Firefox versucht ständig auf Coinhive zu gehen

Gebieter

Gebieter

Urgestein
Thread Starter
Mitglied seit
28.09.2006
Beiträge
3.747
Hab seit gestern das Problem, dass mein Firefox ständig versucht auf Coinhive zuzugreifen. Das wird dann entweder von Avast oder von Malwarebytes blockiert. Bei Avast kam dann die Meldung, es wäre ein Trojaner gefunden und gelöscht worden, es kommt aber trotzdem ständig wieder. Bei der Meldung von Malwarebytes steht die Verbindung wäre ausgehend, das heißt dann also dass es von meinem PC ausgeht, richtig?

Hat jemand eine Ahnung wo dieser Trojaner sitzt und wie ich ihn löschen kann? Ich finde dazu irgendwie einfach nichts.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Die Seite da ist eher eine Art teils automatisch generiertes Clickbaiting...

Die nützlichste Info da ist dass sich das Virus als Extension/Plugin in FireFox selbst befinden könnte. Schau da mal nach. Wahrscheinlich liegt es aber tiefer.

EDIT: Ist ja irre wieviele solcher Seiten man bei Suchen findet o_O
Wahrscheinlich ist deswegen, jedes F durch Q ersetzt.. damit Google's Filter versagen >_>
 
Zuletzt bearbeitet:
Hi,

sehe dieses Problem jetzt schon zum dritten Mal. Bei dir, bei mir selbst und einem dritten auf einem anderen Forum. Immer das gleiche. Firefox startet und AVG/Avast/MBAM(Malwarebytes) wirft ne Meldung, dass eine Verbindung zu coinhive.com unterbrochen wurde. Jeder von uns hat MBAM und AVG/Avast und auch bei mir meinte nur AVG, dass coinhive.com mit nem Virus infiziert sei. (MBAM hat einfach nur vom Abbruch des versuchten Verbindungsaufbaus berichtet) und das witzige ist, dass bei uns allen wieder alles normal lief, nachdem Proxtube gelöscht wurde haha.

Hintergrund der Sache ist ja, dass jetzt einige Seiten coin-mining bei ihren Besuchern benutzen, solange sie auf deren Seiten surfen, was so ne Art Alternative zu Werbung sein soll. Viele Top-2000-Seiten benutzen das anscheinend schon und es weitet sich auch immer weiter aus (Es benutzen ja immer mehr adblocker, darum kann ich verstehen, warum sich das so verbreitet). So wie ich das verstanden habe, ist das also nicht gefährlich, sondern einfach nur ne Alternative zur Werbung, um sich als Website zu finanzieren. Kannst ja selbst mal googlen.
Mehr Details dazu gibts zum Beispiel hier: Verstecktes coin mining durch Javascript

Eine Seite, die das minig-script benutzt wäre zum Beispiel die hier (einfach zum testen, wird auch im vorherigen Link genannt, ist aber die einzige von den 3 Beispielen, die das Skript aktuell noch benutzt): Dubai Talent Magazine - A platform to easily reach top class employers in Dubai
Sobald ich auf die Seite gehe, wirft AVG wieder die gleiche Meldung, dass eine Verbindung zu coinhive unterbrochen wurde, weil sie infiziert sei, wobei MBAM wieder keinen Virus nennt. Daher denke ich also, dass der vermeintliche Virus wieder mal ein falscher Alarm von unseren geliebten Free-Antivirus-Programmen ist.

Nun stellt sich halt die Frage, warum das bei uns immer bei Programmstart von Firefox passiert ist, und nicht immer nur bei bestimmten Seiten. Da bei uns halt Poxtube die einzige Konstante ist, gehe ich davon aus, dass Proxtube auch irgendwie auf diesen Zug aufgesprungen ist und versucht, sich so selbst zu finanzieren, indem es dieses mining-script ausführt. Es ist auch sehr verdächtig, dass wir alle zur selben Zeit von diesem Problem betroffen wurden. Anders könnte ich mir das momentan einfach nicht erklären.

