PC infiziert oder normale Werbung?

Guten Morgen zusammen,

ich habe seit einiger Zeit ein etwas merkwürdiges Problem. Und zwar handelt es sich um folgendes Werbepopup:

Dieser tritt komischerweise NUR bei Facebook auf und auch dort nur sporadisch. Allerdings konnte mir bisher keine einzige andere Person bestätigen, dass er oder sie ebenfalls ein solches Werbefenster auf der facebook Homepage sieht.

Ein erster Systemcheck/Bereinung meines Notebooks mit Virenscanner, Spybot S&D, CC Cleaner brachte keine einzige Meldung, aber das Werbefenster tritt immer noch ab und zu auf.

Kann mir entweder jemand bestätigen, dass es sich hierbei tatsächlich um ein harmloses Werbefenster von facebook handelt (wonach es allerdings absolut nicht aussieht), oder was kann ich tun, damit ich dieses Ding wieder los werde?

Du meinst das chrome-Info-Fensterle unten links? Klingt für mich eher danach, dass irgendwelcher externer Inhalt in deiner Timeline angezeigt wird, auf den eins deiner Addons anspringt.

Nene, der Inhalt von diesem Werbefenster wird durch AdBlock dann irgendwie blockiert. Trotzdem geht dieses Popup auf.

Installier mal SpyBot - Search & Destroy und lass es durchlaufen. Sollte helfen

Normalerweise sollte S&D nicht gegen Browser-Erweiterungen vorgehen.

Ich denke der TE sollte sich das “Werbefenster” halt mal genau durchlesen und den Vorschlägen folgen (falls er den Inhalt sehen will). Ich glaube dagegen, dass der Rahmen aufpoppt, kann man nix machen.

Also funktioniert doch alles einwandfrei - und Chrome sagt dir bloß Bescheid, dass ABP da was nicht anzeigt. Die Benachrichtigung lässt sich bestimmt auch noch irgendwo ausblenden.

Ich glaube hier versteht einfach niemand was ich damit sagen will

Dass der Inhalt dieses Fensters weggeblockt wird ist vollkommen irrelevant. Es geht darum, dass hier ÜBERHAUPT ein Fenster aufploppt, dessen Ursprung mir absolut nicht klar ist. Der „X Hide Ad“ Button in der rechten unteren Ecke des Fensters wirkt für mich nicht seriös

Es ist sehr wahrscheinlich ein Spam Programm was auf anderen seiten Werbung schaltet mit Popups. SpyBot sollte dagegen helfen - wie ich gerade lese hast du das schon probiert, ohne erfolg.

Ich würde mal den Adblocker ausschalten um zu sehen was für eine Werbung das ist.

Ich muss diesen Thread mal kurz zweckentfremden, tut mir leid.

Seit heute Nacht erscheint auf Youtube immer wieder ein Pop-Up von Noscript, da steht sinngemäß drin “NoScript hat einen möglichen Cross-Site-Scripting-Versuch (XSS) von [http://www.youtube.com] gefiltert. Technische Details wurden in der Konsole protokolliert.”. Wenn ich jetzt in die Konsole schaue (als Techniklaie), scheint das alles, ähnlich wie hier, mit Googleapis zusammen zu hängen. Blockiere ich das über NoScript, taucht das Pop-Up nicht mehr auf. Geht’s hier einigen ähnlich?

Hab’ mein System schon gescannt, zumindest Antivir und Malwarebytes finden nichts.

Ich krieg die Meldung auch auf jeder Videoseite (watch?..) mit Firefox und NoScript. Wenn dieses beschissene Addon den Code, der das ganze triggert, auch irgendwie anzeigen würde, könnte man sagen ob eine Gefahr besteht. Ich tippe mal auf ein falsch positives Ergebnis des XSS Filters von NoScript, weil eine persistente XSS Lücke auf YT, die sich irgendwie auf in Videoseiten reinschmuggelt sehr unwahrscheinlich ist.

[EDIT]
Ok, die folgende URL (etwas formatiert) wird von NoScript als XSS Lücke empfunden

https://plus.googleapis.com/_/im/_/widget/render/comments?first_party_property=YOUTUBE&
href=http%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3Djl2xNWeujZs&
owner_id=YJ61XIK64sp6ZFFS8sctxw&
query=http%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3Djl2xNWeujZs&
stream_id=UCYJ61XIK64sp6ZFFS8sctxw&
substream_id=jl2xNWeujZs&
view_type=FILTERED&
width=590&
dl=true&
youtube_video_acl=PUBLIC&
hidefirsttimecommenterpromo=function%20()%7Bvar%20a%3D(0%2Cm.L)(%22dftcp%22)%3Ba%26%26m.S.hide(a)%7D&
hl=de_DE&origin=http%3A%2F%2Fwww.youtube.com&
gsrc=1p&
jsh=m%3B%2F_%2Fscs%2Fabc-static%2F_%2Fjs%2Fk%3Dgapi.gapi.en.bI438WBuHt0.O%2Fm%3D__features__%2Fam%3DIA%2Frt%3Dj%2Fd%3D1%2Frs%3DAItRSTNuPHIoFBjGmVBeSqIsgUIKEsrbzA#_methods=onPlusOne%2C_ready%2C_close%2C_open%2C_resizeMe%2C_renderstart%2Concircled%2Cdrefresh%2Cerefresh%2Conthumbsup%2Contimestampclicked%2Conupgradeaccount%2Confirsttimecommenter&
id=I0_1379499057294&parent=http%3A%2F%2Fwww.youtube.com&pfname=&rpctoken=18555835

