|
Hinweise zu Ad/Malware Threads ausgehend von diesem https://www.trojaner-board.de/196219-kleine-mithilfe-erwuenscht.html#post1721601 Thread werde ich, wenn mir etwas auffällt einen Hinweis posten. Heute fiel mir in diesem https://www.trojaner-board.de/196217-firefox-startseite-www1-online-w.html Thread etwas auf: Dort steht im Eingangspost u.a. Zitat:
Meine starke Vermutung ist, dass es unter C:\Users\xxx\AppData\Roaming\GIMP Updater\Updater.exe gibt von einem sog. "Arne Koenig" ist in diesem https://www.trojaner-board.de/196188-1online-weiterleitung-pup-optional-russad-meldungen-malwarebytes.html Thread zb. der Fall und dort wird gleiches/ähnliches Verhalten beschrieben und auch in anderen Threads auch wenn es dort oft ein C:\Users\xxx\AppData\Roaming\OpenOffice Updater\Updater.exe ist, aber auch von "Arne Koenig" zb. hier https://www.trojaner-board.de/187481-www1-online-w-rd2121-browserzeile-open-office-update.html Mangels Log im aktuellen Post kann ich hier nur Vermutungen aus dem Eingangspost anstellen. Aber ich bin ziemlich sicher, dass ich da richtig liege. Es wäre immer sinnvoll auf Logs zu bestehen, so wie es üblicherweise auch der Fall ist. Ich habe einfach schon zu oft erlebt, dass User mir sagten, sie hätten von der Originalherstellerseite geladen und dann wars zb. bei vlc dann doch vlc.de:pfui: (ich bin übrigens auch immer interessiert zu erfahren von wo solche Dateien her kommen, und man darf mir auch gerne per PN diese Dateien zu senden, denn ich analysiere sie nach meinen Möglichkeiten und würde sie weiter leiten und Bugreports schreiben für zb. AdwCleaner damit sie in die Liste mit aufgenommen werden. Auch an Firefox Extensions, die unerwünschtes Ad/Malware Verhalten aufweisen, bin ich interessiert zwecks Bugreport/Blacklisting) Ergänzung: Auch in diesem Thread https://www.trojaner-board.de/196211-win7-wurde-about-blank-erfolgreich-entfernt.html taucht Zitat:
|
Danke für deine Hinweise. zum Thread von Felix will ich eigentlich nicht viel sagen außer, dass Felix den Hinweis gab, der TO möge sich doch bitte melden wenn noch was ist. Ich klink mich in dem Thread mal ein, der TO möge doch FRST-Logs posten. Zitat:
In dem einen oderen anderen Thread wurde der GIMP-Updater schonmal übersehen. Das sollte jetzt auch so langsam mal der adwCleaner erkennen. Ich werde M-K-D-B wenn er aus dem Urlaub zurück mal fragen, ob er Malwarebytes/adwCleaner informieren kann. Grundsätzlich sind solche nachgemachten Seite aber ein Riesenärgernis - ich habe schon schon dutzende Mal zB diese Sch... Seite vlc.de bei Firefox als Betrugsversuch gemeldet. Aber passieren tut da nicht viel :balla: zumindest mit einem aktiven uBlock wird man gewarnt. Aber bei den anderen Nachmachern bislang nicht. |
bezüglich https://www.trojaner-board.de/196231-mehrere-einlogversuche-verschiedenen-laendern-konten.html#post1721696 Dort sind 2 Erweiterungen in Google Chrome, nämlich nmmhkkegccagdldgiimedpiccmgmieda pkedcjkdefgpdelpbcmbmeomcjbeemfm Sollte man dem Nutzer vielleicht mitteilen. beide in Google chrome Store nicht mehr vorhanden und diese stehlen wohl Daten (wenn ich mit meiner Recherche richtig liege) BTW: hat google chrome keine Blocklist, die dann diese Erweiterungen blockt und automatisch auch im Profil deaktiviert? :kloppen: |
Also Chrome ist mir mittlerweile sogut wie egal weil ich von diesem sch...browser eh abrate. Google greift die komplette Browsinghistorie ab, da isses ja fast schon wumpe ob man noch andere Schnüffler in diesem Browser hat :p |
sehe ich (fast) genauso, allerdings ist es schon ein Unterschied ob Google die gesamte Browserchronik abgreift oder ob eine einzelne Person durch seine Erweiterung die Login Daten abgreift und missbraucht. Deshalb fände ich es sinnvoll, den User darüber aufzuklären, warum man von Google Chrome abrät. |
Ja was meinst du wohl warum ich einen Lesestoff dafür habe :D |
grrr, ich war diesmal wohl zu voreilig als ich schrieb Zitat:
tut mir leid! |
Kein Problem, lieber ein Hinweis zuviel als zuwenig :blabla: |
Citro, danke nochmal für deine Hinweise. Ich hab manchmal bis oft den Eindruck etwas Betriebsblind zu werden. Ich finde es immer wieder gut auf so etwas hingewiesen zu werden und ermutige auch andere, dass zu tun. Nur mussten wir damals natürlich es unterbinden, dass jeder in den Hilfesthread selbst seinen Senf dazugeben kann :D |
Sage mal was ist hier eigentlich los?! Schon wieder einer --> https://www.trojaner-board.de/196251...geaendert.html Lädt jetzt die ganze Welt plötzlich GIMP nur noch von dieser sch....seite runter?! :wtf: :wtf: |
Vorweg, ich selbst hab kein Problem mit "www1.online" . Mich interessiert, wie diese Infektion auf dem PC landet. Im Forum/WWW gibt es mindestens seit 2017 Meldungen dazu. Hilfestellungen den Müll loszuwerden gibt es hier jede Menge aber über den Infektionsweg/Methode hab ich bisher nichts finden können. |
Lt. Citro kommt das von gmip24 (Arne König)... |
Ich frage mich auch die ganze Zeit wo das her kommt. Ich glaube auch nicht, dass Leute die ganze Zeit bei gimp24 runter laden. Ich schätze, dieser Updater kommt von Malware, die schon die ganze Zeit auf dem System schlummert und erst bei einem Update (ich weiß leider nicht durch was das angestoßen wird) aktiv wird. Ich probiere die ganze Zeit das zu reproduzieren und mich in einer VM zu infizieren mit dem Kram und es gelingt mir nicht. Dabei klicke ich schon auf fast alles was mir an Werbebuttons so unter kommt. Die Downloads, die ich bei gimp24 herunter geladen habe scheinen auch sauber zu sein (zumindest heute und gestern) und haben den gleichen Hashwert wie von offizieller Seite gimp.org Auch Ähnlichkeiten der Software von Betroffenen hier im Forum anhand der Logs zu finden blieb bisher leider erfolglos. :wtf: Wäre auch froh dem Ganzen mal auf die Schliche zu kommen. |
Zitat:
von dem stammt doch startzentrale.de - die Startseite ins Internet :dummguck: |
Zitat:
Hier der Thread den ich meinte --> https://www.trojaner-board.de/66529-...ware-mehr.html |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board