Hoffe ich konnte ein bisschen helfen.
 
Zuletzt bearbeitet:
guterfrager schrieb:
Hi,

sehe dieses Problem jetzt schon zum dritten Mal. Bei dir, bei mir selbst und einem dritten auf einem anderen Forum. Immer das gleiche. Firefox startet und AVG/Avast/MBAM(Malwarebytes) wirft ne Meldung, dass eine Verbindung zu coinhive.com unterbrochen wurde. Jeder von uns hat MBAM und AVG/Avast und auch bei mir meinte nur AVG, dass coinhive.com mit nem Virus infiziert sei. (MBAM hat einfach nur vom Abbruch des versuchten Verbindungsaufbaus berichtet) und das witzige ist, dass bei uns allen wieder alles normal lief, nachdem Proxtube gelöscht wurde haha.

Hintergrund der Sache ist ja, dass jetzt einige Seiten coin-mining bei ihren Besuchern benutzen, solange sie auf deren Seiten surfen, was so ne Art Alternative zu Werbung sein soll. Viele Top-2000-Seiten benutzen das anscheinend schon und es weitet sich auch immer weiter aus (Es benutzen ja immer mehr adblocker, darum kann ich verstehen, warum sich das so verbreitet). So wie ich das verstanden habe, ist das also nicht gefährlich, sondern einfach nur ne Alternative zur Werbung, um sich als Website zu finanzieren. Kannst ja selbst mal googlen.
Mehr Details dazu gibts zum Beispiel hier: Verstecktes coin mining durch Javascript

Eine Seite, die das minig-script benutzt wäre zum Beispiel die hier (einfach zum testen, wird auch im vorherigen Link genannt, ist aber die einzige von den 3 Beispielen, die das Skript aktuell noch benutzt): Dubai Talent Magazine - A platform to easily reach top class employers in Dubai
Sobald ich auf die Seite gehe, wirft AVG wieder die gleiche Meldung, dass eine Verbindung zu coinhive unterbrochen wurde, weil sie infiziert sei, wobei MBAM wieder keinen Virus nennt. Daher denke ich also, dass der vermeintliche Virus wieder mal ein falscher Alarm von unseren geliebten Free-Antivirus-Programmen ist.

Nun stellt sich halt die Frage, warum das bei uns immer bei Programmstart von Firefox passiert ist, und nicht immer nur bei bestimmten Seiten. Da bei uns halt Poxtube die einzige Konstante ist, gehe ich davon aus, dass Proxtube auch irgendwie auf diesen Zug aufgesprungen ist und versucht, sich so selbst zu finanzieren, indem es dieses mining-script ausführt. Es ist auch sehr verdächtig, dass wir alle zur selben Zeit von diesem Problem betroffen wurden. Anders könnte ich mir das momentan einfach nicht erklären.

Hoffe ich konnte ein bisschen helfen.
Zum Vergrößern anklicken....

Jep, das waren genau meine Gedanken. Proxtube war beim Benutzen ja ohnehin werbeverseucht ohne Ende, ich vermute du hast da völlig Recht, die sind garantiert auf den Coinhive-Zug aufgesprungen. Bei Avast im Blog und auch bei Malwarebytes stehen ja auch längere Artikel drin, warum sie angefangen haben Coinhive zu blockieren. Wer weiß, eventuell hat Proxtube das Ganze ja schon länger gemacht, nur wurde es vorher nicht blockiert und daher haben wir es vielleicht auch gar nicht bemerkt. Gut, dass der Schrott jetzt runter ist.

