Links werden unerwünscht umgeleitet

Wenn ich irgendeinen Link aus einer Email oder einer Website anklicke, werde ich neuerdings oft auf eine der beiden Seiten
http://parking.supernova-advertising.com/?PHPSESSID=00a1789b0142f1360142f136ff5e8764#p1504327
oder
http://search.gutscheinfilter.de/?PHPSESSID=00a2890f0145121e0145121eff5d76f0
umgeleitet.
Norton Internet Security Online schlägt keinen Alarm!
Was kann das sein? Ist irgendetwas in meinem PC gehackt?

Konfiguration: PC, Windows7 HP, 64bit, Firefox 19.0.2

Bitte Hilfe
Rolf

 

Mach mal einen Scan mit Malwarebytes.
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

 

Danke, sehr gute Idee: Foxit Reader hat einen Trojaner eingeschleust.
Die Frage für mich ist, wieso hat Norton das nicht erkannt??

 

weil:
- alle Antivirenprogramme der Malware-Entwicklung, also neuer Malware, immer hinterher rennen sowie
- alle Antivirenprogramme auch bekannte Malware, also alte Malware, nicht alle durchgängig erkennen

Insofern ist die Installation eines Antivirenprogramms eine Verzweiflungstat ohne substanziellen Mehrwert.

Tipp: Es gibt wirkungsvollerer Maßnahmen gegen Malware als die Installation eines Antivirenprogramms. Erkundige dich danach.

 

Nein. Du hast eine veraltete, aufgrund von seit langem bekannten Sicherheitslücken angreifbare Version dieses alternativen PDF-Readers verwendet und damit ein manipuliertes PDF-Dokument geöffnet.

EINGESCHLEUST wurde die Malware über dieses Dokument, das du aus einer unseriösen Quelle hast, egal ob nun Mailanhang oder Webseite.

 

Das kann sein, wobei ich PDFs sicher nicht aus unseriösen Quellen habe. Werde den PDF-Reader neu downloaden.

Aber dieser Trojaner bewirkt nicht den Aufruf von Werbeseiten, wie in meinem ersten Posting beschrieben, denn der Trojander ist jetzt beseitigt, aber die Werbeseiten werden noch immer anstelle der erwarteten Seiten aus dem Link aufgerufen. Im Gegenteil, es ist noch eine andere Adresse dazugekommen.

Gibt es da keine Abhilfe?? Bitte aber keine Antworten, wie "setze das System neu auf..."

 

Wie kommst du dann zu der Einschätzung, dass die Malware über den Foxit Reader eingeschleust wurde? WENN es Malware war und diese über eine PDF-Lücke eingeschleust wurde, dann muss die manipulierte PDF-Datei ja IRGENDWO herkommen.

Andernfalls hast du wohl gar keine konkreten Anhaltspunkte und deine Vermutung war reiner Zufall. Alternativ käme nur noch eine Installation eines Browser-Hijackers in Frage und sowas handelt man sich generell sehr leicht ein, wenn man bei beliebigen Installationspaketen aus Ungeduld darauf verzichtet, die benutzerdefinierte Installationsvariante zu verwenden, wo man solche unerwünschten Beigaben abwählen könnte.

DAS bezweifle ich mal. Eine solche Aussage könntest du nur machen, nachdem du dein System komplett neu aufgesetzt hast und das ist wohl bis jetzt nicht der Fall. Daher darfst du getrost davon ausgehen, dass die Malware weiterhin aktiv bzw. dein PC kompromittiert ist.

Das ist aber die einzig vernünftige, die es gibt. Lies dich mal schlau und erweitere deinen Horizont.

 

ganz einfach: malwarebytes hat den Trojaner bei Foxit gefunden. Siehe Logfile von malwarebytes: "C:\Program Files (x86)\Foxit Software\Foxit Reader\Foxit Updater.exe (Trojan.Passwords.LD) -> Delete on reboot."

Meinst Du?? Nach dem Rebooten hat malwarebytes aber nichts mehr gefunden. Aber wenn weiterhin Websites aufgerufen werden, die ich nicht veranlasst habe, wird mir wohl nichts anderes übrig bleiben.

 

Siehe? Du tust ja so, als hätte ich das schon wissen müssen. Ich sehe außer diesem Zitat aber hier kein angehängtes Logfile, das du uns hochgeladen hättest. In dem Fall kannst du sogar von einem FEHLALARM ausgehen, sofern dein Foxit damals aus einer seriösen Quelle stammte.

Ich vermute mal, dass das mit deinem Foxit, sofern dessen Installation länger zurückliegt, gar nichts zu tun hat sondern eine Folge einer erst kürzlich stattgefundenen anderen Softwareinstallation war. Wenn du mit Infos allerdings weiter so sparsam bleibst, kann man dir nicht helfen.

 

Sorry, Ich kenne den Sprachgebrauch in diesem Forum noch nicht. Wußte nicht, dass "siehe" heißt, dass man irgendetwas downloaden muß. Das Zitat aus dem Logfile war doch ausreichend. Andere Informationen bietet das Logfile nicht.

Kann ich mir nicht vorstellen. Ich habe jetzt Foxit deinstalliert und von der Original-Site neu heruntergeladen und installiert. Vor dem Neuinstallieren von FoxitReader hat Malwarebytes keine Trojaner gefunden. Aber danach wurden Links wieder nicht direkt aufgerufen, sondern irgendwelche Werbeseiten. Erneutes Scannen mit Malwarebytes brachte den gleichen Trojaner-Befall.
Auszug aus dem Logfile:
Files Detected: 1
E:\Users\Internet\AppData\Local\Temp\Foxit Updater.exe (Trojan.Passwords.LD) -> Quarantined and deleted successfully.

Bisher hat noch niemand konkrete Fragen gestellt. Was wollt ihr denn wissen? Bin gern bereit, weitere Fragen zu beantworten. Vielleicht könnt Ihr mir doch helfen, den PC wieder sauber zu bekommen, ohne ihn neu aufzusetzen.

BTW: weiß jemand, wass dieser Trojaner bewirkt?? VirusTotal kennt diesen Trojaner nicht. Im MalwarebytesForum wird geschrieben, dass es sich um false positive handelt. Heißt das, ich brauche mir keine Gedanken mehr zu machen?

 

Da irrst du vermutlich. Nur weil du dort keine siehst, heißt das nicht, dass erfahrenere Leute nicht welche sehen. Es kommt oft auf wirklich unscheinbare Details an und die finden wir eher als du.

Dann bleibt eigentlich nur noch die banalste aller Ursachen übrig:
Das Installationspaket oder "Bundle" enthielt neben dem FoxitReader unerwünschte Beigaben eines Werbepartners, sog. Adware, die du hättest ABWÄHLEN können, wenn du eine benutzerdefinierte Installation gewählt hättest. Statt dessen hast du eilig auf JA, WEITER, AKZEPTIEREN, OK geklickt und das wars dann.

Das ist ein Browser-Hijacker. Er kann je nach Variante auf deinem PC nachträglich den Inhalt der besuchten Webseiten zwecks Werbeeinblendung manipulieren, deine Suchmaschine ändern oder beeinflussen, deine Startseite ändern usw.

False positive ist englisch für Fehlalarm.

Nein. Jage mal AdwCleaner mit der Option Löschen über deine Kiste. Wirst dich wundern.