ausgehend von diesem https://www.trojaner-board.de/196219-kleine-mithilfe-erwuenscht.html#post1721601 Thread werde ich, wenn mir etwas auffällt einen Hinweis posten.

Heute fiel mir in diesem https://www.trojaner-board.de/196217-firefox-startseite-www1-online-w.html Thread etwas auf:
Dort steht im Eingangspost u.a.

Zitat:

Gestern habe ich ein automatisches GIMP-Update über den Updater geladen

Die Sache ist nur: Gimp hat meines Wissens gar keinen Updater

Meine starke Vermutung ist, dass es unter C:\Users\xxx\AppData\Roaming\GIMP Updater\Updater.exe gibt von einem sog. "Arne Koenig"

ist in diesem https://www.trojaner-board.de/196188-1online-weiterleitung-pup-optional-russad-meldungen-malwarebytes.html Thread zb. der Fall und dort wird gleiches/ähnliches Verhalten beschrieben und auch in anderen Threads auch wenn es dort oft ein C:\Users\xxx\AppData\Roaming\OpenOffice Updater\Updater.exe ist, aber auch von "Arne Koenig" zb. hier https://www.trojaner-board.de/187481-www1-online-w-rd2121-browserzeile-open-office-update.html

Mangels Log im aktuellen Post kann ich hier nur Vermutungen aus dem Eingangspost anstellen. Aber ich bin ziemlich sicher, dass ich da richtig liege.

Es wäre immer sinnvoll auf Logs zu bestehen, so wie es üblicherweise auch der Fall ist.
Ich habe einfach schon zu oft erlebt, dass User mir sagten, sie hätten von der Originalherstellerseite geladen und dann wars zb. bei vlc dann doch vlc.de

(ich bin übrigens auch immer interessiert zu erfahren von wo solche Dateien her kommen, und man darf mir auch gerne per PN diese Dateien zu senden, denn ich analysiere sie nach meinen Möglichkeiten und würde sie weiter leiten und Bugreports schreiben für zb. AdwCleaner damit sie in die Liste mit aufgenommen werden. Auch an Firefox Extensions, die unerwünschtes Ad/Malware Verhalten aufweisen, bin ich interessiert zwecks Bugreport/Blacklisting)

Ergänzung: Auch in diesem Thread https://www.trojaner-board.de/196211-win7-wurde-about-blank-erfolgreich-entfernt.html taucht

Zitat:

GIMP Updater\Updater.exe

auf

Danke für deine Hinweise.

zum Thread von Felix will ich eigentlich nicht viel sagen außer, dass Felix den Hinweis gab, der TO möge sich doch bitte melden wenn noch was ist. Ich klink mich in dem Thread mal ein, der TO möge doch FRST-Logs posten.

Zitat:

Ergänzung: Auch in diesem Thread https://www.trojaner-board.de/196211...-entfernt.html taucht
Zitat:
GIMP Updater\Updater.exe auf

Ja da müsstest du aber mal den Threadverlauf richtig lesen. Da wurde noch nichtmal eine Bereinigung angefangen eben weil es nicht viel Sinn macht jetzt noch Zeit in ein uraltes Windows 7 zu stecken.

In dem einen oderen anderen Thread wurde der GIMP-Updater schonmal übersehen. Das sollte jetzt auch so langsam mal der adwCleaner erkennen. Ich werde M-K-D-B wenn er aus dem Urlaub zurück mal fragen, ob er Malwarebytes/adwCleaner informieren kann.

Grundsätzlich sind solche nachgemachten Seite aber ein Riesenärgernis - ich habe schon schon dutzende Mal zB diese Sch... Seite vlc.de bei Firefox als Betrugsversuch gemeldet. Aber passieren tut da nicht viel zumindest mit einem aktiven uBlock wird man gewarnt. Aber bei den anderen Nachmachern bislang nicht.

bezüglich
https://www.trojaner-board.de/196231-mehrere-einlogversuche-verschiedenen-laendern-konten.html#post1721696

Dort sind 2 Erweiterungen in Google Chrome, nämlich
nmmhkkegccagdldgiimedpiccmgmieda
pkedcjkdefgpdelpbcmbmeomcjbeemfm

Sollte man dem Nutzer vielleicht mitteilen.

beide in Google chrome Store nicht mehr vorhanden und diese stehlen wohl Daten (wenn ich mit meiner Recherche richtig liege)
BTW: hat google chrome keine Blocklist, die dann diese Erweiterungen blockt und automatisch auch im Profil deaktiviert?

Also Chrome ist mir mittlerweile sogut wie egal weil ich von diesem sch...browser eh abrate. Google greift die komplette Browsinghistorie ab, da isses ja fast schon wumpe ob man noch andere Schnüffler in diesem Browser hat

sehe ich (fast) genauso, allerdings ist es schon ein Unterschied ob Google die gesamte Browserchronik abgreift oder ob eine einzelne Person durch seine Erweiterung die Login Daten abgreift und missbraucht.
Deshalb fände ich es sinnvoll, den User darüber aufzuklären, warum man von Google Chrome abrät.

Ja was meinst du wohl warum ich einen Lesestoff dafür habe

grrr, ich war diesmal wohl zu voreilig als ich schrieb

Zitat:

Zitat von Citro

beide in Google chrome Store nicht mehr vorhanden und diese stehlen wohl Daten (wenn ich mit meiner Recherche richtig liege)

Wie sich herausstellt sind das beides versteckte und nicht entfernbare default Extensions von Chrome und deshalb auch nicht im Chrome Webstore https://chrome.google.com/webstore/detail/xxx (xxx=ID der Erweiterung)

tut mir leid!

Kein Problem, lieber ein Hinweis zuviel als zuwenig

Citro, danke nochmal für deine Hinweise. Ich hab manchmal bis oft den Eindruck etwas Betriebsblind zu werden. Ich finde es immer wieder gut auf so etwas hingewiesen zu werden und ermutige auch andere, dass zu tun. Nur mussten wir damals natürlich es unterbinden, dass jeder in den Hilfesthread selbst seinen Senf dazugeben kann

Sage mal was ist hier eigentlich los?! Schon wieder einer --> https://www.trojaner-board.de/196251...geaendert.html

Lädt jetzt die ganze Welt plötzlich GIMP nur noch von dieser sch....seite runter?!

Vorweg, ich selbst hab kein Problem mit "www1.online" . Mich interessiert,
wie diese Infektion auf dem PC landet. Im Forum/WWW gibt es mindestens
seit 2017 Meldungen dazu. Hilfestellungen den Müll loszuwerden gibt es hier
jede Menge aber über den Infektionsweg/Methode hab ich bisher nichts finden können.

Lt. Citro kommt das von gmip24 (Arne König)...

Ich frage mich auch die ganze Zeit wo das her kommt. Ich glaube auch nicht, dass Leute die ganze Zeit bei gimp24 runter laden. Ich schätze, dieser Updater kommt von Malware, die schon die ganze Zeit auf dem System schlummert und erst bei einem Update (ich weiß leider nicht durch was das angestoßen wird) aktiv wird.

Ich probiere die ganze Zeit das zu reproduzieren und mich in einer VM zu infizieren mit dem Kram und es gelingt mir nicht. Dabei klicke ich schon auf fast alles was mir an Werbebuttons so unter kommt.

Die Downloads, die ich bei gimp24 herunter geladen habe scheinen auch sauber zu sein (zumindest heute und gestern) und haben den gleichen Hashwert wie von offizieller Seite gimp.org

Auch Ähnlichkeiten der Software von Betroffenen hier im Forum anhand der Logs zu finden blieb bisher leider erfolglos.

Wäre auch froh dem Ganzen mal auf die Schliche zu kommen.

Zitat:

Zitat von cosinus

Lt. Citro kommt das von gmip24 (Arne König)...

Mhhh...
von dem stammt doch startzentrale.de - die Startseite ins Internet

Zitat:

Zitat von Citro

Ich probiere die ganze Zeit das zu reproduzieren und mich in einer VM zu infizieren mit dem Kram und es gelingt mir nicht. Dabei klicke ich schon auf fast alles was mir an Werbebuttons so unter kommt.

Vor Jahren hatten IIRC das welche auch versucht, also sich absichtlich zu infizieren über vlc.de. Da sind die zum Schluss gekommen, dass der Server nicht immer eine infizierte Version ausliefert oder der Betreiber das bemerkt hat, dass man ihn beobachtet und dann schnell die infizierte durch eine Originaldatei ersetzt...

Hier der Thread den ich meinte --> https://www.trojaner-board.de/66529-...ware-mehr.html