Bei der Recherche hab ich Meldungen im WWW zu www1-online in 2015 und
hier im Board 2016 gefunden. Alle grübeln, woher das kommt:
bisher keine einzige nachvollziehbare Erklärung gefunden.

Ältere Meldung hab ich nicht gefunden, was vermuten läßt, dass es 2015 losgegangen ist
und sich bis heute fortsetzt

PS: bei einem Zeitraum von vier Jahren ist es merkwürdig, dass es bis heute keine
eindeutige Erklärung gibt. Liegt auch vielleicht daran, dass es lästig ist aber keine echte Bedrohung.

PPS: ganz interessanter Artikel
https://itler.net/beim-oeffnen-des-browser-oeffnet-sich-www1-onlinewrdxxxx/

Zitat:

Nun ja – wer her irgendwelche „bösen“ Plugins oder ähnliches vermutet – der irrt! Denn der Aufruf ist mehr als simpel und wird daher wahrscheinlich auch nicht so einfach von Malware Tools gefunden.
...
....
Damit hat sich das Problem zumindest schon mal erledigt. Auch wenn ein fader Beigeschmack bleibt, durch was die Änderung veranlasst worden ist. Falls hier jemand einen Tipp hat, postet diesen bitte im Kommentar!

Den Artikel kenne ich schon. Leider hilft das nicht weiter, was die eigentliche Ursache ist, also durch welches Programm diesen Startparameter verändert.
Vor allem die Häufung hier im Board in letzter Zeit ist erschreckend.

www.2-remove.com/how-to-remove-www1-online/

Zitat:

How does www1.online manage to become the part of the system?

www1.online, as any other browser hijacker has a feature to intrude the system silently.This happens when you decide that you need some additional software on your PC and download it. www1.onlineis bundled with the applications, usually, freeware, and starts its activities. On the other hand, user is the only one responsible for the items that are added to the system and can really prevent such cases. The way to do this is to observe how the installation goes and do not agree that www1.online can be attached to the system. The other source of www1.online is the infected spam which you can get any time. Well, this means you only have to be more attentive and think before you perform any actions while working with your PC. What you have to do now is to solve the current hijacker situation perform immediate www1.online removal procedure.

https://easyremovalguide.com/uninstall-www1-online-w-virus-quickly/
https://www.squader.com/projekt/bei-jedem-offnen-eines-browsers-auf-meinem-pc-wird-fur-2-sekunden-angezeigt-www1-online-ist-ein-virus.html

Zitat:

Lade Software aber immer von der Herstellerseite runter und auch nicht von so komischen Seiten wie chip oder so, sowas ist nämlich mit die größte Quelle von Adware^^.

Über den "Autor" von www1.online gibt es keinerlei Hinweis oder Vermutung

www.virus4remove.com/de/www1-onlinew-entfernen/
ganz amüsanter Artikel zum Thema wenn auch etwas mühsam zu lesen....

Zitat:

Zitat von Citro

Leider hilft das nicht weiter, was die eigentliche Ursache ist, also durch welches Programm diesen Startparameter verändert.
.

Die wahrscheinlichste Quelle sind Downloads aus dubioser Quelle
https://forum.openoffice.org/en/forum/viewtopic.php?f=15&t=88643
erklärt aber nicht, wer genau davon profitiert > Cui bono?

Ach hör uff. Das sind doch fast alles Seiten, die aus dem englischen übersetzt wurden und hauptsächlich dazu zu dienen, den Nutzer zu veranlassen weitere Tools wie Reimage Repair (weitere Adware) zu installieren.

Danach kannste googlen nach "reimage repair tool entfernen" und wenn du Glück hast landest dann hier hxxp://anleitung.trojaner-board.de/reimage-entfernen-so-gehts_455

Zitat:

Zitat von Citro

Ach hör uff. Das sind doch fast alles Seiten, die aus dem englischen übersetzt wurden und hauptsächlich dazu zu dienen, den Nutzer zu veranlassen weitere Tools wie Reimage Repair (weitere Adware) zu installieren.

Das ist mir klar aber wir sind hier praktisch unter uns.
Von denjenigen, die hier mitlesen, wird wohl kaum einer auf die Idee kommen son Quark zu installieren.
Einiges ist aber dennoch ganz interessant.
Was bleibt ist: " Nix genaues weiß man nicht"...

