Hinweise zu Ad/Malware Threads
 

ausgehend von diesem https://www.trojaner-board.de/196219-kleine-mithilfe-erwuenscht.html#post1721601 Thread werde ich, wenn mir etwas auffällt einen Hinweis posten.

Heute fiel mir in diesem https://www.trojaner-board.de/196217-firefox-startseite-www1-online-w.html Thread etwas auf:
Dort steht im Eingangspost u.a.
Die Sache ist nur: Gimp hat meines Wissens gar keinen Updater

Meine starke Vermutung ist, dass es unter C:\Users\xxx\AppData\Roaming\GIMP Updater\Updater.exe gibt von einem sog. "Arne Koenig"

ist in diesem https://www.trojaner-board.de/196188-1online-weiterleitung-pup-optional-russad-meldungen-malwarebytes.html Thread zb. der Fall und dort wird gleiches/ähnliches Verhalten beschrieben und auch in anderen Threads auch wenn es dort oft ein C:\Users\xxx\AppData\Roaming\OpenOffice Updater\Updater.exe ist, aber auch von "Arne Koenig" zb. hier https://www.trojaner-board.de/187481-www1-online-w-rd2121-browserzeile-open-office-update.html

Mangels Log im aktuellen Post kann ich hier nur Vermutungen aus dem Eingangspost anstellen. Aber ich bin ziemlich sicher, dass ich da richtig liege.

Es wäre immer sinnvoll auf Logs zu bestehen, so wie es üblicherweise auch der Fall ist.
Ich habe einfach schon zu oft erlebt, dass User mir sagten, sie hätten von der Originalherstellerseite geladen und dann wars zb. bei vlc dann doch vlc.de:pfui:

(ich bin übrigens auch immer interessiert zu erfahren von wo solche Dateien her kommen, und man darf mir auch gerne per PN diese Dateien zu senden, denn ich analysiere sie nach meinen Möglichkeiten und würde sie weiter leiten und Bugreports schreiben für zb. AdwCleaner damit sie in die Liste mit aufgenommen werden. Auch an Firefox Extensions, die unerwünschtes Ad/Malware Verhalten aufweisen, bin ich interessiert zwecks Bugreport/Blacklisting)

Ergänzung: Auch in diesem Thread https://www.trojaner-board.de/196211-win7-wurde-about-blank-erfolgreich-entfernt.html taucht auf

Danke für deine Hinweise.

zum Thread von Felix will ich eigentlich nicht viel sagen außer, dass Felix den Hinweis gab, der TO möge sich doch bitte melden wenn noch was ist. Ich klink mich in dem Thread mal ein, der TO möge doch FRST-Logs posten.


Ja da müsstest du aber mal den Threadverlauf richtig lesen. Da wurde noch nichtmal eine Bereinigung angefangen eben weil es nicht viel Sinn macht jetzt noch Zeit in ein uraltes Windows 7 zu stecken.

In dem einen oderen anderen Thread wurde der GIMP-Updater schonmal übersehen. Das sollte jetzt auch so langsam mal der adwCleaner erkennen. Ich werde M-K-D-B wenn er aus dem Urlaub zurück mal fragen, ob er Malwarebytes/adwCleaner informieren kann.

Grundsätzlich sind solche nachgemachten Seite aber ein Riesenärgernis - ich habe schon schon dutzende Mal zB diese Sch... Seite vlc.de bei Firefox als Betrugsversuch gemeldet. Aber passieren tut da nicht viel :balla: zumindest mit einem aktiven uBlock wird man gewarnt. Aber bei den anderen Nachmachern bislang nicht.

bezüglich
https://www.trojaner-board.de/196231-mehrere-einlogversuche-verschiedenen-laendern-konten.html#post1721696

Dort sind 2 Erweiterungen in Google Chrome, nämlich
nmmhkkegccagdldgiimedpiccmgmieda
pkedcjkdefgpdelpbcmbmeomcjbeemfm

Sollte man dem Nutzer vielleicht mitteilen.

beide in Google chrome Store nicht mehr vorhanden und diese stehlen wohl Daten (wenn ich mit meiner Recherche richtig liege)
BTW: hat google chrome keine Blocklist, die dann diese Erweiterungen blockt und automatisch auch im Profil deaktiviert? :kloppen:

Also Chrome ist mir mittlerweile sogut wie egal weil ich von diesem sch...browser eh abrate. Google greift die komplette Browsinghistorie ab, da isses ja fast schon wumpe ob man noch andere Schnüffler in diesem Browser hat :p

sehe ich (fast) genauso, allerdings ist es schon ein Unterschied ob Google die gesamte Browserchronik abgreift oder ob eine einzelne Person durch seine Erweiterung die Login Daten abgreift und missbraucht.
Deshalb fände ich es sinnvoll, den User darüber aufzuklären, warum man von Google Chrome abrät.