Hier die Blogeinträge:

Ladies and Gentlemen, prepare your CPU—web browser mining is coming
Why is Malwarebytes blocking CoinHive? - Malwarebytes Labs | Malwarebytes Labs

Gerade den von Malwarebytes finde ich interessant. Nach denen hat Coinhive nicht unbedingt was mit Viren oder Malware zu tun, aber sie blockieren diese Miner, weil die Dinger einfach ungefragt anfangen zu laufen und auf die Ressourcen vom System zuzugreifen. Und das seh ich genauso wenig ein, wie dass ich mir diese nervtötende Werbung überall anschaue. Ich finds also völlig richtig, dass Malwarebytes und Avast Coinhive blockieren.

@ Dragontear
Das hab ich mir auch gedacht, als ich versucht habe über Google da irgendwas zu finden. Da findet man nur diese komischen Websites, die sind wahrscheinlich selber mit dem Miner verseucht :d. Bin da aber auch recht schnell draufgekommen, dass es sich um Fakesites handeln muss, alleine schon wegen den automatischen (falschen) Übersetzungen und den URLs ... Wie als ob man das nicht merken würde.
 
Zuletzt bearbeitet:
Gebieter schrieb:
Und das seh ich genauso wenig ein, wie dass ich mir diese nervtötende Werbung überall anschaue. Ich finds also völlig richtig, dass Malwarebytes und Avast Coinhive blockieren.
Zum Vergrößern anklicken....
Auch wenn ich Mining generell sehr skeptisch gegenüber stehe, da unglaubliche Resorucenverschwendung - IRGENDWIE muss man für einen Service wie eine Webseite (die selbst nichts verkauft) nunmal zahlen, sonst gäbe es die Seiten nicht und z.B. bei redaktionellen Dingen geht die Qualität ganz schnell in den Keller, wenn keine Finanzmittel da sind.
Das Internet wäre bei weitem nicht so vielseitig und interessant wenn es nur Hobby-Seiten (also vom Betreiber aus anderen Quellen finanziert) und Shops/Bezahl-Content gäbe. Das Luxx in dieser Form gäbe es auch nicht.
Drum nutze ich persönlich auch keine Adblocker...

Gebieter schrieb:
@ Dragontear
Das hab ich mir auch gedacht, als ich versucht habe über Google da irgendwas zu finden. Da findet man nur diese komischen Websites, die sind wahrscheinlich selber mit dem Miner verseucht :d. Bin da aber auch recht schnell draufgekommen, dass es sich um Fakesites handeln muss, alleine schon wegen den automatischen (falschen) Übersetzungen und den URLs ... Wie als ob man das nicht merken würde.
Zum Vergrößern anklicken....
Yep, mal sehen ob jemand hier zufällig was weiss wie man es wirklich behebt.
Sonst sollte der TE eventuell in einem besser geeigneten Forum fragen.
 
Zuletzt bearbeitet:
DragonTear schrieb:
Yep, mal sehen ob jemand hier zufällig was weiss wie man es wirklich behebt.
Sonst sollte der TE eventuell in einem besser geeigneten Forum fragen.
Zum Vergrößern anklicken....

Aber es ist doch behoben? Ich hab seit ich Proxtube deinstalliert habe keine Meldung mehr bekommen bisher. Alles gut.
 
Anmelden, um zu antworten.

Ähnliche Themen

L
Lenovo Legion 5 Slim Hybridgrafik
Antworten
17
Aufrufe
730
SynergyCore
S
R
[User-Review] MSI MPG 271QRXDE QD-OLED im Lesertest
2
Antworten
45
Aufrufe
2K
Nutellaloeffler
N
Ryzäään
[User-Review] Schwarz, breit, Digital: Der DeepCool AK620 Digital im Lesertest!
Antworten
0
Aufrufe
425
Ryzäään
Ryzäään
muvo256
[User-Review] Corsair 6500X oder ich bau mir mein Gehäuse :D
Antworten
3
Aufrufe
1K
Bangee
Bangee
SimonS
[User-Review] MSI MPG 271QRXDE QD-OLED im User-Review - Was kann der OLED 360Hz Gaming Monitor?
Antworten
0
Aufrufe
874
SimonS
SimonS
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh