OnMyOwn

Unerwünschte Yahoo Mail-Weiterleitung & nicht schließbare Explorer.exe-Installationsanfrage - PC infiziert?

Recommended Posts

Ich habe zwei unterschiedliche Probleme, die aber zusammenhängen könnten und vielleicht auf eine Infektion meines PCs hinweisen.

Seit einigen Tagen habe ich ein Problem mit Yahoo Mail: Wenn ich mich einlogge, werde ich kurz darauf auf eine Warnungsseite umgeleitet, die von Targo zu sein scheint. Wenn ich die Seite verlassen und mich nochmals bei Yahoo Mail eingeloggt habe, erschien die Warnung nicht mehr. Loggte ich mich später erneut bei Yahoo Mail ein, erschien die Warnung wieder. Zuletzt erschien statt der Warnung eine Gewinnbenachrichtigung. Auch hier habe ich die Seite verlassen und mich neu eingeloggt. Ein Malware-Scan mit EIS fand keine suspekten Objekte.

Das Problem tauchte sowohl mit Firefox als auch mit Internet Explorer auf. Ich habe nun alle Cookies und temporären Internetdateien gelöscht und gestern bei Firefox zudem Adblock Plus installiert. Mit Firefox erscheint die Warnung/Benachrichtigung nun auch nicht mehr. Gestern Abend habe ich die Festplatte C: vollständig (Eigener Scan) von EIS scannen lassen und es wurde keine Schadsoftware gefunden.

Allerdings erschien heute plötzlich auf meinem PC, ohne dass ich irgendein Programm heruntergeladen hätte, von Windows (ich nutze Windows 7) folgende Installationsanfrage:

Benutzerkontensteuerung

Möchten Sie zulassen, dass durch das folgende Programm von einem unbekannten Herausgeber Änderungen an diesem Computer vorgenommen werden?

Programmname: explorer.exe

Herausgeber: Unbekannt

Dateiursprung: Festplatte auf diesem Computer

Programmpfad: "C:\User\[benutzername]\AppData\Local\Temp\Low\explorer.ex[ab hier abgeschnitten]
        C:\User\[benutzername]\AppData\Local\Temp\Low\radA667C..."



Ich habe daraufhin "Nein" angeklickt, wurde aber gleich darauf erneut gefragt. Das Fenster ließ sich einfach nicht schließen und ging sofort wieder auf. Ich konnte nur über STRG+Alt+Entf den Task-Manager öffnen, kam aber auch hier nicht weiter, da der Bildschirm durch die Installationsanfrage ständig gesperrt war.

Schließlich habe ich den PC neu gestartet und innerhalb der letzten Stunden ist es nicht erneut aufgetaucht. Ein erneuter Malware-Scan mit EIS gerade eben fand wieder nichts.

Irgendeine Ahnung, was da los sein könnte? Ist der PC infiziert? Bin dankbar für jede Hilfe.

Share this post


Link to post
Share on other sites

Hi und Herzlich Willkommen beim Emsisoft Support Forum!

Systemscan mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Bitte beide Logfiles in der nächsten Antwort anhängen.

Share this post


Link to post
Share on other sites

Die Weiterleitung hatte ich bei Firefox und beim Internet Explorer. Dann hab ich Adblock Plus bei Firefox installiert, mich mit Firefox bei Yahoo Mail angemeldet (diesmal ohne Weiterleitung) und hatte später plötzlich diesen Installer oder was das war. Seitdem war ich nicht mehr auf der Yahoo-Seite. Wollte erst mal abwarten, was ihr empfehlt. Das Problem ist seither nicht mehr aufgetaucht, was aber wahrscheinlich daran liegt, dass ich mich nicht mehr bei Yahoo Mail angemeldet habe.

Share this post


Link to post
Share on other sites

Also in den Logs sehe ich nichts. Aktuell scheinen da auch ziemlich viele Yahoo User Probleme zu haben, ich hab allein in den letzten beiden Wochen dutzende Themen dazu gefunden.

Bitte mal mit installiertem Adblocker nochmal testen. Ich glaube das Problem liegt hier auf der Yahoo-Seite.

Share this post


Link to post
Share on other sites

Ja, dass es mit Yahoo Probleme gibt, habe ich auch gesehen.

 

Gestern Abend habe ich mich mit Firefox, bei dem ich einen Adblocker installiert habe, bei Yahoo Mail angemeldet. Es fand wieder keine Weiterleitung statt. Die Installationsanfrage kam auch nicht, aber ich habe den PC auch nach einer Stunde heruntergefahren. Muss ich weiter testen und beobachten.

 

Sollte der Surfschutz von EIS solche Weiterleitungen und Installer nicht erkennen und unterbinden?

