Hallo liebe Gemeinde,

ich habe eine Frage - zu dieser habe ich auch die Boardsuche genutzt - Resulat: nichts gefunden.
Was ich in diesem Thread NICHT diskutieren möchte, ist die Frage:

Ist Kino.to legal?
Dazu gibt's schon genug Diskusionen in anderen Boards.

Umstand:

Normalerweise besucht gibt man kino.to in die Adressleiste des Browser ein, und dann bleibt auch diese Adresse dort sichtbar stehen. Heute allerdings, ändert sich die URL in http://micmei.narod.ru/, was mich zu der Annahme einer Weiterleitung bringt.

Weiterhin kommt ein Popup mit der Meldung:

"Liebe Besucher, wenn euch folgende Seite angezeigt wird, habt ihr die zur korrekten Darstellung von Filmen benötigte Erweiterung noch nicht installiert.

Ladet euch bitte folgende Erweiterung herunter, womit das Gucken von Filmen wieder ermöglicht wird und kino.to im vollen Umfang geladen werden kann.

Euer KinoTeam

Hier runterladen"

Es gibt da einen Link auf eine Exe-Datei mit den Namen: "erweiterung.exe" - lädt man diese Datei runter und führt sie aus, passiert: Nichts. Zumindest offensichtlich.
Ich habe mal File-/Regmon laufen lassen und hänge die Logs mal an. Besonders interessant ist, dass er anscheinend eine windows\svchost.exe erstellt - das Erstellungsdatum stimmt auch mit der Ausführung der erweiterung.exe überein. Soweit ich das aus dem Log lesen kann: er liest in allen möglichen Daten rum, erstellt dann eine svchost.exe in \windows\ - normalerweise liegt die nur in windows\system32.

Ich habe Windows dann im abgesicherten Modus gestartet, dieses windows\svchost.exe in svchost2.exe umbenannt und es gab keine Probleme beim normalen Windowsstart.

Meine Fragen:
- Reicht das simple Umbenennen aus?
- Könnt ihr weitere Informationen aus den Logs schließen?
- Habt ihr weitere Lösungsvorschläge?

Noch eine kleine Rechtfertigung: Zum einen ist es natürlich nicht gerade schlau irgendwelche exe-Dateien von russischen Seiten auszuführen - das weiß ich auch, leider ist es dennoch passiert. Zum anderen bin ich kein Raubkopierer - ich arbeite selbst in der Industry und weiß wieviel arbeit in Filmen/Spielen steckt. Wenn ich Kino.to mal nutze, dann bisher nur für z.B. Serien die es hier weder zu kaufen noch im TV zu sehen gab.


Ich kann euch die kompletten Logs auch gern schicken...

FILEMON
ab Zeile 8078
8079 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8080 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8081 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS FileInternalInformation
8082 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS
8083 15:40:55 erweiterung.exe:1292 CREATE C:\windows\svchost.exe SHARING VIOLATION Options: OverwriteIf Sequential Access: 00130196
8084 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8085 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8086 15:40:55 erweiterung.exe:1292 CREATE C:\windows\svchost.exe SHARING VIOLATION Options: OverwriteIf Sequential Access: 00120196
8087 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8088 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8089 15:40:55 erweiterung.exe:1292 CLOSE C:\dokumente und einstellungen\***\desktop\erweiterung.exe SUCCESS
8090 15:40:55 erweiterung.exe:1292 CLOSE C:\Programme\Mozilla Firefox SUCCESS
8091 15:40:55 erweiterung.exe:1292 CLOSE C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 SUCCESS
8092 15:40:55 svchost.exe:1268 CREATE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: OverwriteIf Access: 0012019F
8093 15:40:55 svchost.exe:1268 WRITE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Offset: 0 Length: 10492
8094 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS
8095 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A
8096 15:40:55 ashServ.exe:1748 OPEN C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: Open Access: 00120189
8097 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492
8098 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A
8099 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS FileStreamInformation
8100 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492
8101 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492
8102 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A
8103 15:40:55 ashServ.exe:1748 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS
8104 15:40:55 svchost.exe:1268 OPEN C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: Open Access: Read
8105 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492
8106 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492
8107 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS
8108 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS Attributes: A
8109 15:40:55 svchost.exe:1268 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS Options: Open Access: 00020088
8110 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS FileInternalInformation
8111 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS
8112 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS Attributes: A
8113 15:40:55 svchost.exe:1268 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS Options: Open Access: 00020088
8114 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS FileInternalInformation
8115 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS
8116 15:40:55 svchost.exe:1268 CREATE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: OverwriteIf Access: 0012019F
8117 15:40:55 svchost.exe:1268 WRITE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Offset: 0 Length: 10492
8118 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS

Also grundsätzlich (soweit meine Kenntnisse) ist das Runterladen aus dem Internet ja nicht illegal.
Es wird erst Illegal sobald du selber Dateien (natürlich durch lizenzen o.ä. geschützt) hochlädst! Trotzdem solltest du vorsichtig damit sein...es ändert sich schliesslich alles ständig ;D

