Nieuw virusmalware infecteert Firefox of is het iets anders? - Privacy en beveiliging

vrijdag 9 november 2012 11:06

Acties:

Topicstarter

Het begint mij op te vallen dat willekeurige woorden binnen een kolom txt in Firefox ineens "klikbaar" worden:

Afbeeldingslocatie: http://i1243.photobucket.com/albums/gg549/JMHoomans/WTF-1.jpg

Afbeeldingslocatie: http://i1243.photobucket.com/albums/gg549/JMHoomans/WTF-1.jpg

Als ik de cursor boven het onderstreepte woord plaats gebeurt het volgende:

Afbeeldingslocatie: http://i1243.photobucket.com/albums/gg549/JMHoomans/WTF2.jpg

Afbeeldingslocatie: http://i1243.photobucket.com/albums/gg549/JMHoomans/WTF2.jpg

De link in de pop-up verwijst door naar een site waar het invullen van een 'enquete' met een e.v.t. te claimen iPad beloond zou worden... (sure)

Tijdens het aanmaken van dit topic gebeurde het weer:

Afbeeldingslocatie: http://i1243.photobucket.com/albums/gg549/JMHoomans/WTF5.jpg

Ik heb geprobeerd dit tegen te gaan door de cache van Firefox te legen, mijn laptop met MS Security Essentials te scannen én een online scan met Bitdefender uit te voeren, maar dat heeft niet geholpen. Het herinstalleren van Firefox loste ook niets op...

Wat mag dit zijn? Een virus? Spam of Malware in de vorm van opdringerige reclame?

Wust um yn 'e moele ha? :p

vrijdag 9 november 2012 11:10

Acties:

Ryan_

Zijn er stiekem geen vreemde add-ons ingeladen?

vrijdag 9 november 2012 11:14

Acties:

John Stopman

Topicstarter

Niet dat ik zo kan zien.

Enkel twee extensies:

- Bitdefender Quickscan

- Test Pilot 1.2.2 van Mozilla

Wust um yn 'e moele ha? :p

vrijdag 9 november 2012 11:15

Acties:

Ryan_

Probeer Firefox eens in veilige modus op te starten. Kijken of het probleem zich dan nog voor doet.

vrijdag 9 november 2012 11:19

Acties:

John Stopman

Topicstarter

Hoe doe ik dat?

Ik installeer meestal geen links van programma's in start -> menu

Wust um yn 'e moele ha? :p

vrijdag 9 november 2012 11:19

Acties:

DataGhost

iPL dev

Staat er ook extra code om (in dit geval) bijv. het woord 'vallen' in de source van de pagina? Zo ja, kan je dan eens met Wireshark ofzo sniffen en de pagina F5'en? Zo wordt al iets duidelijker welke kant op gezocht moet worden.

Gebeurt het trouwens ook op beveiligde pagina's?

[ Voor 10% gewijzigd door DataGhost op 09-11-2012 11:25 ]

vrijdag 9 november 2012 11:20

Acties:

Ryan_

Klik boven in het Firefox-venster op de knop Firefox, ga naar het menu Help en selecteer Herstarten met uitgeschakelde add-ons. Firefox zal opstarten met het dialoogvenster Firefox Veilige modus.

Voor Windows XP: klik op het menu Help en selecteer Herstarten met uitgeschakelde add-ons.

vrijdag 9 november 2012 11:28

Acties:

John Stopman

Topicstarter

Veilige modus is geactiveerd, maar de reclame lijkt nu even weg te zijn

Ik zal jullie adviezen uittesten (Ryan_) en uitzoeken (DataGhost) zodra ik het weer tegenkom

Wust um yn 'e moele ha? :p

vrijdag 9 november 2012 13:56

Acties:

Tracking Cookie

Ik ben ditzelfde probleem eerder tegengekomen bij een kennis, bleek om een plugin + bijbehorende spyware te gaan. Ik meen me te herinneren dat het zoiets als Giant Savings/Savings Buddy heette (ben het ook onder andere namen tegen gekomen).
Een scan met MBAM (MalwareBytes: Anti Malware) verhielp het probleem.

[ Voor 10% gewijzigd door Tracking Cookie op 09-11-2012 13:58 ]

vrijdag 9 november 2012 14:09

Acties:

John Stopman

Topicstarter

Bedankt!

Hopelijk werkt het

Edit:

Er werd een object gevonden:

Malwarebytes Anti-Malware 1.65.1.1000

Databaseversie: v2012.11.09.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
CENSORED :: CENSORED-PC [administrator]

9-11-2012 14:29:56
mbam-log-2012-11-09 (14-53-10).txt

Scantype: Volledige scan (C:\|)
Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scanopties: P2P
Objecten gescand: 290858
Verstreken tijd: 22 minuut/minuten, 29 seconde(n)

Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Slecht: (0) Goed: (1) -> Geen actie ondernomen.

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

(einde)

'PUM.Hijack.StartMenu'

Zou dat het dan zijn (geweest)

[ Voor 97% gewijzigd door John Stopman op 09-11-2012 14:59 ]

Wust um yn 'e moele ha? :p

vrijdag 9 november 2012 15:11

Acties:

Tracking Cookie

Een snelle zoektocht op Google geeft:
"If Malwarebytes picks up “PUM.Hijack.StartMenu” during a system scan, this is why:

PUM.Hijack.StartMenu – PUM stands for Potentially Unwanted Modification. There is no way of telling if you modified the start menu or if a program or spyware did. You can have Malwarebytes fix the problem if you worried about it."

http://www.spotnblog.com/...cts-pum-hijack-startmenu/

Dat lijkt hem dus niet te zijn, misschien hebben ze een nieuwe manier gevonden zichzelf te verbergen voor de virusvangers.

Wat je nog zou kunnen controleren:
- Staan er onbekende plugins in de lijst in Firefox (Add-ons -> Plugins tab)
- Staan er onbekende programma's op je computer (Control Panel-> Uninstall a Program)

vrijdag 9 november 2012 15:19

Acties:

Cloud

FP ProMod

Ex-moderatie mobster

Ik ben dezelfde tegengekomen bij een klant van me. Was wel IE maar exact hetzelfde soort popups. Bij hem bleken er nogal wat addons in te staan, dus het lijkt me slim om even serieus naar de lijst met addons & plugins van Firefox te kijken. Desnoods plaats je beide lijsten hier

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

vrijdag 9 november 2012 15:27

Acties:

John Stopman

Topicstarter

Tracking Cookie schreef op vrijdag 09 november 2012 @ 15:11:Wat je nog zou kunnen controleren:
- Staan er onbekende plugins in de lijst in Firefox (Add-ons -> Plugins tab)
- Staan er onbekende programma's op je computer (Control Panel-> Uninstall a Program)

Er staan geen onbekende plugins in de lijst en er zijn ook geen onbekende programma's geïnstalleerd.

Ik heb trouwens geen last meer van deze ongewenste pop-ups, ...vreemd

Misschien werkt deze malware slechts tijdelijk op een PC om zodoende identificatie door AV bedrijven te ontlopen?

Edit: nog bedankt voor alle reacties

[ Voor 3% gewijzigd door John Stopman op 10-11-2012 12:37 ]

Wust um yn 'e moele ha? :p

maandag 12 november 2012 17:27

Acties:

Cthulhu

Carpe Noctem

Had hetzelfde, heb geen addons geinstalleerd de laatste tijd, zal ze eens uitzetten
Wel vreemd, gebeurde opeens een paar dagen geleden, daarvoor nergens last van

See you in the Galaxies Far, Far Away ....

dinsdag 13 november 2012 13:16

Acties:

Saffie_time

Why use this? 42!

Tracking Cookie schreef op vrijdag 09 november 2012 @ 13:56:
Ik ben ditzelfde probleem eerder tegengekomen bij een kennis, bleek om een plugin + bijbehorende spyware te gaan. Ik meen me te herinneren dat het zoiets als Giant Savings/Savings Buddy heette (ben het ook onder andere namen tegen gekomen).
Een scan met MBAM (MalwareBytes: Anti Malware) verhielp het probleem.

Hier gisterenavond bij iemand op de laptop hetzelfde probleem gevonden. Met MBAM het niet eraf gehaald.
Vanavond nog maar een poging wagen met wat meer tijd en drastischere maatregelen.

Het blijkt inderdaad Giant Savings te heten, de boosdoener.

Edit:
Zowel met up to date IE en Chrome geen rare addons geinstalleerd staan.

[ Voor 5% gewijzigd door Saffie_time op 13-11-2012 19:43 ]

If the thickness of a pizza is A, and its radius is Z, and pi is just PI, then its volume is V = PIZZA

dinsdag 13 november 2012 13:59

Acties:

Chaos-Zero

Sega fan!

Ook ik heb er last van terwijl ik nooit last heb van dit soort dingen. Snap ook niet hoe het er op gekomen is. Ben al dagen lang aan het uitzoeken wat het is want ik stoor me er enorm aan.

PSN: MoodChange | Steam: Chaos_Zero89

vrijdag 16 november 2012 22:57

Acties:

Verwijderd

Kijk eens onder firefox webdeveloper voor 2 dingen bekijk de code die aan het woord is toegevoegd "hierplaatsen :)" even googlen op die code en verder kijken of er nog niet standaard tools bij webdeveloper staan.

zaterdag 17 november 2012 17:50

Acties:

JKP

[ Voor 145% gewijzigd door JKP op 11-06-2024 13:05 ]

maandag 19 november 2012 12:41

Acties:

LnC

The offending line...

