratschlag befolgt und beim FF Noscript installiert. Hat schon gereicht, die Sexwerbung zu eliminieren. DANKE!
Dann ging´s an den IE. Dort habe ich mir die Werbefenster einmal genauer angesehen und entdeckt, dass man an einer (fast) völlig versteckten Ecke ein Fenster öffnen konnte, in dem man auswählen konnte, ob Werbung oder Nicht-Werbung. Kam mir zwar irgendwie seltsam vor, aber das richtige Häkchen gesetzt - und es war Schluss mit halbnackten "Mädels" auf dem Pfarrhaus-Computer ;-)
Anschließend habe ich noch den "Spyware Terminator" installiert und suchen lassen: der PC ist clean.
Vielen Dank für die rege Beteiligung an meinem Thread und die guten Vorschläge, die ich für die Zukunft im Auge behalten werde.
Gruß, Wolfgang
Anschließend habe ich noch den "Spyware Terminator" installiert und suchen lassen: der PC ist clean.
Das ist ein frommer Wunsch. Derartige Software ist völlig ungeeignet, um derartige Aussagen treffen zu können. Aber mach ruhig. Man liest sich.
"... frommer Wunsch" --- ist ja auch ein Kirchencomputer! ;-)
Du hast Recht, IRON67! Ich rechne dann mal mit dem Antivirenprogramm auf dem PC.
Gruß, Wolfgang
Ich rechne dann mal mit dem Antivirenprogramm
Na dann rechne mal... viel Spaß beim Blindekuh-Spielen.
Ich hab dir ein Angebot mit einer Analyse mittels O.T.L. gemacht. Es wäre klüger, wenn du es wahrnähmst.
Ich hab dir ein Angebot mit einer Analyse mittels O.T.L. gemacht.
Ich weiß es zu schätzen und habe mir die Seite auch angeschaut. Für mich als Laien scheint die Aktion kompliziert zu sein, werde sie aber im Gedächtnis behalten und bei Bedarf doch in Angriff nehmen.
Gruß
Daran ist überhaupt nichts kompliziert. Du lädst das Programm herunter, startest es, klickst auf Quickscan und wartest ein paar Minuten. Dann werden dir zwei Text-Dateien angezeigt und die lädtst du bei einem Filehoster hoch und verlinkst das hier.
Die Durchsicht brauchst du nicht zu übernehmen, das mache ich.
Wie sowas aussehen kann, siehst du beispielhaft hier...
Nebenbei: ES BESTEHT BEDARF.
Okay, Danke!
Werde es sobald wie möglich bei der Bekannten machen und poste dann den Link.
Gruß, Wolfgang
Nicht im Gedächtnis behalten, sondern sofort handeln. - Der Rechner ist immer noch kompromittiert und u. U. Teil eines Bot-Netzes und eine Virenschleuder, die andere PCs im (I)Netz verseucht!!
@ IRON67
Damit die "Operation" am PC der Bekannten auch klappt, habe ich die Prozedur mit meinem PC durchgeführt und mich auch bei Pastebin angemeldet.
Muss ich jetzt die beiden Text-Dateien im Feld "Paste" eintragen (getrennt?) und dann auf "Submit" klicken? Wahrscheinlich bekomme ich dann per E-Mail eine URL, die ich hier verlinken kann!?
Nun habe ich Rapidshare benutzt. Hier sind meine zwei txt-Dateien zur Begutachtung. Vielleicht habe ich mir ja auch schon was "eingefangen"!?
https://rapidshare.com/files/3293154548/Extras.Txt
https://rapidshare.com/files/245720484/OTL.Txt
Gruß, Wolfgang
Veraltet. Aktuell ist 11.3.300.265
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
Java wird selten aktualisiert und ist derzeit mit...
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ... (Java Plug-in 1.6.0_31)
...veraltet und bildet dadurch eine Angriffsfläche für Drive-by-Infektionen beim bloßen Aufrufen entsprechend präparierter Webseiten.
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1...
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 13.0.1...
Gerade gabs das Update auf 14.0.1 bzw. 14.0.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
Leichtes Spiel für jede Software, denn sie darf im Adminaccount ALLES.
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
Aktuell ist 5.10.0.116
Danke für deine Mühe! Ich werde mich mit deinen Kommentaren beschäftigen ...
Einen schönen Abend noch!
Wolfgang
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 Leichtes Spiel für jede Software, denn sie darf im Adminaccount ALLES.
Das hat mich am meisten geschockt!
Welche Einstellungen wären richtig? Danke für einen Tipp!
ConsentPromptBehaviorAdmin = 5
Du solltest bei den Einstellungen zu den Benutzerkonten den Regler wenigstens auf Position 2 einstellen.
Aber um das klarzustellen: Die UAC ist keine echte Hürde für Malware. Sie kann sowohl in eingeschränkten Konten aktiv werden als auch sich höhere Rechte verschaffen. Alles längst Praxis. Aber man muss ihr ja keinen roten Teppich ausrollen.
Das hat mich am meisten geschockt!
Mich hat der Updatestand mehr erschreckt, denn mindestens zwei wichtige Plugins sind veraltet. Das ist schwerwiegender als die lasche UAC.
Hallo IRON67
Es hat zwar lange gedauert, aber hier sind jetzt die beiden OTL-Dateien, die ich auf dem Kirchencomputer erstellt habe.
Es wäre nett, wenn du dir das noch einmal anschauen könntest. Schonungslose Kommentare ;-) werden nicht unter den Teppich gekehrt ...
https://rapidshare.com/files/356950176/Extras.Txt
https://rapidshare.com/files/1951046646/OTL.Txt
Gruß, Wolfgang
- PRC - [2011.12.23 14:07:20 | 000,881,144 | ---- | M] (Iminent) -- C:\Programme\Iminent\Iminent.Messengers.exe
- PRC - [2011.12.23 14:07:20 | 000,445,416 | ---- | M] (Iminent) -- C:\Programme\Iminent\Iminent.exe
Will man nicht haben. Deinstallieren.
- FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
- O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ... (Java Plug-in 1.6.0_29)
- "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
Die Plugins Java, Flash (für IE) und Adobe Reader sind veraltet und bilden dadurch eine Angriffsfläche für Drive-by-Infektionen beim bloßen Aufrufen entsprechend präparierter Webseiten.
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0...
Veraltet hoch drei! Aktuell ist 14.0.1.
[2011.01.24 18:31:15 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
Mal bei www.virustotal.com , www.virscan.org oder http://virusscan.jotti.org/de hochladen und testen lassen.
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
Aktuell ist 3.4.
Das System ist schlecht gepflegt.
Danke für die schnelle Einschätzung!
Das System ist schlecht gepflegt.
Das weiß ich - einige Programme werden nicht benutzt und deshalb auch nicht upgedatet (z.B. FF und OpenOffice). "Iminent" habe ich gestern schon deinstalliert, weil mir der Name im Zusammenhang mit den "Sexanzeigen", Anlass dieses Threads, aufgefallen war. Werde mich mal um die angesprochenen anderen Punkte kümmern.
Noch einmal dir, IRON67, und allen anderen Interessierten an diesem Thread, vielen Dank für das Engagement!!!
Gruß, Wolfgang