Drive By Download was nun?

[AMDHippster]

Hallo zusammen,

als ich gerade die Seite heise.de oder vielleicht war es auch computerbase, wo ich auch drauf war auf meinem Windows 10 Laptop aufgerufen hatte, wurde irgendwas heruntergeladen. Also ein Drive By Download. Ich habe es gleich gesehen und Windows Defender die Datei überprüfen lassen. Die Meldung war, das eine niedrige Bedrohung vorliegt. Ich habe dann auf Maßnahme durchführen oder wie das hierß gedrückt. Als ich nach ein paar Sekunden die Datei immer noch im Downloads Ordner gesehen hatte, habe ich sie selbst in den Papierkorb getan und diesen dann geleert.

Ergänzung (21. Dezember 2022)

Kurz darauf wurde mir auch vom Defender geasgt das er fertig ist. Jetzt mache ich damit noch einen vollständigen Scan.

Im Browser hatte ich mich dann noch aus einem Forum abgemeldet und diesen geschlossen.

Ergänzung (21. Dezember 2022)

Das war kurz nachdem ich den vollständigen Scan gestartet habe.

Ist das Thema jetzt erledigt wenn der Defender nichts findet? Ich kann auch keine merkwürdigen Services im Taskmanager sehen.

Ergänzung (21. Dezember 2022)

Im Zuverlässigkeitsverlauf ist auch nichts zu sehen.

Ergänzung (21. Dezember 2022)

Sollte ich Firefox neuinstallieren oder kann sich der Schädling sonst noch irgendwo aufhalten?

 

[madmax2010]

viele worte, keine Infos

Ich habe es gleich gesehen

was hast du genau gesehen

und Windows Defender die Datei überprüfen lassen.

welche datei

Die Meldung war, das eine niedrige Bedrohung vorliegt

welche art bedruhung

. Ich habe dann auf Maßnahme durchführen

und welche Maßnahme war das?

was wurde gefunden?
welche meldungen hast du gesehen?
wenn du das nicht weisst, mac halt platt

 

[kartoffelpü]

Ein Drive-by-download ist ja erstmal nichts anderes als ein normaler Download. Solange du die Datei nicht versucht hast auszuführen, passiert nichts.

 

[Fujiyama]

Im Zweifel die Möhre platt machen, so zumindest die Vorgehensweise bei Befall oder einem Verdacht.

 

[chrigu]

Deshalb ist ein werbeblocker so wichtig. Ublock Origin unterdrückt solche werbe pup/crapware sehr gut.

 

[AMDHippster]

viele worte, keine Infos

was hast du genau gesehen

welche datei

welche art bedruhung

und welche Maßnahme war das?

was wurde gefunden?
welche meldungen hast du gesehen?
wenn du das nicht weisst, mac halt platt

Ich habe beim Seitenaufruf von heise.de plötzlich gesehen wie ein Download eingeblendet wurde. Da stand glaube ich auch als Größe 0Kb.

Ich weiß nicht mehr wie das hieß. Ich bin gleich in den Download Ordner und habe das mit Rechter Maustaste Windows Defender scannen lassen.

Ich habe keinen Screenshot der konkreten Meldung dazu. Denn ich habe es gleich aus dem Ordner gelöscht und den Papierkorb geleert.

Und nein ich habe die Datei nicht ausgeführt.

Ich wundere mich nur, ich habe gerade in der Chronik von Firefox geschaut, aber dieser Download wird mir nicht angezeigt.

Normalerweise müsste der noch da stehen. Oder Windows Defender hat auch da gelöscht. Wäre mal interessant.

Klar könnte ich neuinstallieren, aber das wollte ich eigentlich vermeiden.

Es tut mir leid nicht gleich umfangreiche Screeshots gemacht zu haben, aber da denkt man in solchen Situationen nicht dran.

 

[Eletron]

Wenn der Defender etwas gemacht hat, dann zeigt er das auch an.

 

[AMDHippster]

Genau das erstaunt mich auch. Er zeigt mir etwas von einem Videokonverter an, aber das ist schon einige Wochen her. Das hatte ich damals als Ausnahme hinzugefügt. Das kann ich sowohl im Defender im Schutzverlauf sehen als auch unter C/ProgramData/ und hier irgendwo eine log Datei, steht im Netz

https://www.tecchannel.de/a/bedrohungsverlauf-im-defender-bereinigen,3278111

Ergänzung (21. Dezember 2022)

Konnte er das vielleicht gar nicht in irgendeinen Log schreiben, weil ich die Datei dann zeitgleich gelöscht hatte?

Ergänzung (21. Dezember 2022)

Deshalb ist ein werbeblocker so wichtig. Ublock Origin unterdrückt solche werbe pup/crapware sehr gut.

Ich weiß, ich habe tatsächlich gerade keinen mehr drauf, weil ich ja mit der Kaspersky Entfernung den von Kaspersky auch entfernt habe. Allerdings hatte ich bei anderen PCs in der Familie und auch bei einem Windows und einem Linux Test PC immer Ghostery genommen. Wobei der Effekt der Verringerten Werbung kaum bemerkbar war und dann auch zunehmend Seiten Probleme damit hatten. Da funktionierten dann irgendwelche Formulare oder so nicht. Oder man konnte sich die Seite gar nicht erst ansehen. Dann habe ich das wieder deinstalliert und es ist auch nie was passiert.

 

[DieRenteEnte]

uBlock ist Pflicht, immer, überall.
Ghostery kannst du zusätzlich installieren.

Außerdem solltest du bei allen Browsern einstellen, dass Downloads nicht automatisch durchgeführt werden sollen, sondern (der Speicherort) vorher erfragt werden muss.

 

[AMDHippster]

Also das ist bei dem Scan herausgekommen. Nur das bisher bekannte. Nicht den Drive By Download. Der scheint weg zu sein.

Ergänzung (21. Dezember 2022)

Habe jetzt UBlock Origin installiert.

 

[chrigu]

Aha, videoconverter bei Chip. De?

 

[AMDHippster]

Ich habe den Videokonverter vor 5 Jahren oder mehr heruntergeladen und immer danach aus der exe instaliert. Der hat auch eine YT Downloadfunktion die aber schon seit Jahren nicht mehr geht. Ich denke das hier diese Webfunktion die ich eh nicht nutze da erkannt wird.

Ergänzung (22. Dezember 2022)

Kann sein das dich den bei Chip De damals heruntergeladen hatte, sicher bin ich mir aber nicht.

 

[Happyday]

Hallo AMDHippster,
benutze bitte AdwCleaner, lass in durchlaufen, wenn er etzwas findet kanst du es bereinigen lassen.
Wenn du dir nicht sicher bist wegen den ergebnissen bist dann zeig mir das Log,


PUA / PUP können oder wollen sich Antimalware Herstellern nicht einigen.
Manchmal könnte man verzweifeln,eine ganze Branche in Uneinigkeit.

Zwar ist der Begriff PUA / PUP eindeutig, nur die Zuweisung funktioniert nicht,
es gibt weder eine Gemeinsame Datenbank noch ein gemeinsames Vorgehen.

So kann es sein das einige Hersteller Programm X als PUA/PUP sehen und löschen möchten,
und andere Hersteller Programm X als sicher ansehen.

PUA ist eine "potentiell unerwünschte Anwendung"
und PUP
PUP ist ein potenziell unerwünschtes Programm

Bitdefender schreibt dazu:

Was ist eine PUA oder PUP? Prävention und Entfernung​

OpenCandy ist ein Adware - Modul und ein potenziell unerwünschtes Programm,
und in deinem Fall wurde versuch mehre also ein Bündel zu installieren.

Freemaker sehe ich nicht nicht als Problemmatisch an
virus total scan freemaker video converter 0 schädliche erkennung

Wie ich bereits geschrieben habe, benutze einmal den Adwcleaner,
falls irgendetwas in browser oder Registery verändert wurde durch PUA bundel opencandy
kannst du es damit entfernen, desweiteren bietet dir der Cleaner an brower und internet einstellungen auf standart zu sezen ohne etwas kaputt zu machen.

​

 

[User007]

Hi...

Hier wird (leider) wohl aus Unkenntnis mal wieder etwas als grundsätzlich vorausgesetzt:

1. Drive-By-Downloads sind immer böse!
2. PUP (Potentiell unerwünschte Programme) sind immer böse!

Beides ist pauschal mitnichten so - und wenn auch PUPs wahrscheinlich eher, wie die Bezeichnung schon benennt, unerwünscht sind, sind sie auch erstmal nicht immer grundsätzlich schädlich.
Hier wird halt als Adware "CandyOpen" identifiziert und nur als "niedrige Bedrohung" zugeordnet und dementsprechend braucht auch nicht gleich in Panik verfallen werden.
Suchlauf mit bereits angesprochenem AdwCleaner oder Malwarebytes durchführen und fertig.​

 

[Happyday]

Drive-By-Downloads ist ein unbeabsichtigtes oder unbewustet herunterladen,
wird nartürlich gerne von Angreifern. Es muss sich dabei nicht um eine böse Webseite handeln,
eine seröse Webseite sollte so etwas nicht benutzen.

PUP und PUA sind auch nicht grundsätzlich böse, das stimmt.
Und hatte ich oben auch angedeutet, das ist eine Definition von Sicherheits Firmen aber auch von
Malwareentfernern.

Definition zum Beispiel wie diese werden und sind auch als nicht okay zu bezeichen:
*Veränderungen in den Browser : z.b man hat auf einmal werbung oder eine andere Startseite,
ohne das der user das wollte.
*Programme die zusätzlich zu dem eigentlichen Programm installiert werden.
*Durch Mainpulation gibt der Browser/oder deine Internetverbindung daten an andere weiter.
*In den letzen Jahren gelten auch als PUP/PUA auch Software die den PC optimieren wollen/sollen,
Unabhängig davon ob sie wirklich Schadsoftware im eigentlichen Sinne sind.
So kann es zum beispiel sein, das ein AV Hersteller der einen eigenen Optimierer hat, nur
den Optimierer von einem anderen AV Hersteller als PUP/PUA erkennt.

Es gibt noch einige andere Beispiele, das währe ein langes Gespräch

 

[AMDHippster]

Ich wollte eigentlich den PC jetzt offline Scannen mit einem Live System. Das von Eset scheint aber nicht so zu funktionieren. Obwohl ich das Windows dann mit shutdown /s /t 0 heruntergefahren hatte, sagte der das die Partition nur im Lesemodus, was ja aber auch reichen würde eingehängt werden kann.

Sollte ich vielleicht mal die Kaspersky Rescue CD testen, oder sollte man jetzt von Kaspersky eher Abstand nehmen.

Ergänzung (22. Dezember 2022)

Oder gibt es von Malwarebytes auch eine Live Lösung?

 

[User007]

Sollte ich vielleicht mal die Kaspersky Rescue CD testen, [...]

Das ist für diesen Anwendungsfall (PUP ist kein Virus!) eigtl. eher nicht nötig - nichtsdestotrotz mag natürlich das System durchaus gern mal einem kompletten Scan unterzogen werden, auch (oder gerade 😉), wenn man ansonsten (nur) den M$ Defender nutzt. ☝️​

Oder gibt es von Malwarebytes auch eine Live Lösung?

Nein, und das ist auch nicht nötig - der Einsatz des installationslosen Programms ist regulär im laufenden Betrieb vorgesehen.​

Btw.:

[...], wird nartürlich gerne von Angreifern.

Na, was denn - fehlt da nicht am Ende des Satzes das Entscheidende?

[...] als nicht okay zu bezeichen [...]

Tolle Formulierung! 😂

Definition zum Beispiel wie diese [...]
Es gibt noch einige andere Beispiele [...]

Und trotzdem sind das alles nur "Kann"-Beispiele und nicht zwingend ein Muß und immer!

 

[AMDHippster]

Ich lasse gerade den Scan von eset rescue disk laufen. Ich hatte nur nicht kapiert das man bis auf cdrom alle Laufwerke anhaken musste.

