und weils so schön ist:

Zitat:

GIMP - Download kostenlos (deutsch)
www.gimp24.de
(Siehe auch http://www.gnu.org/licenses/lgpl.html) GIMP24.de ist nicht assoziiert mit der offiziellen Seite (https://www.gimp.org) des Projektes. Datenschutz.

Und wer ist dafür zuständig? Dreimal darf man raten: wie üblich als Bild:

Zitat:

Zitat von Impressum gimp24.de

Arne König
Eisseler Strasse 39
27383 Verden

Auf gmx als Updateangebot aufgeschlagen.

PS: Google bringt bei Suche nach gimp die echte Seite

Zitat:

Zitat von webwatcher

und weils so schön ist:

Und wer ist dafür zuständig? Dreimal darf man raten: wie üblich als Bild:

Der hat so Einiges am laufen...

Zitat:

Zitat von Yatagan

Der hat so Einiges am laufen...

Ist das eigentlich strafbar? Das Ganze produziert ja jede Menge Ärger, Kosten und und womöglich auch Schäden. Oder ist das eine Grauzone, wo rechtlich nichts zu machen ist?

Der Mensch sitzt ja in Deutschland und nicht auf Tuvalu. Oder seine Kontaktdaten werden von unbekannten Dritten missbräuchlich verwendet und er weiß nichts vorn seinem Glück

Ich habe jetzt schon mehrfach in Themen gesehen, dass durch die "Nodejs-Malware" die Adware/PUP DownloadProtect nachgeladen wird.


Beispiele:

Zitat:

Edge Extension: ( ) - C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo [2020-10-09]

FF HKLM\...\Firefox\Extensions: [{42826D79-D38A-4C50-8AAC-434BBAF96A87}] - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi [2020-10-09]
FF HKLM-x32\...\Firefox\Extensions: [{42826D79-D38A-4C50-8AAC-434BBAF96A87}] - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi

CHR Extension: ( ) - C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb [2020-10-09]

Zu den genanten Erweiterungen...

Zitat:

Edge Extension: ( ) - C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo [2020-10-09]

CHR Extension: ( ) - C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb [2020-10-09]

... finden sich entsprechende Einträge über einen Komplett-Suche:

Zitat:

================== Datei-Suche: "SearchAll: gameccgmdhnpgcfkcppabiengeodgaoo;badphekeihghaiffknalgfamacoedncb" =============

Datei:
========
C:\Windows\Installer\{A33A4EA1-8E7F-47F1-AD1C-20866C022FC2}\cgameccgmdhnpgcfkcppabiengeodgaoorx
[2020-10-09 21:32][2020-10-09 21:32] 000009128 _____ () 84A029181C81420F7726E228D89503B2 [Datei ist nicht signiert]

C:\Windows\Installer\{A33A4EA1-8E7F-47F1-AD1C-20866C022FC2}\xgameccgmdhnpgcfkcppabiengeodgaooml
[2020-10-09 21:32][2020-10-09 21:32] 000000329 _____ () 0AD79A9ADE8AE098C505CC46CD113CF8 [Datei ist nicht signiert]

C:\Windows\Installer\{83593F80-7803-4CEE-B8D3-024DCE10F2AD}\cbadphekeihghaiffknalgfamacoedncbrx
[2020-10-09 21:32][2020-10-09 21:32] 000009128 _____ () D52D5080B8928F1A32D02F8E6F9462B1 [Datei ist nicht signiert]

C:\Windows\Installer\{83593F80-7803-4CEE-B8D3-024DCE10F2AD}\xbadphekeihghaiffknalgfamacoedncbml
[2020-10-09 21:32][2020-10-09 21:32] 000000329 _____ () C8799FC28D8AF77E76F73DB74F23E78B [Datei ist nicht signiert]


Ordner:
========
2020-10-09 21:35 - 2020-10-09 21:35 _____ C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo
2020-10-09 21:35 - 2020-10-09 21:35 _____ C:\FRST\Quarantine\C\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb

Registry:
========

===================== Suchergebnis für "gameccgmdhnpgcfkcppabiengeodgaoo" ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist]
"1"="gameccgmdhnpgcfkcppabiengeodgaoo;file:///C:/WINDOWS/Installer/%7BA33A4EA1-8E7F-47F1-AD1C-20866C022FC2%7D/xgameccgmdhnpgcfkcppabiengeodgaooml"

[HKEY_USERS\S-1-5-21-1434175282-2877166796-1715742309-1000\SOFTWARE\Microsoft\Edge\PreferenceMACs\Default\extensions.settings]
"gameccgmdhnpgcfkcppabiengeodgaoo"="2F902E002DE7EA82B3F77EA1BAAE17F3CC7659204DC89DC3A29C4ACCBD524880"


===================== Suchergebnis für "badphekeihghaiffknalgfamacoedncb" ==========


====== Ende von Suche ======

Inzwischen sind fast 20 mit demselben Problem aufgetaucht und es dürfte nur die Spitze des Eisberg sein, da viele durch Lesen der Infos/Threads sich selber helfen können.

Frage ist, warum diese Verseuchung so plötzlich aufgetaucht ist, denn der Müll wurde schon vorher/früher jahrelang runtergeladen z.T. auch mit sichtbaren Folgen, aber das ist schon etwas her. Möglicherweise hat man am "Beipack" gebastelt.

Zitat:

Zitat von webwatcher

Inzwischen sind fast 20 mit demselben Problem aufgetaucht und es dürfte nur die Spitze des Eisberg sein, da viele durch Lesen der Infos/Threads sich selber helfen können.

Klar ist das nur die Spitze des Eisbergs... du kannst von Hunderten/Tausenden infizierten Rechnern in Deutschland ausgehen... vielleicht auch mehr.

Zitat:

Zitat von webwatcher

Frage ist, warum diese Verseuchung so plötzlich aufgetaucht ist, denn der Müll wurde schon vorher/früher jahrelang runtergeladen z.T. auch mit sichtbaren Folgen, aber das ist schon etwas her. Möglicherweise hat man am "Beipack" gebastelt.

Diese Malware gibt es schon länger... die Nutzer, die bei uns aufgeschlagen sind, sind ja nicht direkt/speziell wegen dieser Malware hier, also weil ein AV den Ursprung moniert und nicht entfernen kann, sondern weil ein AV lediglich im temporären Ordner eine schadhafte .exe registriert hat.
Und wenn ein AV gar nichts moniert, denken die meisten Menschen, dass der Rechner sauber sein muss.

Im Prinzip ist die Malware ja gut gemacht. Es wird ein Task erstellt, dazu werden zum Beispiel Teile von Windows-Diensten/Prozessen bzw. deren Beschreibungen oder bekannte legitime Namen von Software-Firmen als Name verwendet, um nicht aufzufallen. Dann lenkt man den Task auf eine legitime .exe, die bei VT immer als clean zurückkommt. Im Task gibt man dann aber als Argument ein, dass eine Javascript-Datei schadhaften Code ausführen soll.

Intelligent gemacht... ähnlich klug wie die Malware Mediyes damals.

Zitat:

Zitat von LordSoth

Ist das eigentlich strafbar? Das Ganze produziert ja jede Menge Ärger, Kosten und und womöglich auch Schäden. Oder ist das eine Grauzone, wo rechtlich nichts zu machen ist?

Wenn jemand völlig überflüssige Downloads ins WWW stellt mit Irreführung von Usern durch Namensgebung und mit dieser Masche PUP/Adware/ev Malware unterjubelt, ist das für mich Betrug, wenn nicht sogar mehr. Aus Menschenfreundlichkeit geschieht das bestimmt nicht, sondern für handfeste kommerzielle Interessen. Unternehmen, die diese Masche honorieren, sind für mich Mittäter. Aber wo (bisher) kein Kläger, da kein Richter.
Erfahrene User fallen kaum darauf rein und Otto Normaluser ist froh, wenn er (zB. unter Hilfe im Board) aus dem Schlamassel mit einem blauen Auge davonkommt.