WinFuture-Forum.de: Microsoft Mahjong verlinkt zu offensichtlich infizierten Webseiten - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Microsoft Mahjong verlinkt zu offensichtlich infizierten Webseiten


#1 Mitglied ist offline   stichling 

  • Gruppe: aktive Mitglieder
  • Beiträge: 99
  • Beigetreten: 01. Oktober 16
  • Reputation: 3

geschrieben 02. Juni 2019 - 14:42

Hallo zusammen,

einige von euch kennen sicher die App Microsoft Mahjong. Wenn ich die App geöffnet habe und mit dem Spiel beginne, öffnet sich seit gestern mein Browser und lädt dubiose Webseiten. Gestern war es zweimal eine Seite, die mir mitteilte, dass mein Windows beschädigt worden sei und ich zur "Reparatur“ des Systems unten einen Button anklicken solle. Das habe ich natürlich nicht getan, sondern sofort die Seite geschlossen.

Heute hat zweimal mein Virenscanner mit folgender Meldung Alarm geschlagen: >Webseite gesperrt. G Data Internet Security hat den Zugriff auf diese Webseite verweigert. Die Seite enthält infizierten Code: HTML.Trojan-Ransom.TechSupportScam.AJ<

Ich habe die Adresse der Seite herauskopiert, aber hier nicht eingefügt, damit keiner auf die Idee kommt, den Link anzuklicken.

Ich habe aus der Adresse u.a. folgende Erkenntnisse gewonnen:

- Da die ellenlange Adresse mit >http://www.microsoft.com< beginnt, ist möglicherweise ist eine Microsoft-Webseite gekapert worden.
- Die bösen Buben haben erkannt, dass mein Browser Firefox 67, mein BS Win10-64Bit und mein Provider die Deutsche Telekom ist. Das stimmt alles. Ach ja, die Stadt in der ich wohne, kennen sie auch.

Eben habe ich G Data meinen ganzen Rechner auf Viren überprüfen lassen – Gott sei Dank ohne Fund. Und mein Windows ist auch nicht beschädigt worden. Mahjong werde ich nicht mal mehr mit der Kneifzange anfassen, wahrscheinlich aber deinstallieren.

Hat jemand eine Idee, was ich noch tun sollte?
0

Anzeige



#2 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.254
  • Beigetreten: 09. Februar 12
  • Reputation: 370

geschrieben 02. Juni 2019 - 14:51

Lass noch Malwarebytes drüberlaufen. https://winfuture.de...chalt,3152.html

Ansonsten noch einmal mit einem Live-System starten.
0

#3 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 18.872
  • Beigetreten: 19. August 04
  • Reputation: 1.161

geschrieben 02. Juni 2019 - 14:57

Hängt vielleicht damit zusammen:

https://answers.micr...94-d43cff7bd7ab
Nutella hat nur sehr wenig Vitamine.
Deswegen muss man davon relativ viel essen.
0

#4 Mitglied ist offline   Doodle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.254
  • Beigetreten: 09. Februar 12
  • Reputation: 370

geschrieben 02. Juni 2019 - 15:05

Interessant. Es soll sich nicht um lokale Schadsoftware auf dem PC handeln.

Dazu passt natürlich auch die Meldung von G Data.

Beitrag anzeigenZitat (stichling: 02. Juni 2019 - 14:42)

Heute hat zweimal mein Virenscanner mit folgender Meldung Alarm geschlagen: >Webseite gesperrt. G Data Internet Security hat den Zugriff auf diese Webseite verweigert. Die Seite enthält infizierten Code: HTML.Trojan-Ransom.TechSupportScam.AJ<


Schaden kann es natürlich auch nicht, zur Sicherheit Malwarebytes gratis arbeiten zu lassen. :)
0

#5 Mitglied ist offline   stichling 

  • Gruppe: aktive Mitglieder
  • Beiträge: 99
  • Beigetreten: 01. Oktober 16
  • Reputation: 3

geschrieben 02. Juni 2019 - 15:34

Hi,

Malwarebytes hat zwei Funde gemeldet:

1. Trojan.Agent.Trace in >HKLM\SOFTWARE\CLASSES\WR<

und

2. PUP.Optional.Conduit in >C:\USERS\[Mein Name]APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YJA0RGN6\ DEFAULT\PREFS.JH<

Habe ich in die Quarantäne verschoben. Die hatte übrigens der Adwarecleaner, den ich davor laufen hatte, nicht entdeckt.

Danke für die Hinweise.
0

#6 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 13.512
  • Beigetreten: 08. April 06
  • Reputation: 591

geschrieben 02. Juni 2019 - 15:45

Beitrag anzeigenZitat (stichling: 02. Juni 2019 - 14:42)

- Da die ellenlange Adresse mit >http://www.microsoft.com< beginnt, ist möglicherweise ist eine Microsoft-Webseite gekapert worden.


nicht zwingend... viel zu aufwändig.

Im Regelfall ist das eine 2nd oder 3rd Level Subdomain die nur auffällt wenn man genau hinschaut. Denn hinter "microsoft.com" wird vermutlich kein
/
stehen sondern ein
.NOCHVIELMEHR

0

#7 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.704
  • Beigetreten: 20. Juli 07
  • Reputation: 1.079

geschrieben 02. Juni 2019 - 15:53

Beitrag anzeigenZitat (stichling: 02. Juni 2019 - 15:34)


C:\USERS\[Mein Name]APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YJA0RGN6\ DEFAULT\PREFS.JH<

Habe ich in die Quarantäne verschoben.


JH, oder JS?

Evtl hast Du Deine Firefox-Einstellungen komplett gekillt (falls JS). Wirf in dem Fall mal einen Blick in die fragliche Datei. Unschönigkeiten sollten da drin sofort auffallen.

.JH wäre natürlich Käse.

Dieser Beitrag wurde von RalphS bearbeitet: 02. Juni 2019 - 15:53

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#8 Mitglied ist offline   stichling 

  • Gruppe: aktive Mitglieder
  • Beiträge: 99
  • Beigetreten: 01. Oktober 16
  • Reputation: 3

geschrieben 02. Juni 2019 - 16:24

Es war nicht jh sondern js. Aber ich hatte gestern mit Firesave eine Sicherung gemacht. Die habe ich jetzt zurückgespielt und der Fuchs läuft wie geschmiert.

Gruß stichling

Dieser Beitrag wurde von stichling bearbeitet: 02. Juni 2019 - 16:25

0

#9 Mitglied ist offline   IXS 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.043
  • Beigetreten: 04. Dezember 12
  • Reputation: 192

geschrieben 06. Juni 2019 - 20:02

Oh weh.

Ja, es passiert immer wieder, dass Werbelinks auch "spezielle" Seiten aufmachen. Die sind nicht halb so schädlich, wie man denkt. Man sollte nur nichts anklicken.
Die Daten "Internet Provider/Stadt und Browser/OS" werden nur auf dem PC angezeigt.
Wobei wir aber wieder beim "Firefox" sind. IE oder Edge hätten das Script wahrscheinlich erst gar nicht geöffnet.

Tipp: Wenn sich so eine Seite auftut, den Taskmanager starten und den Brower dort schließen. Damit auch wirklich nichts aktiviert wird.
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0