Hallo zusammen,
einige von euch kennen sicher die App Microsoft Mahjong. Wenn ich die App geöffnet habe und mit dem Spiel beginne, öffnet sich seit gestern mein Browser und lädt dubiose Webseiten. Gestern war es zweimal eine Seite, die mir mitteilte, dass mein Windows beschädigt worden sei und ich zur "Reparatur“ des Systems unten einen Button anklicken solle. Das habe ich natürlich nicht getan, sondern sofort die Seite geschlossen.
Heute hat zweimal mein Virenscanner mit folgender Meldung Alarm geschlagen: >Webseite gesperrt. G Data Internet Security hat den Zugriff auf diese Webseite verweigert. Die Seite enthält infizierten Code: HTML.Trojan-Ransom.TechSupportScam.AJ<
Ich habe die Adresse der Seite herauskopiert, aber hier nicht eingefügt, damit keiner auf die Idee kommt, den Link anzuklicken.
Ich habe aus der Adresse u.a. folgende Erkenntnisse gewonnen:
- Da die ellenlange Adresse mit >http://www.microsoft.com< beginnt, ist möglicherweise ist eine Microsoft-Webseite gekapert worden.
- Die bösen Buben haben erkannt, dass mein Browser Firefox 67, mein BS Win10-64Bit und mein Provider die Deutsche Telekom ist. Das stimmt alles. Ach ja, die Stadt in der ich wohne, kennen sie auch.
Eben habe ich G Data meinen ganzen Rechner auf Viren überprüfen lassen – Gott sei Dank ohne Fund. Und mein Windows ist auch nicht beschädigt worden. Mahjong werde ich nicht mal mehr mit der Kneifzange anfassen, wahrscheinlich aber deinstallieren.
Hat jemand eine Idee, was ich noch tun sollte?
Seite 1 von 1
Microsoft Mahjong verlinkt zu offensichtlich infizierten Webseiten
Anzeige
#2
geschrieben 02. Juni 2019 - 14:51
Lass noch Malwarebytes drüberlaufen. https://winfuture.de...chalt,3152.html
Ansonsten noch einmal mit einem Live-System starten.
Ansonsten noch einmal mit einem Live-System starten.
#3
geschrieben 02. Juni 2019 - 14:57
Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
#4
geschrieben 02. Juni 2019 - 15:05
Interessant. Es soll sich nicht um lokale Schadsoftware auf dem PC handeln.
Dazu passt natürlich auch die Meldung von G Data.
Schaden kann es natürlich auch nicht, zur Sicherheit Malwarebytes gratis arbeiten zu lassen.
Dazu passt natürlich auch die Meldung von G Data.
Zitat (stichling: 02. Juni 2019 - 14:42)
Heute hat zweimal mein Virenscanner mit folgender Meldung Alarm geschlagen: >Webseite gesperrt. G Data Internet Security hat den Zugriff auf diese Webseite verweigert. Die Seite enthält infizierten Code: HTML.Trojan-Ransom.TechSupportScam.AJ<
Schaden kann es natürlich auch nicht, zur Sicherheit Malwarebytes gratis arbeiten zu lassen.
#5
geschrieben 02. Juni 2019 - 15:34
Hi,
Malwarebytes hat zwei Funde gemeldet:
1. Trojan.Agent.Trace in >HKLM\SOFTWARE\CLASSES\WR<
und
2. PUP.Optional.Conduit in >C:\USERS\[Mein Name]APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YJA0RGN6\DEFAULT\PREFS.JH<
Habe ich in die Quarantäne verschoben. Die hatte übrigens der Adwarecleaner, den ich davor laufen hatte, nicht entdeckt.
Danke für die Hinweise.
Malwarebytes hat zwei Funde gemeldet:
1. Trojan.Agent.Trace in >HKLM\SOFTWARE\CLASSES\WR<
und
2. PUP.Optional.Conduit in >C:\USERS\[Mein Name]APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YJA0RGN6\DEFAULT\PREFS.JH<
Habe ich in die Quarantäne verschoben. Die hatte übrigens der Adwarecleaner, den ich davor laufen hatte, nicht entdeckt.
Danke für die Hinweise.
#6
geschrieben 02. Juni 2019 - 15:45
Zitat (stichling: 02. Juni 2019 - 14:42)
- Da die ellenlange Adresse mit >http://www.microsoft.com< beginnt, ist möglicherweise ist eine Microsoft-Webseite gekapert worden.
nicht zwingend... viel zu aufwändig.
Im Regelfall ist das eine 2nd oder 3rd Level Subdomain die nur auffällt wenn man genau hinschaut. Denn hinter "microsoft.com" wird vermutlich kein
/stehen sondern ein
.NOCHVIELMEHR
#7
geschrieben 02. Juni 2019 - 15:53
Zitat (stichling: 02. Juni 2019 - 15:34)
C:\USERS\[Mein Name]APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YJA0RGN6\DEFAULT\PREFS.JH<
Habe ich in die Quarantäne verschoben.
JH, oder JS?
Evtl hast Du Deine Firefox-Einstellungen komplett gekillt (falls JS). Wirf in dem Fall mal einen Blick in die fragliche Datei. Unschönigkeiten sollten da drin sofort auffallen.
.JH wäre natürlich Käse.
Dieser Beitrag wurde von RalphS bearbeitet: 02. Juni 2019 - 15:53
#8
geschrieben 02. Juni 2019 - 16:24
Es war nicht jh sondern js. Aber ich hatte gestern mit Firesave eine Sicherung gemacht. Die habe ich jetzt zurückgespielt und der Fuchs läuft wie geschmiert.
Gruß stichling
Gruß stichling
Dieser Beitrag wurde von stichling bearbeitet: 02. Juni 2019 - 16:25
#9
geschrieben 06. Juni 2019 - 20:02
Oh weh.
Ja, es passiert immer wieder, dass Werbelinks auch "spezielle" Seiten aufmachen. Die sind nicht halb so schädlich, wie man denkt. Man sollte nur nichts anklicken.
Die Daten "Internet Provider/Stadt und Browser/OS" werden nur auf dem PC angezeigt.
Wobei wir aber wieder beim "Firefox" sind. IE oder Edge hätten das Script wahrscheinlich erst gar nicht geöffnet.
Tipp: Wenn sich so eine Seite auftut, den Taskmanager starten und den Brower dort schließen. Damit auch wirklich nichts aktiviert wird.
Ja, es passiert immer wieder, dass Werbelinks auch "spezielle" Seiten aufmachen. Die sind nicht halb so schädlich, wie man denkt. Man sollte nur nichts anklicken.
Die Daten "Internet Provider/Stadt und Browser/OS" werden nur auf dem PC angezeigt.
Wobei wir aber wieder beim "Firefox" sind. IE oder Edge hätten das Script wahrscheinlich erst gar nicht geöffnet.
Tipp: Wenn sich so eine Seite auftut, den Taskmanager starten und den Brower dort schließen. Damit auch wirklich nichts aktiviert wird.
Thema verteilen:
Seite 1 von 1