Download en run eens ADWCleaner (Top Tool!

)
Grote kans dat je misschien nog zooi vind die andere progjes niet vinden.

Let wel op, na op de knop delete gedrukt te hebben, boot je systeem gelijk opnieuw op. Dus sluit eerst alles af eer je op delete drukt. Je krijgt nadat je windows opnieuw is opgestart een log (.txt) met gevonden / verwijdere dingen.

donderdag 29 november 2012 17:09

Acties:

williewonka03

ik heb exact hetzelfde probleem. ben nu malwarebyte en andere tools in deze thread proberen.
Hoe had OP het uiteindelijk gefixed?

EDIT: nou ik heb mbam en die ander tool gedraaid en er werd idd paar dingen gevonden. heb computer herstart, maar helaas is het probleem er nog steeds. ik doe nu een volledige scan ipv quick scan met mbam

[ Voor 62% gewijzigd door williewonka03 op 29-11-2012 18:22 ]

maandag 3 december 2012 02:21

Acties:

EricJH

Bij (vermoeden) van besmetting is het altijd raadzaam om naast je virusscanner ook met meerdere andere scanners te scannen:
Hitman Pro
Malwarebytes Antimalware
Super Antispyware
TDSS Killer (anti rootikit scanner)

vrijdag 8 maart 2013 12:19

Acties:

John Stopman

Topicstarter

Ik heb wederom last van de door mij eerder beschreven malware en nu infecteert het ook een nieuwe, blanco tabblad in Firefox:

Afbeeldingslocatie: http://i1243.photobucket.com/albums/gg549/JMHoomans/Ballen_zpse5d57fb6.jpg

Afbeeldingslocatie: http://i1243.photobucket.com/albums/gg549/JMHoomans/Ballen_zpse5d57fb6.jpg

Afbeeldingslocatie: http://i1243.photobucket.com/albums/gg549/JMHoomans/GeenBallen_zps5ee31c8f.jpg

in de adresbalk is het volgende internetadres zichtbaar:

code:

1	http://websearch.pu-results.info/

Ik denk dat het programma genaamd "VaudiX(.exe)" welke ik van deze website downloadde, de malware installeert....

VaudiX(.exe) is een plug-in waarmee video's in een webpagina bekeken zouden kunnen worden. Na installatie bleek ik alsnog een DivX plug-in nodig te hebben. Lekker vaag allemaal

NB: het programma kon alleen in 'Programma's en Onderdelen' verwijderd worden, terwijl het zich presenteerde als een plug-in voor Firefox??

[ Voor 15% gewijzigd door John Stopman op 08-03-2013 13:33 . Reden: Typo ]

Wust um yn 'e moele ha? :p

vrijdag 8 maart 2013 12:59

Acties:

Verwijderd

dutch666 schreef op vrijdag 08 maart 2013 @ 12:19:
VaudieX is een plug-in waarmee video's in een webpagina bekeken zouden kunnen worden.

Maar goed, VaudiX is nu ge-deinstalleerd en het probleem is opgelost?

@hieronder. Het gaat me niet om de typo, ik vind het verbazend dat mensen nog steeds trappen in "U heeft magische X CODEC nodig om deze video af te spelen, klik hier om te downloaden"

Firefox meld als er een plugin ontbreekt voor de content op de pagina;
Afbeeldingslocatie: http://www.ghacks.net/wp-content/uploads/2011/04/missing-plugins-570x444.png

Afbeeldingslocatie: http://www.ghacks.net/wp-content/uploads/2011/04/missing-plugins-570x444.png

en om te checken of al je plugins up to date zijn; https://www.mozilla.org/nl/plugincheck/

[ Voor 44% gewijzigd door Verwijderd op 08-03-2013 17:51 ]

vrijdag 8 maart 2013 13:21

Acties:

John Stopman

Topicstarter

Een typo is vreselijk, eh

Gelukkig schaam ik mij daar niet voor

Het deïnstalleren van VaudiX lost niets op. In Firefox waren echter (nog) twee extensies geïnstalleerd die verantwoordelijk voor de spam zijn:

Afbeeldingslocatie: http://i1243.photobucket.com/albums/gg549/JMHoomans/Clipboard01_zps2b54cd92.jpg

Afbeeldingslocatie: http://i1243.photobucket.com/albums/gg549/JMHoomans/Clipboard01_zps2b54cd92.jpg

Na het verwijderd te hebben is nu ook de spam weg

[ Voor 17% gewijzigd door John Stopman op 08-03-2013 13:33 ]

Wust um yn 'e moele ha? :p