Ja was meinst du wohl warum ich einen Lesestoff dafür habe :D

grrr, ich war diesmal wohl zu voreilig als ich schrieb
Wie sich herausstellt sind das beides versteckte und nicht entfernbare default Extensions von Chrome und deshalb auch nicht im Chrome Webstore https://chrome.google.com/webstore/detail/xxx (xxx=ID der Erweiterung)

tut mir leid!

Kein Problem, lieber ein Hinweis zuviel als zuwenig :blabla:

Citro, danke nochmal für deine Hinweise. Ich hab manchmal bis oft den Eindruck etwas Betriebsblind zu werden. Ich finde es immer wieder gut auf so etwas hingewiesen zu werden und ermutige auch andere, dass zu tun. Nur mussten wir damals natürlich es unterbinden, dass jeder in den Hilfesthread selbst seinen Senf dazugeben kann :D

Sage mal was ist hier eigentlich los?! Schon wieder einer --> https://www.trojaner-board.de/196251...geaendert.html

Lädt jetzt die ganze Welt plötzlich GIMP nur noch von dieser sch....seite runter?! :wtf: :wtf:

Vorweg, ich selbst hab kein Problem mit "www1.online" . Mich interessiert,
wie diese Infektion auf dem PC landet. Im Forum/WWW gibt es mindestens
seit 2017 Meldungen dazu. Hilfestellungen den Müll loszuwerden gibt es hier
jede Menge aber über den Infektionsweg/Methode hab ich bisher nichts finden können.

Lt. Citro kommt das von gmip24 (Arne König)...

Ich frage mich auch die ganze Zeit wo das her kommt. Ich glaube auch nicht, dass Leute die ganze Zeit bei gimp24 runter laden. Ich schätze, dieser Updater kommt von Malware, die schon die ganze Zeit auf dem System schlummert und erst bei einem Update (ich weiß leider nicht durch was das angestoßen wird) aktiv wird.

Ich probiere die ganze Zeit das zu reproduzieren und mich in einer VM zu infizieren mit dem Kram und es gelingt mir nicht. Dabei klicke ich schon auf fast alles was mir an Werbebuttons so unter kommt.

Die Downloads, die ich bei gimp24 herunter geladen habe scheinen auch sauber zu sein (zumindest heute und gestern) und haben den gleichen Hashwert wie von offizieller Seite gimp.org

Auch Ähnlichkeiten der Software von Betroffenen hier im Forum anhand der Logs zu finden blieb bisher leider erfolglos. :wtf:

Wäre auch froh dem Ganzen mal auf die Schliche zu kommen.

Mhhh...
von dem stammt doch startzentrale.de - die Startseite ins Internet :dummguck:

Vor Jahren hatten IIRC das welche auch versucht, also sich absichtlich zu infizieren über vlc.de. Da sind die zum Schluss gekommen, dass der Server nicht immer eine infizierte Version ausliefert oder der Betreiber das bemerkt hat, dass man ihn beobachtet und dann schnell die infizierte durch eine Originaldatei ersetzt... :D

Hier der Thread den ich meinte --> https://www.trojaner-board.de/66529-...ware-mehr.html

Bei der Recherche hab ich Meldungen im WWW zu www1-online in 2015 und
hier im Board 2016 gefunden. Alle grübeln, woher das kommt:
bisher keine einzige nachvollziehbare Erklärung gefunden.

Ältere Meldung hab ich nicht gefunden, was vermuten läßt, dass es 2015 losgegangen ist
und sich bis heute fortsetzt

PS: bei einem Zeitraum von vier Jahren ist es merkwürdig, dass es bis heute keine
eindeutige Erklärung gibt. Liegt auch vielleicht daran, dass es lästig ist aber keine echte Bedrohung.

PPS: ganz interessanter Artikel
https://itler.net/beim-oeffnen-des-browser-oeffnet-sich-www1-onlinewrdxxxx/

Den Artikel kenne ich schon. Leider hilft das nicht weiter, was die eigentliche Ursache ist, also durch welches Programm diesen Startparameter verändert.
Vor allem die Häufung hier im Board in letzter Zeit ist erschreckend.

www.2-remove.com/how-to-remove-www1-online/
https://easyremovalguide.com/uninstall-www1-online-w-virus-quickly/
https://www.squader.com/projekt/bei-jedem-offnen-eines-browsers-auf-meinem-pc-wird-fur-2-sekunden-angezeigt-www1-online-ist-ein-virus.html
Über den "Autor" von www1.online gibt es keinerlei Hinweis oder Vermutung

www.virus4remove.com/de/www1-onlinew-entfernen/
ganz amüsanter Artikel zum Thema wenn auch etwas mühsam zu lesen....

