Wie funktioniert eine Adware-Infektion in Firefox und wie wird sie entfernt?

514
Alan K

In den letzten Wochen habe ich folgendes mit Windows 8.1 und Firefox V44 gemacht. Die einzigen aktiven Add-Ons sind Adblock Plus, Flashblock und Norton Identity Safe:

  • Erstens meldet Norton Internet Security (was mich sicherstellt, dass alles grün ist und ein Hunky-Dory im Sicherheitsland ist), dass eine große Menge an ausgehendem Datenverkehr erkannt wird. Es fragt mich, ob ich Power Eraser ausführen möchte. Ich habe das zweimal gemacht. Der gesamte Beitrag von Power Eraser zur Sicherheit und zum Schutz von Sicherheitsfunktionen besteht darin, die alten Dateien von Office.exe (übrig geblieben von Office 2000, die ich entfernen durfte) und die Registrierungseinstellung, die das Laden von Profilen in Powershell ermöglicht, in den Griff zu bekommen . Ich habe mich seitdem nicht mehr damit beschäftigt.
  • Edit: Abgesehen davon, dass ich einen nervenaufreibenden Versuch unternommen habe, habe ich versucht, einen vollständigen Scan mit Norton durchzuführen, der sich jedoch weigerte. Ich habe Full Scan ausgewählt, Go ausgewählt und nichts ist passiert. Ich konnte auch nicht auf seine Optionen eingehen. Am Ende habe ich Nortons Diagostics ausgeführt und festgestellt, dass die Neuinstallation des Dings empfohlen wird. Toll, es zeigt mir Ozeane von "All OK Here" grün, und es wusste nicht einmal, dass es nicht richtig lief.
  • Plötzlich wird Firefox darauf aufmerksam machen, dass einige obszöne Pop-Up-Fenster blockiert wurden.
  • Einige schleichen sich immer noch durch und weisen mich in der Regel darauf hin (einschließlich der Details meiner Netzwerkverbindung), dass "Popup-Fenster aktiviert sind!" und dass ich Leute kontaktieren sollte, die mir dabei helfen werden. Andere sind angeblich Site Surveys von der Site, auf der ich mich befinde, die seltsamerweise alle gleich aussehen, selbst wenn es sich um völlig andere Websites handelt.

Dies scheint eine Größenordnung zu sein, wenn man einen bestimmten Ort betrachtet. smh.com.au.

Ich vermute, bin aber nicht sicher, dass die Popups, die durchschlüpfen, etwas mit diesem Flash-Element zu tun haben, das auf //partners.cmptch dot com verweist, das sich auf der Seite befindet:

Suspect Flash Element

Auf der gesamten Seite finde ich, dass bestimmte Wörter anklickbar sind, immer "powered by DNS Unlocker", wie zB:

DNS Unlocker Element

Häufig führt der Browser Skripts aus, die auf Akamai zeigen:

Akamai Script Lockup

Das Folgende ist im Detail der Teil meiner Frage, der sich von dem unterscheidet: "Wie kann ich bösartige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?" ein.

Hier ist der lächerliche Teil. Jemand, irgendwo, muss wissen, wie diese Sache tut, was es tut. Aber ich kann diese Informationen nicht finden. Jede Websuche enthält Links zum "Reparieren" von Adware. Diese Links stellen sich als Links zum Download heraus "Die beste Anti-Adware-Software der Welt!" das wird das magisch für Sie beheben. In den Fällen, in denen es einen sogenannten "manuellen" Fix gibt, werden Suchmaschineneinträge (von denen ich keine nicht standardmäßigen Einträge habe) oder die Startseite (die noch auf den Firefox-Standard gesetzt ist) entfernt oder der Browser zurückgesetzt ( was ich bereits getan habe, Firefox auf die Werkseinstellungen zurücksetzen, bevor die beiden oben genannten Add-Ons hinzugefügt werden.)

In meiner Verzweiflung habe ich schließlich ein Anti-Adware-Tool verwendet, das von mehreren PC-Magazinen empfohlen wurde. AdwCleaner v5.032.

Das hat es getan:

***** [ Files ] *****  [-] File Deleted : C:\WINDOWS\SysWOW64\vers  ... ***** [ Registry ] *****  [-] Key Deleted : HKLM\SOFTWARE\Classes\AppID\BHO.DLL [-] Key Deleted : HKLM\SOFTWARE\Classes\.bdcm [-] Key Deleted : HKLM\SOFTWARE\Classes\.bdcr 

Und das Ergebnis davon? Absolut nichts, als ich Firefox öffnete und zur SMH-Site zurückkehrte, begann alles wieder.

In weiterer Verzweiflung hoffe ich jetzt hier, dass jemand, dessen Wissen über Server, Browser und HTML und vieles mehr größer ist als meiner, mir eine Vorstellung davon geben kann, wie das geschieht und was ich tun kann, um einen Holzpfahl durchzubringen sein Herz ein für alle Mal.

Um ganz klar zu sein ... Ein Link wird in den Haupttext einer Webseite eingefügt ... Wie? Eine Flash-Komponente wird in eine solche Seite eingefügt (vorausgesetzt, dass dies hier passiert) ... wie? Ein Skript, das möglicherweise nicht Teil des realen Seiteninhalts ist, wird ausgeführt ... wie? Kurz gesagt, was ist der Mechanismus, durch den diese Infektionen auftreten? Es ist sicher, dass es nicht nur die Abfälle von Protoplasmen sind, die Viren verbreiten, die so etwas wissen. Menschen, die gegen diese Viren vorgehen, müssen sich ein wenig bemüht haben, die Mechanismen zu verstehen und daher auch, um sie zu verteidigen und sie zu besiegen.

