DownloadProtect Extension - ein gefährliches Add-On

[hkdd]

Seit ein paar Tagen (genau ab dem 7.10.) bemerkte ich bei einigen Seiten, z.B. hier im Win8-Forum, dass immer wieder Werbungen eingeblendet wurden, die von unten hochgeschoben wurden und andere Merkwürdigkeiten. Die Seite zu diesem Forum ließ sich nur nach mehrfachen Versuchen öffnen, und das sowohl beim IE als auch beim Firefox. Andere Browser benutze ich nicht.

Bei beiden war das Add-On DownloadProtrect Extension vermerkt. Im Gegensatz zu anderen Add-Ons konnte man es nicht deaktivieren. Auch in der Systemsteuerung =>Programme und Features war es nicht aufgeführt. Über eine Google-Recherche habe ich folgende Seite gefunden
Download Protect entfernen - Anleitungen
Aber nahezu alle dort gegebenen Hinweise haben es nicht geschafft, diese Malware zu entfernen. In den unteren Beiträgen kam ein Hinweis auf folgende Software
https://de.malwarebytes.org/antimalware/?sfc=sem-gs_b_de_de&gclid=CMPAiMS-5MgCFcLnwgods1gFZQ
Mit der kostenlosen Testversion Anti-Malware konnte ich diese und nahezu 70 weitere Bedrohungen entfernen. Nun ist dieses Add-On verschwunden, es war bei mir auf dem Desktop-PC im Windows 8.1 (die anderen Win8,7,XP) waren davon nicht betroffen. Auch das Win7 auf meinem Notebook war damit befallen und konnte gesäubert werden.
Als Verursacher wird Firefox vermutet, bei dem habe ich sofort alle automatsichen Updates abgestellt. Zu diesem Zeitpunkt kam die Version 40.0.1. Die nicht befallenen System sind offensichtlich deshalb nicht befallen, weil ich an diesen Tagen nicht damit gearbeitet habe und auf jeden Fall Firefox nicht aufgerufen habe.

Auch mein 8.1-CSL-Panter-Tablet ist nicht befallen. Auf dem ist Firefox nicht installiert.

Woran erkennt man, ob der PC befallen ist

- Add-On: DownloadProtect Extension ist beim IE eingetragen und kann nicht deaktiviert werden
- Dienste: Diese Malware hat sich als Dienst installiert und hat den Namen DnsBlockUpdateService ohne eine Beschreibung
- WINDOWS\SYSTEM32 : DnsBlockUpdateSvc.exe / dns.block / dnsBlockA.dll / dnsBlockB.dll

All das könnt Ihr in dem oberen Link nachlesen.

 

[hkdd]

Ich habe mit Malwarebytes Anti-Malware alle Bedrohungen beseitigt und das Programm später noch einmal laufen lassen, da wurden keine Bedrohungen mehr gefunden. Trotzdem zeigt Firefox immer noch ein merkwürdiges Verhalten. Wenn ich die automatischen Updates ausschalte (oberes Bild), danach den FF beende und erneut starte, dann sind die automatischen Updates wieder aktiviert. (unteres Bild.)

Das passiert nur bei meinem Windows 8.1, nicht bei Windows 8, Windows 7 und Windows XP.
Auf meinem Notebook mit Win7-Ultimate-64, das auch befallen war, gibt es denselben Effekt.
Ich habe FF bereits komplett deinstalliert und danach neu installiert - trotzdem immer wieder derselbe Effekt.
Irgend ein BÖSER spielt mit da immer noch einen Streich. Ich werde wohl Firefox komplett aus meiner Softwareliste verbannen.

 

[weiss-nicht]

Ich werde wohl Firefox komplett aus meiner Softwareliste verbannen.

Welche Version? hast Du schon FF zurückgesetzt auf das Original.?
Die Anleitung dazu findest Du unter Hilfe bei FF

 

[hkdd]

Ihr habt mich überzeugt, vielleicht war die vorschnelle Verurteilung des FF als Verursacher des DownloadProtect nicht korrekt. Da sich das automatische Update auch nach der Bereinigung der Bedrohungen mit Malwarebytes Anti-Malware nicht abstellen ließ, auch nicht nach Deinstall und anschließendem Install der neuesten Version habe ich eine Image-Sicherung vor dem 7.10., die ich zum Glück hatte, sowohl für das Notebook als auch für meinen Desktop-PC mit 8.1, zurückgefahren. Da ist alles wieder koscher.
Nun bleibt blos die Frage, wer hat das installiert und warum haben es meine Virenschützer nicht bemerkt und verhindert ?

FAZIT: In Zukunft werde ich in kürzeren Abständen, möglichst pro Woche, Image-Sicherungen durchführen. Nur damit ist man wirklich sicher.

 

[weiss-nicht]

eventuell ist der Grund dafür im System zu suchen, ev. bei der automatischen Wiederherstellung