Ich denke mal es geht hauptsächlich um diesen Teil, weil dort Javascript Code in der URL steht:

hidefirsttimecommenterpromo=function%20()%7Bvar%20a%3D(0%2Cm.L)(%22dftcp%22)%3Ba%26%26m.S.hide(a)%7D&

bzw. in decodierter Form:

hidefirsttimecommenterpromo=function (){var a=(0,m.L)("dftcp");a&&m.S.hide(a)}

In den meisten Fällen heißt JS Code in der URL auch XSS Attacke, aber ich sehe jetzt nichts schlimmes daran, keine externe Sachen die geladen werden o.Ä… Wie gesagt, wahrscheinlich einfach ein falsch positives Ergebnis von NoScript.

Wie gesagt, bei mir taucht das Problem auch bisher nicht wieder auf, solange ich die Adresse unter NoScript blockiert habe. Hab’s jetzt allerdings auch noch nicht wieder von der Liste genommen und kann daher nicht sagen, obs nicht vielleicht schon wieder behoben ist.

Betrifft das, außer uns, denn sonst niemanden, oder guckt hier nur keiner mehr rein? ^^ Auf Google selbst findest du, wenn du zu den entsprechenden Stichpunkten (NoScript, XSS, Youtube) eine Suchanfrage zu den letzten 24 Stunden startest, auch vereinzelte Forenbeiträge. Aber so richtig schlau, werd ich daraus auch nicht. Im Grunde steht da nur drin, dass man auf die Einschätzung der Leute warten sollte, die etwas Ahnung von dem Ganzen haben. ^^

[QUOTE=Caeshijque;324046]Wie gesagt, bei mir taucht das Problem auch bisher nicht wieder auf, solange ich die Adresse unter NoScript blockiert habe. Hab’s jetzt allerdings auch noch nicht wieder von der Liste genommen und kann daher nicht sagen, obs nicht vielleicht schon wieder behoben ist. [/QUOTE]
Das war wahrscheinlich eine Änderung über Nacht, weswegen es erst seitdem auftaucht. Javascript Code in URLs sieht man soweit ich weiß eigentlich echt selten und da ist es auch kein Wunder, dass der XSS Filter anspringt. Aber das scheint wie gesagt alles harmlos zu sein. Die Funktion die da übergeben wird ist imho kosmetischer Natur und nicht bösartig. Da es auch auf jeder Videoseite war, würde das bedeuten, dass irgendwie jemand was persistentes da reingehackt hat, was absolut unmöglich ist. Ich hab’ zumindest keine Bedenken weiterhin auf YT zu surfen, aber ich nutze eh keine solchen Addons.

[QUOTE=Caeshijque;324046]Betrifft das, außer uns, denn sonst niemanden, oder guckt hier nur keiner mehr rein? ^^ Auf Google selbst findest du, wenn du zu den entsprechenden Stichpunkten (NoScript, XSS, Youtube) eine Suchanfrage zu den letzten 24 Stunden startest, auch vereinzelte Forenbeiträge. Aber so richtig schlau, werd ich daraus auch nicht. Im Grunde steht da nur drin, dass man auf die Einschätzung der Leute warten sollte, die etwas Ahnung von dem Ganzen haben. ^^[/QUOTE]
Google liefert ein paar Ergebnisse, wie du bereits gesagt hast. Den meisten ist es wohl egal weil sie Google trauen und die Anderen haben vor lauter NSA Paranoia wahrscheinlich JS deaktiviert oder machen einen großen Bogen um Google.

Ich hatte den browser selber mal und hab ich jetz deswegen nochmal durch gegoogelt;

Mir scheint es als ob Chrome (Ich hasse den Browser) die Fehler selber verursacht. Ich hatte schon fälle das es auch Falschmeldungen gab nur Chrome hat dann auch angefangen zum zu spnnen.
Das ist mir auch irgentwann genug war mit “angeblich sicher und schnell”… bin ich Mozilla Nighly Nutzer und hab das Problem nicht mehr.

Fallst du seiten wie FB jetzt hast und die meldung irgentwann wieder erscheint als “Falschmeldung”, kann ja alles Passieren, alternativen gibts Immer, wenns dich weiterhin nervt.

Opera / Firefox / Safari (ja gibts auch für WIN 7 / 8 )