Share this post


Link to post
Share on other sites

Mittlerweile scheint bestätigt dass es ein Yahoo-Problem ist. Website Weiterleitungen werden nicht geblockt. Sollte aber ein Download von der Seite stattfinden, der dann ausgeführt wird, grätschen wir rein.

Zu der Explorer Meldung kann ich ohne einen Screenshot und genauere Details leider nur schwer was sagen.

Share this post


Link to post
Share on other sites

Danke für die Rückmeldung. Mit Firefox und Adblocker sieht es soweit gut aus, keine Weiterleitung mehr.

 

Zur Explorer-Geschichte: Ich hab davon ein Foto gemacht, es steht wirklich nur das da, was ich oben geschrieben habe. EIS hat gerade den wöchentlichen Malware-Scan durchgeführt und diesmal genau dieses Teil auch entdeckt. Ich habe es jetzt erst mal in Quarantäne verschoben. Entdeckt wurde:

 

C:\Users\[benutzername]\AppData\Local\Temp\Low\radA667C.tmp.dll   Gen:Variant.Razy.63832 (B)

 

Habe die Datei jetzt auch über EIS eingesandt. Bleibt die Frage, was genau das ist und wie ich mit dem Fund weiter verfahren soll.

Share this post


Link to post
Share on other sites

Hi,

scheint ne DLL von einer der Weiterleitungen zu sein. Kannste die Datei in Quarantäne zippen und zusätzlich nochmal hier anhängen?

Share this post


Link to post
Share on other sites

Ich habe jetzt mal alle versteckten Ordner und Dateien anzeigen lassen, aber unter dem Dateipfad hab ich diese DLL nicht gefunden. Dafür habe ich in dem Ordner aber die Anwendung "explorer" gefunden, die wenige Minuten, bevor die Installationsanfrage kam, angelegt wurde. Screenshot ist angehängt. Soll ich das Ding mal zippen und anhängen? Ist das ungefährlich? Die Zip-Datei danach einfach komplett löschen?

 

Dazu muss ich sagen, dass ich den Adblocker schon in Verwendung hatte, als ich mir das Teil eingefangen habe. Yahoo Mail leitet dadurch vielleicht nicht mehr weiter, aber derartige Sachen kann man sich wohl trotzdem noch ungewollt auf den Rechner ziehen.

post-43470-0-32365000-1466411127_thumb.jpg
Download Image

Share this post


Link to post
Share on other sites

Hi,

 

Missverständniss, sorry. Diese Datei wurde ja bei einem Scan gefunden:

 

C:\Users\[benutzername]\AppData\Local\Temp\Low\radA667C.tmp.dll   Gen:Variant.Razy.63832 (B)

 

Somit auch in die Quarantäne verschoben. Diese Datei bitte zippen und anhängen.

Share this post


Link to post
Share on other sites

Hi,

 

also die explorer.exe ist sauber, die andere Datei ist genau das, was auch angezeigt wurde. Um zu 100 % zu sagen, was dort ablief, müsste man das mit der gleichen Weiterleitung nachstellen. Ich gehe aber davon aus, dass unser Behavior Blocker die Datei kurz nach der Windows Meldung geblockt hätte, da sie erst dann aktiv geworden wäre. Und der Blocker setzt ja auch dann erst an.

Share this post


Link to post
Share on other sites

Kann ich die Explorer.exe-Datei löschen? Ich will nicht, dass die wieder was versucht.

 

Den Befund selbst untersucht ihr noch?

 

Die Installationsanfrage ließ sich ja leider einfach nicht schließen, der Behavior Blocker ist da irgendwie nicht eingeschritten. Und auch die anschließenden Scans haben das Teil erst nicht erkannt. Ist wohl noch relativ neu? Muss ich da eventuell was anders einstellen? Ich verwende eigentlich die empfohlenen EIS-Einstellungen und habe nichts weiter verändert.

Share this post


Link to post
Share on other sites

Die im Temp Ordner kann gelöscht werden. Der Befund ansich ist ja schon untersucht, da er mittlerweile auch eine Signatur aufweist. Es könnte wirklich daran liegen dass er zu dem Fehlerzeitpunkt noch sehr neu war.

 

Der Behavior Blocker hätte aber meiner Meinung nach eingeschritten, wenn die Windows Meldung sich nicht aufgehängt hätte, aber sicher sagen können wir es leider nicht, da bräuchten wir den genauen Link der Weiterleitung.

Share this post


Link to post
Share on other sites

Zur Weiterleitung kam es an dem Tag ja nicht mehr, deshalb kann ich euch da leider gar nicht weiterhelfen. Es sei denn, man kann das irgendwie in Firefox oder Adblock Plus auslesen, da wüsste ich aber nicht, wie.

 

Kann ich den Fund in der Quarantäne von EIS löschen lassen?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.