Die wahrscheinlichste Quelle sind Downloads aus dubioser Quelle
https://forum.openoffice.org/en/forum/viewtopic.php?f=15&t=88643
erklärt aber nicht, wer genau davon profitiert > Cui bono?

Ach hör uff. Das sind doch fast alles Seiten, die aus dem englischen übersetzt wurden und hauptsächlich dazu zu dienen, den Nutzer zu veranlassen weitere Tools wie Reimage Repair (weitere Adware) zu installieren.

Danach kannste googlen nach "reimage repair tool entfernen" und wenn du Glück hast landest dann hier hxxp://anleitung.trojaner-board.de/reimage-entfernen-so-gehts_455 :blabla:

Das ist mir klar aber wir sind hier praktisch unter uns. :pfeiff:
Von denjenigen, die hier mitlesen, wird wohl kaum einer auf die Idee kommen son Quark zu installieren.
Einiges ist aber dennoch ganz interessant.
Was bleibt ist: " Nix genaues weiß man nicht"...

da bin ich mir absolut nicht sicher.
das sind seiten die spyhunter empfehlen bzw. direkt von spyhunter und wir als trojaner-board empfehlen spyhunter keinesfalls und ich persönlich bin auch dagegen solche seiten als quellen zu verlinken.

OK dann zitier ich nur entschärften Text ohne Links

Ganz naiv: Kann man den Registrant nicht mal fragen, was das soll?

Glaubst du von dem bekommst du eine ehrliche/hilfreiche Antwort? :D

nö
Was ich etwas merkwürdig finde, dass dieses "Phanomen" praktisch ausschließlich in Foren/Boards gemeldet/besprochen/kommentiert wird.
In der Fach/presse hab ich nirgends etwas zum Thema gefunden, was in Anbetracht des sehr langen Zeitraum (seit 2016) verwunderlich ist.
Ist das Thema nicht interessant=bedrohlich genug oder spielen eigene Interessen mit?

Bei heise z.B gibt es mehrere Anfragen im Forum wird aber nicht einmal im redaktionellen Teil erwähnt.

Mal ganz doof gefragt: hat man bei betroffenen Usern schon mal die hosts Datei (C:\Windows\system32\drivers\etc\hosts) angesehen? Könnte da etwas mit rein spielen?

Ich probiere krampfhaft von den verschiedenen Betroffenen-Logs mit diff zu vergleichen um Gemeinsamkeiten zu finden, aber bisher immer noch erfolglos.

BTW:Mit vlc.de habe ich es in der VM zwar mittlerweile geschafft, dass ich Startcenter habe als Programm, aber Auswirkungen sehe ich keine. Aber dieser Gimp Updater, da weiß ich immer noch nicht wo der her kommt.

Dank diesem Thread https://www.trojaner-board.de/196211-win7-wurde-about-blank-erfolgreich-entfernt.html haben wir jetzt zwar anhand des Scans mit Avira zwar den SHA256-Hash und man kann es auf virustotal dadurch sehen https://www.virustotal.com/gui/file/3325568fbecb35f6b61c0d12fec2e0df68ced0235a9b4bc76e6af1f4895cc2f4/detection aber so richtig hilft mir das auch nicht weiter, oder?

Ich hab jetzt mal testweise GIMP von gimp24.de runtergeladen. Die SHA256-Prüfsumme ist ok. Hier die Liste der Prüfsumme --> https://ftp.fau.de/gimp/gimp/v2.10/windows/SHA256SUMS

Und der Download von gimp24 lieferte mir 90038ea1895b2fe2a63fe6f69fc2115161b9af6a509e96ee08371138260de45e (gimp-2.10.12-setup-3.exe)

Entweder hat der Betreiber davon Wind bekommen oder der liefert einfach nicht jedem eine modifizierte Version aus. Oder gimp24 hatte schon immer unveränderte Dateien zum Download....

Ganz ernsthaft, meinst du, es interessiert ihn?