 

[AMDHippster]

Der log von Eset:

Scan-Log
Version der Erkennungsroutine: 24280 (20211112)
Datum: 22.12.2022 Uhrzeit: 14:33:40
Gescannte Laufwerke, Ordner und Dateien: /media;
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Microsoft/WindowsApps/GameBarElevatedFT_Alias.exe - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Microsoft/WindowsApps/Microsoft.DesktopAppInstaller_8wekyb3d8bbwe/python.exe - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Microsoft/WindowsApps/Microsoft.DesktopAppInstaller_8wekyb3d8bbwe/python3.exe - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Microsoft/WindowsApps/Microsoft.DesktopAppInstaller_8wekyb3d8bbwe/winget.exe - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Microsoft/WindowsApps/Microsoft.MicrosoftEdge_8wekyb3d8bbwe/MicrosoftEdge.exe - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Microsoft/WindowsApps/Microsoft.XboxGamingOverlay_8wekyb3d8bbwe/GameBarElevatedFT_Alias.exe - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Microsoft/WindowsApps/MicrosoftEdge.exe - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Microsoft/WindowsApps/python.exe - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Microsoft/WindowsApps/python3.exe - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Microsoft/WindowsApps/winget.exe - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Mozilla/Firefox/Profiles/z4fd0dk2.default-release/cache2/entries/F768B98030F5D17C96C12E118169EDD7613497AF = GZIP = F768B98030F5D17C96C12E118169EDD7613497AF - Fehler beim Entpacken
/media/eset/LocalDisk-sda4/Users/Username/AppData/Local/Packages/Microsoft.Microsoft3DViewer_8wekyb3d8bbwe/LocalCache - öffnen nicht möglich: [4]
/media/eset/LocalDisk-sda4/Program Files (x86)/Freemake/Freemake Video Converter/FMCommon/ConverterCommon/BrowserPlugin.dll - eine Variante von MSIL/Freemake.A potenziell unerwünschte Anwendung - beibehalten
/media/eset/LocalDisk-sda4/Program Files (x86)/Freemake/Freemake Video Converter/FMCommon/ConverterCommon/FreemakeConverterCommon.dll - eine Variante von MSIL/Freemake.A potenziell unerwünschte Anwendung - beibehalten
/media/eset/LocalDisk-sda4/System Volume Information/{432f4f37-7b16-11ed-8bb1-fc459640fbbd}{3808876b-c176-4e48-b7ae-04046e6cc752} - Dateigröße überschreitet zulässigen Höchstwert
/media/eset/LocalDisk-sda4/hiberfil.sys - Dateigröße überschreitet zulässigen Höchstwert
Gescannte Objekte: 996150
Anzahl der Ereignisse: 2
Anzahl gesäuberter Objekte: 0
Abgeschlossen: 17:10:44 Benötigte Zeit: 9424 Sek. (02:37:04)

Hinweise:
[4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem.

Ergänzung (22. Dezember 2022)

Sollte ich vielleicht mal die Kaspersky Rescue CD testen, oder sollte man jetzt von Kaspersky eher Abstand nehmen.

Hat da jemand vielleicht eine Meinung dazu?

 

[purzelbär]

Du hast verschiedene Optionen: entweder du belässt dein System so wie es jetzt ist, der Eset Scanner hat ja auch nichts gefunden was er bereinigt/gelöscht hätte. Oder du scannst nochmal dein System mit der Kaspersky Rescue Disk und schaust ob der was findet und bereinigt. Oder du machst hier mit Scannern Schluß und lässt das System so wie es ist. Eine andere Option wäre: Datensicherung machen und Windows 10(vermute ich)sauber neu zu installieren dannn haste ein reines Gewissen. Auf jeden Fall solltest du für alle Browser unbedingt uBlock Origin benutzen und ich rate dir auch: fang endlich damit an Systembackups/images zu machen auf eine externe USB Festplatte und das bitte regelmässig und nicht mal alle halbe Jahre eines. Ich mach das ungefähr alle 2 Wochen mal. Dafür benutze ich Aomei Backupper als kostenlose Jahreslizenz: https://www.deskmodder.de/blog/2022...fessional-kostenlos-fuer-euch-bis-24-05-2023/ Der Vorteil liegt auf der Hand: ein Systembackup/image ist um ein vielfaches schneller aufgespielt mit dem Boot Medium des Backup Programms als Windows neu zu installieren und einzurichten.