1
@ DavidPostill: Nein, ist es nicht, weil ich auch frage, wie diese spezifischen Symptome generiert werden. Ich möchte den Feind verstehen, nicht einfach töten. Alan K vor 8 Jahren 0
Ohne genau zu wissen, was Sie infiziert hat, wie erwarten Sie die Antwort "Wie funktioniert das?"? DavidPostill vor 8 Jahren 1
@DavidPostill Meine Güte, ich weiß nicht, David, vielleicht weiß jemand, der sich mit solchen Dingen befasst hat, mehr als ich. Oder du. Ich habe eine ziemlich ausführliche Beschreibung der Symptome gegeben. Seltsamerweise können Ärzte in der Medizin tatsächlich etwas herausfinden, ohne den Erreger zuerst zu kennen. Aber kennzeichnen Sie diese "potenziellen Duplikate", denn auf dieser Site ist das eine Sache, die wirklich wichtig ist. Alan K vor 8 Jahren 0
@AlanK: Sie haben erklärt, warum dies in einem Kommentar kein Duplikat ist. Möglicherweise möchten Sie diese Informationen der Frage hinzufügen, da sich diese in der Überprüfungswarteschlange befindet. Zwei Anmerkungen: 1) Seien Sie nicht überrascht, wenn Ihre Frage für zu groß gehalten wird und stimmen Sie ab, um auf dieser Grundlage abzuschließen. Die Frage, wie all diese verschiedenen Mechanismen funktionieren, ist ziemlich groß. 2) Unter der Annahme, dass die Frage offen bleibt, werden Antworten in den Kommentaren zu Antworten abschrecken. Denken Sie daran, Ihren letzten Kommentar zu löschen. Ich sag bloß'. fixer1234 vor 8 Jahren 0
@ fixer1234: Ich habe die Frage dazu bearbeitet (siehe Editierhistorie), obwohl der Betreff der Frage selbst eher mit "wie es passiert" als mit "Wie wird behoben" beginnt. Ich suche nicht nach einer vollständigen Abhandlung über eine Virusinfektion, sondern eher darüber, von wem diese spezifischen Symptome ausgehen. Grundsätzlich möchte ich, dass jemand mit dem Wissen diesen dunklen Ort beleuchtet. Wenn die Frage geschlossen ist ... würde mich das nicht überraschen. Ihr Ratschlag über den Ton des Kommentars ist klug, aber ich weiß mit Sicherheit, dass ich nicht der einzige auf Stack Exchange bin, der an "Moderator-Müdigkeit" leidet. (Cont) Alan K vor 8 Jahren 0
@ fixer1234: Sie müssen nur die ständig wachsende Anzahl von Artikeln betrachten, die Sie finden, wenn Sie den Namen der Site mit einer vakuumbezogenen Aktion abfragen. Viele davon laufen auf "als potenzielles Duplikat geschlossen". "Geschlossen, da nicht klar ist, was gefragt wurde", obwohl jemand genau die Antwort gab, die er benötigt. "Warteschleife, weil Götter niemandem eine Meinung äußern sollten". Ich weiß, dass dies ein Meta-Problem ist, das eigentlich nicht in den Kommentaren enthalten sein sollte, aber dieser Ort scheint sich von einem Ort zu bewegen, an dem sich die Menschen gegenseitig helfen, zu einem Ort, der nur für die Durchsetzung von Regeln existiert. Alan K vor 8 Jahren 0

1 Antwort auf die Frage

2
adgelbfish

Your AdwCleaner logs indicate that you had something named BHO.DLL. A quick search for BHO.DLL indicates that BHO.DLL is spyware.

If AdwCleaner could not remove it, I would treat it with the severity of a virus (not plain old adware).

Therefore I would pick an answer from this community wiki. Although I hate to say it, the probable best answer is to restore windows.

Vielen Dank. Ich kann damit leben, wenn ich muss. Ich möchte aber gerne wissen, ob ich einen Einblick in die Mechanismen erhalten kann, wie dies geschieht. Die meisten Dinge, die Sie durch eine einfache Websuche finden können, aber aus irgendeinem Grund (möglicherweise die Tatsache, dass sie zu tief unter den "Antworten dieses Tools" genannten Antworten begraben sind), sind die Ursachen und Ursachen dieser Art von Infektion nicht der Fall einfach zu finden. ADWCleaner hat die Datei bho.dll entfernt. Dies ist etwas anderes, was dies verursacht. Alan K vor 8 Jahren 0
Es könnte sich um eine Umleitung Ihrer DNS handeln und Ihren gesamten Verkehr oder viele andere Dinge steuern. Ich würde vorschlagen, eine Kopie von Firefox Portable herunterzuladen und diese mit den folgenden Hinweisen auf [8.8.8.8 und 8.8.4.4] von [google] (https://addons.mozilla.org/en-US/firefox/addon/switchhosts/) und einzustellen erneut versuchen. Als Nächstes würde ich den gesamten Datenverkehr Ihres Browsers über einen beliebigen Proxyserver weiterleiten und sehen, ob er gelöscht wird. Versuchen Sie auch, ff zu setzen, um Windows-Proxy-Einstellungen unter Erweitert> Netzwerk nicht zu verwenden. adgelbfish vor 8 Jahren 0
@AlanK Ich würde gerne wissen, welche Methode sie verwenden. Wenn Sie möchten, können wir den Chat fortsetzen. adgelbfish vor 8 Jahren 0