Klar doch. Man fragt seinen Koks-Dealer doch auch immer wieviel Edelweiß in seinem Stoff steckt :blabla:

Nicht? Also meiner sagt immer er verwendet Moltofill. :blabla:

wäre es möglich beim nächsten beim nächsten Betroffenen mal die Hosts Datei posten zu lassen? Mit Windowstaste+r und dann
notepad %WINDIR%\system32\drivers\etc\hosts
reinschreiben und posten.
Oder ist das unsinnig? (meine obige Frage wurde diesbezüglich nicht beantwortet)

Zumindest fand ich jetzt heraus, dass dieser Gimp Updater irgendwie nach
update-download.de sich verbindet.

Die Hostsdatei steht im FRST Log (Addition.Txt).

...wie niedlich... :dankeschoen:

oh, ganz übersehen, dass wenn nix drin steht halt auch nix aufgeführt wird :o
Dann hat sich das damit erledigt.

tja so bin ich halt :huepp:

In der Regel sind da eh 2 Arten von Einträgen drin, falls überhaupt. Aktivierungsserver und 198.000 Spyboteinträge.

Nö, aber ich würde trotzdem mal hören/sehen/lesen welches Kannitverstan er vom Stapel rollt

@Citro
ich finde es hervorragend, dass du dich so in das Problem reinkniest, :daumenhoc hab allerdings
Zweifel, selbst wenn der genaue Ablauf bekannt ist, damit die Verseuchung in den Griff zu
bekommen. Ein "präventive" Maßnahme wird die User kaum erreichen....

Vllt ist Citro ja das Phantom, also ArneKoenig :rofl:

Ich bin ja auch der ArneKoenig...aber Arne König von Mallorca :party:

Zu der Updater.exe

should i remove it
reddit

sieht soweit sauber aus

Zu der Updater.exe von dem Herrn König:

herdprotect

und das sieht dann doch anders aus und hat nichts mit gimp zu tun
meine vermutung die user haben sich da nicht gimp runtergeladen, sondern dachten es wäre gimp...
... oder open office
... oder was anderes
und das sagt mir, die leute gucken einfach nicht genug...
wie schon mehrfach erlebt :)

Ja aber ich bin doch durch Avira geschützt.

der stefan trägt einen schirm, meistens ist er geschlossen :D

Das Ding ist absolut nicht sauber. Nur weil irgend eine Seite schreibt stimmt es noch lange nicht!:headbang:

Ich kenne beide von dir geposteten Links bereits. Der reddit Thread, das ist halt ein false positive gewesen, der damals erkannt wurde aber bezieht sich auch nicht auf irgendeinen Updater.exe sondern auf das Original von gimp.org und ist auch sauber.
Wie im Eingangspost erwähnt, gibt es von gimp.org keine Updater.exe

Genauso unsauber ist dieser Arne König (der sicherlich anders heißt) und webspace (mit 24.de dran) verkauft und x Domains registriert hat, durch die man durch Vertipper drauf stößt wie https://archive.is/CuSoK
Außerdem hat er wohl auch in der Vergangenheit gerne mal ne Phishing Scam Mail verschickt.

Meine Liste diesbezüglich ist lang...

Und nun?

...shreddern alle, die GIMP heruntergeladen haben (ich vor 7 Tagen), ihre Festplatten.

Paul Stanley. I was made for lovin u :D

https://upload.wikimedia.org/wikiped...y0846-1000.jpg

ist das echthaar? :party:

Nein das sind Prothesen :rofl:.... :kaffee_reboot::party::kaffee_reboot::pfui::taenzer::applaus:

Eigentlich hätte ich erwartet, dass man/frau bei "7 Tagen" mit was anderem um die Ecke kommen würde.

https://www.welt.de/img/kultur/kino/...80/RINGS-6.jpg

Ich hab mir meine Kopie schon erstellt... warte nur noch drauf, die GIMP-Datei weitergeben zu können :-D

Ist das jetzt nicht eigentlich ein Fall für die Taverne? :party:

Du bist stanley....hauptsache du bist wieder hier und rockst das Forum :D

Naja... gefühlt ist hier ja immer weniger los.... Scheint so, als gibt's bald keine Bedrohungen mehr :confused: :taenzer:

Dafür gibt es mehr spam :blabla:

Korrektur: Es gibt noch Menschen, die vor den Geräten sitzen. Insofern.... :heilig:

Aber es ist so geil, dass du hier auch wieder bist :Boogie:

Mal schauen wie lange... hier ist ja echt nichts mehr los....

