|
Warnung vor VLC Player von vlc.de - Adware und mehr? Hallo, ich bin auf einen recht miesen Trick von Frank Bohling, dem Betreiber der Seite vlc.de rein gefallen. Frank Bohling bietet auf der Seite vlc.de verschiedene Open Source Programme, wie zum Beispiel den VLC Player, Firefox 3.0 oder Open Office zum Download an. [..]. Nach der Installation des VLC Players (vlc-0.9.8a-win32.exe) wurde die Startseite von Firefox und Internet Explorer auf losstarten.de gesetzt. Die Seite losstarten.de wird, wie soll es anders sein, ebenfalls von Frank Bohling betrieben. Ein erneutes festlegen auf die Startseite heise.de hat nichts gebracht. Beim nächsten Start stand in der URL hiese.de. Ich möchte mit diesem Post nicht nur Hilfe suchen, sondern alle eindringlich davor warnen, Software von dieser Seite herunter zu laden. Die Programme stehen auf der Seite immer noch zum Download. Gibt es die Möglichkeit, oder ist von euch hier im Forum so fit, die Exe in der Installationsroutine zu durchforsten? Hier sollte sich ja zweifelsfrei feststellen lassen, welche Schadsoftware hier ausgeliefert wird. Zum anderen habe ich ein Hijack-Log erstellt, dass eventuell Auskunft gibt. Über ein Feedback würde ich mich natürlich freuen. Ach ja, nach meinem Fehler habe ich Ad Adware installiert. Dieses Programm konnte zumindest das Problem mit der Startseite lösen. Mein Virenprogramm hat keinen Alarm geschlagen. Weder beim Prüfen der Exe, als beim Installieren der Datei. Ich verwende G Data Antivirus. Da ich mir aber nicht sicher bin, ob das alles war Ist vielleicht schon jemand Opfer von vlc.de geworden? Danke für eure Hilfe im Voraus! HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Halli hallo. Um dich ein bischen zu trösten: Die Seite ist wirklich "gut" gemacht. Auf sowas reinzufallen ist keine Schande! An dieser Stelle wieder der Appell: Programme nur von der originalen Herstellerseite dowloaden! Ist bei vlc.de natürlich echt link gemacht aber videolan.org würde nicht OpenOffice und sonstiges anbieten; als Tip für die Zukunft.. ;) Mein Kaspersky schlägt jedenfalls an :singsing: Zitat:
Da die exe einen Downloader beinhaltet kann man leider nicht genau nachvollziehen was da nach geladen wurde.. Ich kann aber mal gucken ob ich was finde.. Fixe mit HJT folgende Einträge: Zitat:
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. Scanne den Rechner danach bitte mit Anti-Malware und poste das log. Dann: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Danach: Systemanalyse
|
Hallo undoreal, vielen Dank für die unglaublich schnelle Antwort. Ich bin bereits beim Scannen mit Anti Malware. Parallel habe ich auch noch einen Scan mit Spybot Search & Destroy laufen. Das habe ich an andere Stelle noch als Empfehlung bekommen. |
Stop den Spybot Scan.. ;) Dann läuft MBA schneller durch und die Beiden zanken sich nicht. Spybot findet eh fast nichts... Das Prog war mal gut, ist es aber lange nicht mehr... PS: Bitte folge nur einem Hilfe-Strang! Sonst stelle ich den Support ein. |
so, beide sind durch und gezankt wurde auch nicht (hätte mir gerade noch gefehlt) :-). hab das fein nacheinander gemacht. Anti Malware Ergebnis war erfreulich: Code: Malwarebytes' Anti-Malware 1.31 |
So, hier nun das Log von Combofix Code: ComboFix 08-12-15.01 - ****** 2008-12-16 0:31:19.1 - NTFSx86 |
so, nun hab ich auch noch avz laufen lassen. die datei befindet sich unter http://rapidshare.com/files/173741580/avz_sysinfo.zip.html Schon jetzt vielen Dank für eure Hilfe und Mühe |
Deinstalliere bitte VLC. Hast du dir DVD CSS absichtlich installiert? Was ist TortoiseOverlays? Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: Files to delete:
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. Führe danach folgendes Skript mit AVZ aus (File -> Custom Skript): Zitat:
PS: Bei dir laufen jede Menge inaktiver Treiber und dein Autostart sieht auch recht zu gemüllt aus... Der Rechner könnte eine Generalüberholung gut brauchen.. ;) |
hallo undoreal, abermals vielen dank für deine hilfe. c:\programme\dsprojekt\dsprojekt.exe ist die zeiterfassung TortoiseOverlays gehört sicher zu tortoise ein svn tool (versionsverwaltung) DVD CSS habe ich glaub irgendwann mal testweise drauf gehabt. oder es ist mit einem codecpackage mit installiert worden vls hatte ich deinstalliert. die version, die du da siehst ist von der originalseite. :-) das mit den treibern könnte vielleicht daran liegen, dass ich ein macbook mit boorcamp verwende? das mit der autostart finde ich auch recht nervenaufreibend. wollte das ganze mal mit taskfree reinigen oder gibt es da etwas, daß du empfehlen würdest? so ... ich mach mich mal ans weitere säubern. |
Hi, ich habe gerade zweimal runtergeladen, die erste Datei von vlc.de, die zweite von videolan.org, der Originalseite. Code: C:\Dokumente und Einstellungen\KARL\Desktop>md5sum vlc-0.9.8a-win32_vlc_de.exeDennoch sollte man immer von der Originalseite laden. Eine Menge Leute fallen zum Beispiel auf einen mit der Google Toolbar infizierten Firefox von einer anderen Seite rein. Gruß, Karl |
Zitat:
Kaspersky (siehe unten) schlägt aber eindeutig Alarm. Kein heuristischer sondern ein Signaturen Fund.. @ gezopfer: Zitat:
Der cCleaner hat auch eine Funktion zum Entrümpeln des Autostarts... |
Hab kein Kaspersky. Heißt dann aber, dass VLC grundsätzlich verseucht ist, die Dateien sind identisch, damit müsste dann auch die Datei auf der Originalseite verseucht sein. |
Hallo KarlKarl, es geht um den VLC Player von VLC.de, wie auch im Topic gepostet. Der VLC Player von vlc.de ist verseucht! Lade dir die Version dort herunter. [..]. Nach der Installation waren die Startseiten von Firefox und Internet Explorer auf losstarten.de umgebogen. Diese Seite gehört ebenfalls Frank Bohling. Da braucht man wirklich nur 1 und 1 zusammen zu zählen. |
Zitat:
Ich nutze den vlc Player und habe es grade nochmal ausprobiert: von videolan.org => kein Kaspersky Alarm von vlc.de => Meldung wie unten gepostet. Kann das ein DriveBy sein oder hat es da jemand wirklich fertig gebracht die md5 zu fälschen?! Ich hab' letztens erst gelesen, dass das über Kollisionen machbar ist... Selbst SHA-1 ist nicht unknackbar.. |
Beide von mir runtergeladene Dateien sind identisch vom ersten bis zum letzten Bit. Dann bleibt nur der Schluss, dass vlc,de nicht jedem die infizierte Datei liefert. Ich bin es gewohnt, dass all diese tollen Seuchen auf meinen Computern nicht ankommen wollen, egal wieviel Mühe ich mir auch gebe, echt frustrierend :heulen: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board