Frage wegen einem Exploit !

Emir_Cengic_51474d · 8. November 2019 um 23:34

Hallo Gemeinde !

http://www.winju.de/Gifs/alarmmeldung.jpg

Kann mir jemand evtl.sagen wie oder mit was ich das Teil finde.
Habe das bei einem Bekannten auf dem Rechner als Meldung sobald Firefox aufgerufen wird.Das ist aber nur so,wenn er im eingeschränkten Benutzermodus den aufruft.
Wenn ich den Rechner im Adminmodus starte und Firefox starte,ist das nicht der Fall.Habe mittels allen möglichen Tools nach dem Teil gescannt,und auch mal soweit ich in der Meldung den Ordner der das beinhalten soll durchsucht,aber da wird nichts gefunden.Dateisuche über Win.findet das Teil auch nicht obwohl ich alle Dateierweiterungen usw. sichtbar habe.Wo könnte sich der Dreck versteckt haben.
Mich würde mal interressieren,wo man sowas sonst noch finden könnte.
Habe denn Rechner jetzt vom Netz,bis ich das mal nachverfolgen kann,dann wird wieder das saubere Backup draufgespielt.

Danke im voraus für die Infos

Hinterw_ldler_37172f · 8. November 2019 um 23:34

Hallo Emir von Freiburg

http://www.winju.de/Gifs/alarmmeldung.jpg

Kann mir jemand evtl.sagen wie oder mit was ich das Teil
finde.

Völlig problemlos! Da hast du was im Cache, was nicht für den FF sondern für den IÄ bestimmt ist.
Kannst lachen: Mozilla&Co machen damit überhaupt nichts…

Gehe nach http://prefbar.mozdev.org/installation.html und installiere die Preferences Toolbar einfach durch anklicken des Buttons.

Nach dem Neustart des FF schaltest du den Scanner mal kurz ab, sonst erzählt er dir irgend welchen Schwachsinn und klickst einfach auf den Button [Clear Cache] in der neuen Toolbar und fertig.

Jetzt kannst du den Scanner wieder aktivieren, wenn du willst. Du kannst aber auch nach http://virusscan.jotti.org/de/ gehen, die Tabelle im unteren Bereich der Page mal eine halbe Stnde lang beobachten, wobei du aller 15 Sekunden deinen Browser aktualisierst und in dieser Zeit mal wenig über das nachdenken, was du dort zusehen bekommst.

der hinterwäldler

Emir_Cengic_51474d · 8. November 2019 um 23:36

Hallo Manfred !

Alles wieder klar.Sollte man doch nicht glauben,das der Dreck für den IE,sich so nervig darstellt.Würde mich nur mal interressieren,wie das sich im eingeschränkten Nutzerprofil einnisten konnte,wo der Kollege nur den IE zum M$ patchen benutzt.Man lernt nie aus.Danke noch mal für die schnelle Lösung.

Schönen Tag aus Freiburg

Emir

Hinterw_ldler_37172f · 8. November 2019 um 23:37

Hallo Emir

Alles wieder klar.Sollte man doch nicht glauben,das der Dreck
für den IE,sich so nervig darstellt.Würde mich nur mal
interressieren,wie das sich im eingeschränkten Nutzerprofil
einnisten konnte,wo der Kollege nur den IE zum M$ patchen
benutzt.

Jein.

Dieser Dreck ist in irgend einer Page versteckt gewesen (Frage ihn mal, wo er war) und wurde beim Einlesen der Datenpackete durch den Browser mit genommen. Bei Mozilla&Co werden alle Dateiextensionen entfernt und er speichert „alles“ im Cache. Jetzt erst wird bei Mozilla&Co die Seite auf der Oberfläche aufgebaut. Dabei erkennt der Browser den Dateityp an seiner Struktur und Schwachsinn wird beim Aubau verworfen, verbleibt aber im Cache.

Ganz im Gegenteil der IÄ. Der versucht in der Default-Konfiguration erst einmal eine ausführbare Datei auszuführen … Daran hätte übrigens auch eine PFW vom Typ Symantec, ZA etc. kaum etwas geändert. Siehe auch http://www.dingens.org/pf-bericht/bericht.html

Darum ist die Benutzung des IÄ und seine Modifikationen so gefährlich. Auf Grund des Zonenmodells von Windows kann kein Mensch voraussagen, wo der Cracker eine Leckstelle enddeckt hat und angreift. Das kann nämlich in einem ganz anderen Modul des Systems sein.

Normalerweise darf der Browser nicht im System integriert sein. Dann wäre es auch einfach möglich, nach Feststellung einer Lücke diesen auszutauschen. Leider ist aber die Sachlage so wie hier http://www.avweb.de/Info/IE-Katastrophen.html beschrieben. Ob der angekündigte IE7 diese Bedingung erfüllt, ist fraglich und wird auch von mir bezweifelt.

der hinterwäldler