Schau dir mal die Taverne und Mülltonne an :blabla:

Soviel ist da doch jetzt auch nicht oder übersehe ich da irgendwas...? Finde da einen interessanten Thread von Dirty-Harry, einen ähnlichen hatte ich erst gestern gefunden, der User hatte aber einen anderen Nick und es ging um Narzissmus :applaus:

Und ein paar Spam-Bots scheinen ihr Unwesen hier zu treiben. Es scheint wohl, als gäbe es keinen Bot-Filter :rofl:

Jetzt verdichten sich die Hinweise auf CHIP.de als Übeltäter siehe https://www.trojaner-board.de/196269...ml#post1721995

Um mal was zu der Sache beizutragen: Mein Tipp wäre ja sowas wie wie https://gimp-updater.updatestar.com/de oder sowas in der Art, wobei ich in den geprüften Threads dazu nichts gefunden habe. Gemeinsam haben alle mit dem Problem die "GIMP-Version" 2.8.19, die es offiziell aber nicht gibt. Bei GIMP selbst findest du nur 2.8.18 oder 2.8.20. Auch bei GIMP24 gibt's keine .19

Wenn du eine Quelle für .19 findest, hast du denke ich die Quelle für diesen Weiterleitungsmist gefunden.

Chip wird es denke ich nicht sein.

Insofern wird es sein, wie Bootsektor hier schon geschrieben hatte: Die Leute dachten, sie würden GIMP herunterladen...

Sowohl Programme mit dem Chip-Installer als auch Updatestar hatte ich bereits vor Tagen ausprobiert. Bisher weiterhin kein Ergebnis.

War da denn die 2.8.19 dabei?

Bei Updatestar wird diese als quasi neu angegeben ("Die neueste Version ist 2.8.19, veröffentlicht am 20.05.2019."), was aber Blödsinn ist, da die 2.8.x-Versionen alle aus 2016 stammen.

Nein, das Prog prüft ja auch nur auf Updates installierter Programme ob es dafür Updates gibt. Und da ich bisher nicht an die Gimp-Updater Datei gekommen bin, ist da natürlich auch nix dabei. (Aber Updates mit dem Programm gibt es eh nur in der Bezahl Version.)

Updatestar gibt zumindest vor, nach Updates installierter Programme zu suchen. Die Angaben zu GIMP sind auf jeden Fall falsch und passen ins Bild bei den bisherigen Vorfällen hinsichtlich Versionsnummer. Auch eher "zweifelhaft" finde ich, dass Updatestar vom Windows-Defender geblockt wird (Misleading:Win32/Rutspade). Für was der Treffer genau steht, konnte ich nicht weiter nachvollziehen. Misleading ist aber für sich schon sehr eindeutig.

Als Quelle des Übels sehe ich Updatestar bei all den Fällen aber nicht...

Hatten wir schon die Möglichkeit erwähnt, dass einfach ein dummer Werbebanner den User auffordert GIMP zu aktualisieren? Und der User klickt den an? :rofl:

Nö, glaube nicht. So wird es aber wahrscheinlich sein...

Ich war lange im Urlaub und bin erst seit dieser Woche wieder zurück. Folgendes seit noch erwähnt:

1)
Bei allen Seiten, auf denen "Aller Media", "Arne König" oder "Frank Bohling" als Inhaber im Impressum steht, sollte man Abstand halten.

2)
gimp ist eine weitere Software, die es "erwischt" hat (nach VLC Player, OpenOffice, etc.).

3)
Ich habe diesen "Fake Gimp Updater" (wie bereits andere PUPs in den Jahren zuvor) bereits an farbar gemeldet, d. h. farbars Tool FRST (Farbar Recovery Scan Tool) markiert in der Datei Addition.txt die ensprechende Software mit "<====== Achtung". ;)



Langsam bekomme ich Bock, ein Tool alias "German-PUP-Cleaner" zu entwicklen, um jeglichen Mist dieser Art mit einem Schlag zu erwischen...

Gute Idee, mach das mal! :applaus:

Ist allerdings sehr zeitintensiv... außerdem gefällt mir der Name noch nicht... :D
Hast du Vorschläge? ;)

Wozu eine Batch schreiben, wenn es FRST sowieso anzeigt und man es über Einstellungen > Apps bzw. mit FRST entfernen kann... :party:

Fakecleaner?

GermanFakeCleaner... oder GermanPUPCleaner :D

FakeKingCleaner :blabla:

Was ist hiermit cosinus? ;)

Zudem gibt es ja noch AdwCleaner und MBAM. :)

Ich glaube, ich lass das lieber, denn Aufwand - Nutzen stehen in keinem guten Verhältnis. :D
Mittlweile gibt es ja fast keine neuen Themen mehr im Malwarebereich.

Inzwischen kenne sich alle mit Paint aus :)

Der war gut. :lach: :daumenhoc

Wie wärs mit Femaleware :rofl:
Stefan, ein Post noch und du hast die 2000er Marke erreicht! :applaus: