netloader.cc/run.js IP 140.99.93,175

  • Hallo und Guten Morgen zusammen!

    Seit gestern poppt nahezu sekündlich ein Fenster auf, das ESS eine Bedrohung erkannt und gesäubert hat. Die Bedrohung lautet:

    http://netloader.cc/run.js mit der IP 140.99.93.175

    In den Logs finde ich das hier, wenn das überhaupt dazu gehört:

    16.07.2012 19:34:47 Echtzeit-Dateischutz Datei C:\Users\Niels\AppData\Local\Mozilla\Firefox\Profiles\mha3kime.default\Cache\4\74\BB5D2d01 Win32/Adware.Facetheme.C Anwendung Gesäubert durch Löschen - in Quarantäne kopiert NB-BUNDB-01\Niels Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files\Mozilla Firefox\firefox.exe.

    Wenn ich dann in den Pfad schaue, dann stelle ich fest, das ab ...\Cache\4\74\ nichts mehr kommt, also das Verzeichnis BB5D2d01 gar nicht existent ist.

    Wie bekomme ich dieses Stück Schadsoftware denn nun wieder los? Ich habe eben nochmals Extra nachgesehen und habe keine Software (Kein Add-On, keine Extension) installiert auf dieses Facetheme hindeutet.

    Ich hoffe, das jemand helfen kann!

    Beste Grüße
    ciphercore

  • Hallo,

    bitte führe eine Tiefenprüfung des Systems durch. Das tust Du, indem Du im Programm auf "Computer prüfen > Prüfen mit speziellen Einstellungen" gehst, das Prüfprofil "Tiefenprüfung" wählst und anschließend auf "Einstellungen" klickst.
    Im Einstellungsfenster wählst Du bitte bei "Objekte" und "Methoden" alle Optionen an, sofern nicht schon geschehen und bestätigst mit "OK".

    Im Prüffenster setzt Du das Häkchen vor "Computer", sodass alles geprüft wird und klickst auf "Speichern", damit Du später diese Einstellungen wieder gleich bei einer Tiefenprüfung verwenden kannst.
    Anschließend startes Du den Scan mit "Als Administrator prüfen" und teilst mir bitte das Ergebnis mit, bzw. lässt im Auswahlbildschirm alle Bedrohungen löschen, ein Kopie geht immer auch in Quarantäne, sodass evtl. auch Dateien wieder hergestellt werden können.

    Vorher empfehle ich Dir noch, den Cache des Firefox zu leeren. Das kannst Du tun, indem Du (sofern schon vorhanden) entweder die entsprechende Option des CCleaners nutzt oder den FF öffnest und links oben auf das FF Symbol klickst und auf "Einstellungen > Einstellungen" gehst.

    Dort im Fenster gehst Du zu "Erweitert" und dort zum Tab "Netzwerk" und wählst jeweils die beiden Buttons "Jetzt leeren". Anschließend kannst Du noch zu "Allgemein" gehen und dort auf "Add-ons verwalten" klicken. Gehe die Liste durch und deaktiviere, was Dir verdächtig vorkommt.

    [UPDATE]
    Ich habe noch ein wenig recherchiert: http://allfacebook.de/beyond/browserplugin-facetheme das kannst Du mal gucken - außerdem habe ich gelesen, dass wohl bei der Installation vom Formatwandler "Super" dieses Facetheme mit installiert wird...

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Hallo,

    also ich habe alles so gemacht, wie Du angeraten hast. Die Tiefenprüfung habe ich 2mal durchlaufen lassen, bis alle Bedrohungen in der Quarantäne waren, aus welcher ich dann alle gelöscht habe. Zusätzlich habe ich in der Systemsteuerung geschaut, ob Super oder ähnliches vorhanden sind. Weder Facetheme ist als Add-On oder PlugIn installiert (FT war installiert, habe aber keine Ahnung wo das herkam, und wurde entfernt durch ESS), noch Super.

    Aber, die Meldung kommt nach wie vor. Was sollte ich als nächstes tun?

    Vielen Dank für Deine Hilfe

  • [EDIT]uweli1967: Bitte verstehe, dass ich Deine sicherlich nett gemeinten Links hier in diesem Teil des Forums nicht stehen lassen kann! Antwort siehe unten. Sorry! Tommi

    Avast Free Antivirus

  • ciphercore: Hast Du den Browser auch so "behandelt", wie ich das geschrieben habe? Es war übrigens nie die Rede davon, die Dateien aus der Quarantäne zu löschen! Ich brauche die Namen!!! :D
    Bitte folge den Hinweisen zum Browser und schaue im ESET Programm unter "Tools > Log-Dateien" in der Auswahl "Computer prüfen", was beim letzten Prüfergebnis gefunden wurde und benenne es!

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • [quote user="uweli1967" post="56612"][EDIT]uweli1967: Bitte verstehe, dass ich Deine sicherlich nett gemeinten Links hier in diesem Teil des Forums nicht stehen lassen kann! Antwort siehe unten. Sorry! Tommi[/quote]
    Das mit den Links mag ich ja noch verstehen Tommi, nicht aber das du derart "massiv" meinen Beitrag editiert hast :shock: was spricht denn dagegen das der User mit einem anderen OnDemandScanner oder mit einer Live Disk versucht sein System von einer Infizierung zu befreien die sich anscheinend nicht mit Eset entfernen lässt?
    @cliphercore
    Falls du die Infektion nicht mit Eset gelöscht bekommst, google mal wenn du möchtest nach Malwarebytes Free und/oder Kaspersky Rescue Disk 10, lade die runter und scanne damit mal dein System.

    Avast Free Antivirus

  • uweli1967 - die Infektion ist mit ESET behoben worden, offensichtlich existiert allerdings noch ein Browsereintrag oder Cookie, dass versucht, diese Verbindung aufzubauen - aus der Ferne ist das immer schlecht zu sagen, bei so spärlichen Infos.
    Dass ich Deinen Post editiert habe liegt daran, dass dies hier der ESET Supportbereich ist und es keinen Grund gibt, hier Tools zu verlinken, die keinen Deut hilfreich für ciphercore an dieser Stelle sind... ;)
    Danke für Dein Verständnis, ich schätze auch Deinen Eifer, ciphercore helfen zu wollen!

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Zitat

    Dass ich Deinen Post editiert habe liegt daran, dass dies hier der ESET Supportbereich ist und es keinen Grund gibt, hier Tools zu verlinken, die keinen Deut hilfreich für ciphercore an dieser Stelle sind...


    Und da könntest du einem Irrtum erliegen Tommi :wink: meine Frau hatte sich vor ein paar Wochen aus Versehen eine lästige Toolbar installiert mitsamt Umleitung zu MyStart.de in den Browsern Firefox und IE und obwohl ich die Toolbar mit IObit Uninstaller deinstallieren konnte, fand ihr ihr Virenschutz Programm AVG Free im Anschluß an die Deinstallation keine Reste mehr davon. Danach scannten wir ihr System mit besagtem Malwarebytes Free und das fand noch 2 Einträge/Reste dieser lästigen Toolbar die dann mit Malwarebytes Free gelöscht werden konnten. Mach dir mal die "Mühe" und schau mal im TrojanerBoard rein was da die Helfer unter anderem Usern empfehlen die sich solch eine lästige Toolbar eigehandelt haben. Nix gegen Eset :wink: , aber manchmal findet ein normales Virenschutz Programm nicht alle "Überbleibsel" von solchen Geschichten wie Toolbars.

    Avast Free Antivirus

  • Ok, einigen wir uns auf unentschieden! ;)

    [size=36]

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.
    [/size]

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!