Zitat:

Zitat von webwatcher

Das ist mir klar aber wir sind hier praktisch unter uns.
Von denjenigen, die hier mitlesen, wird wohl kaum einer auf die Idee kommen son Quark zu installieren.

da bin ich mir absolut nicht sicher.
das sind seiten die spyhunter empfehlen bzw. direkt von spyhunter und wir als trojaner-board empfehlen spyhunter keinesfalls und ich persönlich bin auch dagegen solche seiten als quellen zu verlinken.

OK dann zitier ich nur entschärften Text ohne Links

Zitat:

Domain Name: WWW1.ONLINE

Registrar URL: https://www.united-domains.de/
Creation Date: 2016-05-24T11:21:30.0Z

Registrant Organization: neuIT webspace24.de
Registrant State/Province: Verden
Registrant Country: DE

Ganz naiv: Kann man den Registrant nicht mal fragen, was das soll?

Zitat:

Zitat von webwatcher

OK dann zitier ich nur entschärften Text ohne Links


Ganz naiv: Kann man den Registrant nicht mal fragen, was das soll?

Glaubst du von dem bekommst du eine ehrliche/hilfreiche Antwort?

Zitat:

Zitat von cosinus

Glaubst du von dem bekommst du eine ehrliche/hilfreiche Antwort?

nö
Was ich etwas merkwürdig finde, dass dieses "Phanomen" praktisch ausschließlich in Foren/Boards gemeldet/besprochen/kommentiert wird.
In der Fach/presse hab ich nirgends etwas zum Thema gefunden, was in Anbetracht des sehr langen Zeitraum (seit 2016) verwunderlich ist.
Ist das Thema nicht interessant=bedrohlich genug oder spielen eigene Interessen mit?

Bei heise z.B gibt es mehrere Anfragen im Forum wird aber nicht einmal im redaktionellen Teil erwähnt.

Mal ganz doof gefragt: hat man bei betroffenen Usern schon mal die hosts Datei (C:\Windows\system32\drivers\etc\hosts) angesehen? Könnte da etwas mit rein spielen?

Ich probiere krampfhaft von den verschiedenen Betroffenen-Logs mit diff zu vergleichen um Gemeinsamkeiten zu finden, aber bisher immer noch erfolglos.

BTW:Mit vlc.de habe ich es in der VM zwar mittlerweile geschafft, dass ich Startcenter habe als Programm, aber Auswirkungen sehe ich keine. Aber dieser Gimp Updater, da weiß ich immer noch nicht wo der her kommt.

Dank diesem Thread https://www.trojaner-board.de/196211-win7-wurde-about-blank-erfolgreich-entfernt.html haben wir jetzt zwar anhand des Scans mit Avira zwar den SHA256-Hash und man kann es auf virustotal dadurch sehen https://www.virustotal.com/gui/file/3325568fbecb35f6b61c0d12fec2e0df68ced0235a9b4bc76e6af1f4895cc2f4/detection aber so richtig hilft mir das auch nicht weiter, oder?

Ich hab jetzt mal testweise GIMP von gimp24.de runtergeladen. Die SHA256-Prüfsumme ist ok. Hier die Liste der Prüfsumme --> https://ftp.fau.de/gimp/gimp/v2.10/windows/SHA256SUMS

Und der Download von gimp24 lieferte mir 90038ea1895b2fe2a63fe6f69fc2115161b9af6a509e96ee08371138260de45e (gimp-2.10.12-setup-3.exe)

Entweder hat der Betreiber davon Wind bekommen oder der liefert einfach nicht jedem eine modifizierte Version aus. Oder gimp24 hatte schon immer unveränderte Dateien zum Download....

Zitat:

Ganz naiv: Kann man den Registrant nicht mal fragen, was das soll?

Ganz ernsthaft, meinst du, es interessiert ihn?

Zitat:

Zitat von Bootsektor

Ganz ernsthaft, meinst du, es interessiert ihn?

Klar doch. Man fragt seinen Koks-Dealer doch auch immer wieviel Edelweiß in seinem Stoff steckt

Zitat:

Klar doch. Man fragt seinen Koks-Dealer doch auch immer wieviel Edelweiß in seinem Stoff steckt

Nicht? Also meiner sagt immer er verwendet Moltofill.

wäre es möglich beim nächsten beim nächsten Betroffenen mal die Hosts Datei posten zu lassen? Mit Windowstaste+r und dann
notepad %WINDIR%\system32\drivers\etc\hosts
reinschreiben und posten.
Oder ist das unsinnig? (meine obige Frage wurde diesbezüglich nicht beantwortet)

Zumindest fand ich jetzt heraus, dass dieser Gimp Updater irgendwie nach
update-download.de sich verbindet.