Hast du die Datei mal bei virustotal hochgeladen?

lg myrtille

Vielen Dank für diesen Tipp! Ich wußte gar nicht dass es so eine Seite gibt, er findet auch ein paar Sachen: http://www.virustotal.com/de/analisis/a6ec94b9bde4bc22a05d9ef9cc31c9fd

Was meinst du, ist das ein Fehlalarm? Ich denke nicht, denn es ist schon komisch dass er eine neue svchost erstellt und dazu noch die selben Viren in dieser wie auch in der erweiterung.exe gefunden wurde!

ich hab mir auch die erweiterung runtergeladen. als ich festgestellt habe, dass ich sie nicht mehr löschen kann, habe ich das system auf einen tag davor wiederhergestellt.

eigentlich ist das keine lösung, aber nun ist die erweiterung.exe nicht mehr da und mein pc funktioniert noch normal.

kann es sein, dass es nur ein fehlalarm war?

Ich halte euch auf dem laufenden falls was passiert.

Herrgottnochmal, habs mir grad auch runtergeladen, aber Anubis muss mal wieder streiken -.-

Also wir setzen einfach den Rechner neu auf, das Sicherheitsrisiko ist einfach zu groß weil auf dem Rechner auch OnlineBanking betrieben wird. Ich glaube nicht dass es ein Fehlalarm ist. Wenn es stimmen würde, dass diese Datei zum betrachten der Filme nötig wäre, dann würde doch eine korrekte Setup kommen und garantiert nix was im Hintergrund eine svchost.exe erstellt. Aber die Datei "erweiterung.exe" konnten wir ohne Problem löschen...

Zitat:

Zitat von iLegacy

Also wir setzen einfach den Rechner neu auf, ...

Ja, das wird auch das einfachste sein..

Wenns dich doch interressiert was es ist/war, wenn ich was neues weiß, poste ich es..

Jep wäre cool

meine güte löscht es doch einfach mit unlocker ^^

und ich würde sowas net herunterladen.

Die Seite ist in der Tat gehackt worden.
Und es wird durch diese "erweiterung.exe" eine Schadsoftware verbreitet.

Nachzulesen hier, wo kino.to noch zu erreichen ist:
h**p://92.241.169.251/?Goto=Index

seid ihr sicher ich sollte meinen pc neu aufsetzen? Ich hab zwei partitionen. meint ihr es sind beide partitionen befallen?

Mögliche Lösung für Leute die den Trojaner installiert haben:

Habe die Datei "erweiterung.exe" von kino.to auf meinem PC installiert.
Daraufhin konnte ich kaum noch eine verbindung mit dem Internet herstellen. Hab mir mit dem Laptop die Gratissoftware "Spybot Search & Destroy" heruntergeladen und auf dem PC installiert.
Nachdem Ausführen entdeckt der Spybot eine Installierte Datei Namens "svchost.exe" im C:/windows Verzeichnis und entfernt diese Datei irgendwie halbwegs. ich musste danach den PC nochmals neustarten und wurde nach dem Neustart nochmals gefragt ob ich sicher bin ob ich diese Datei entfernen möchte. Habe dem zugestimmt und jetzt funktioniert alles wieder einwandfrei!

cheers

Ich hab mir das Pferdchen auch runtergeladen hab es aber sofort wieder weggekriegt mit Malwarebytes Anti- Malware. Am besten im Internet runterladen, scannen und alles löschen was gefunden wird. Das Programm ist super. Ansonsten kann ich sehr empfehlen sich bei Viren, Trojanern und anderem Mist an Pauls PC- Forum zu wenden. Dort findet man auch ne ganz genaue Anleitung zur Durchsuchung und Beseitigung.

Bemerkenswert, wie manche Leute blind im Internet verkehren, wobei insbesondere hier kein großes technisches Verständnis von Nöten ist, sondern gesundes Misstrauen. Oder sind die Änderungen auf der Seite nicht aufgefallen? Und wieso auf ein mal ein Programm zur Darstellung der Filme herunterladen? Muss doch vorher auch funktioniert haben! Aber danach fragt ja keiner, schließlich macht die „berechtigte“ Gier der Menschen, kostenlose Filme an zugucken, einfach blind.

Gute Virenprogramme wie GData, Kaspersky etc. sperren die Seite durch einen HTTP Filter, sobald man auf herunterladen klickt, gänzlich (testweise an einem alten PC ausprobiert). Es erscheint dann ein komplett roter Hintergrund mit folgender Warnung:

WEBSEITE GESPERRT!
GData Internet Security 2008 hat den Zugriff auf diese Seite verweigert.
Die Seite enthält infizierten Code Trojan.Win32.Agent.ahze

Übrigens würde ich nicht immer darauf vertrauen, das man Schadprogramme komplett löschen kann, da sich gute Programme überall einnisten können. Das beste Mittel ist und bleibt, die komplette Festplatte mindestens 2 x zu formatieren.