|
Warnung vor VLC Player von vlc.de - Adware und mehr? Hallo, ich bin auf einen recht miesen Trick von Frank Bohling, dem Betreiber der Seite vlc.de rein gefallen. Frank Bohling bietet auf der Seite vlc.de verschiedene Open Source Programme, wie zum Beispiel den VLC Player, Firefox 3.0 oder Open Office zum Download an. [..]. Nach der Installation des VLC Players (vlc-0.9.8a-win32.exe) wurde die Startseite von Firefox und Internet Explorer auf losstarten.de gesetzt. Die Seite losstarten.de wird, wie soll es anders sein, ebenfalls von Frank Bohling betrieben. Ein erneutes festlegen auf die Startseite heise.de hat nichts gebracht. Beim nächsten Start stand in der URL hiese.de. Ich möchte mit diesem Post nicht nur Hilfe suchen, sondern alle eindringlich davor warnen, Software von dieser Seite herunter zu laden. Die Programme stehen auf der Seite immer noch zum Download. Gibt es die Möglichkeit, oder ist von euch hier im Forum so fit, die Exe in der Installationsroutine zu durchforsten? Hier sollte sich ja zweifelsfrei feststellen lassen, welche Schadsoftware hier ausgeliefert wird. Zum anderen habe ich ein Hijack-Log erstellt, dass eventuell Auskunft gibt. Über ein Feedback würde ich mich natürlich freuen. Ach ja, nach meinem Fehler habe ich Ad Adware installiert. Dieses Programm konnte zumindest das Problem mit der Startseite lösen. Mein Virenprogramm hat keinen Alarm geschlagen. Weder beim Prüfen der Exe, als beim Installieren der Datei. Ich verwende G Data Antivirus. Da ich mir aber nicht sicher bin, ob das alles war Ist vielleicht schon jemand Opfer von vlc.de geworden? Danke für eure Hilfe im Voraus! HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Halli hallo. Um dich ein bischen zu trösten: Die Seite ist wirklich "gut" gemacht. Auf sowas reinzufallen ist keine Schande! An dieser Stelle wieder der Appell: Programme nur von der originalen Herstellerseite dowloaden! Ist bei vlc.de natürlich echt link gemacht aber videolan.org würde nicht OpenOffice und sonstiges anbieten; als Tip für die Zukunft.. ;) Mein Kaspersky schlägt jedenfalls an :singsing: Zitat:
Da die exe einen Downloader beinhaltet kann man leider nicht genau nachvollziehen was da nach geladen wurde.. Ich kann aber mal gucken ob ich was finde.. Fixe mit HJT folgende Einträge: Zitat:
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. Scanne den Rechner danach bitte mit Anti-Malware und poste das log. Dann: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Danach: Systemanalyse
|
Hallo undoreal, vielen Dank für die unglaublich schnelle Antwort. Ich bin bereits beim Scannen mit Anti Malware. Parallel habe ich auch noch einen Scan mit Spybot Search & Destroy laufen. Das habe ich an andere Stelle noch als Empfehlung bekommen. |
Stop den Spybot Scan.. ;) Dann läuft MBA schneller durch und die Beiden zanken sich nicht. Spybot findet eh fast nichts... Das Prog war mal gut, ist es aber lange nicht mehr... PS: Bitte folge nur einem Hilfe-Strang! Sonst stelle ich den Support ein. |
so, beide sind durch und gezankt wurde auch nicht (hätte mir gerade noch gefehlt) :-). hab das fein nacheinander gemacht. Anti Malware Ergebnis war erfreulich: Code: Malwarebytes' Anti-Malware 1.31 |
So, hier nun das Log von Combofix Code: ComboFix 08-12-15.01 - ****** 2008-12-16 0:31:19.1 - NTFSx86 |
so, nun hab ich auch noch avz laufen lassen. die datei befindet sich unter http://rapidshare.com/files/173741580/avz_sysinfo.zip.html Schon jetzt vielen Dank für eure Hilfe und Mühe |
Deinstalliere bitte VLC. Hast du dir DVD CSS absichtlich installiert? Was ist TortoiseOverlays? Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code: Files to delete:
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. Führe danach folgendes Skript mit AVZ aus (File -> Custom Skript): Zitat:
PS: Bei dir laufen jede Menge inaktiver Treiber und dein Autostart sieht auch recht zu gemüllt aus... Der Rechner könnte eine Generalüberholung gut brauchen.. ;) |
hallo undoreal, abermals vielen dank für deine hilfe. c:\programme\dsprojekt\dsprojekt.exe ist die zeiterfassung TortoiseOverlays gehört sicher zu tortoise ein svn tool (versionsverwaltung) DVD CSS habe ich glaub irgendwann mal testweise drauf gehabt. oder es ist mit einem codecpackage mit installiert worden vls hatte ich deinstalliert. die version, die du da siehst ist von der originalseite. :-) das mit den treibern könnte vielleicht daran liegen, dass ich ein macbook mit boorcamp verwende? das mit der autostart finde ich auch recht nervenaufreibend. wollte das ganze mal mit taskfree reinigen oder gibt es da etwas, daß du empfehlen würdest? so ... ich mach mich mal ans weitere säubern. |
Hi, ich habe gerade zweimal runtergeladen, die erste Datei von vlc.de, die zweite von videolan.org, der Originalseite. Code: C:\Dokumente und Einstellungen\KARL\Desktop>md5sum vlc-0.9.8a-win32_vlc_de.exeDennoch sollte man immer von der Originalseite laden. Eine Menge Leute fallen zum Beispiel auf einen mit der Google Toolbar infizierten Firefox von einer anderen Seite rein. Gruß, Karl |
Zitat:
Kaspersky (siehe unten) schlägt aber eindeutig Alarm. Kein heuristischer sondern ein Signaturen Fund.. @ gezopfer: Zitat:
Der cCleaner hat auch eine Funktion zum Entrümpeln des Autostarts... |
Hab kein Kaspersky. Heißt dann aber, dass VLC grundsätzlich verseucht ist, die Dateien sind identisch, damit müsste dann auch die Datei auf der Originalseite verseucht sein. |
Hallo KarlKarl, es geht um den VLC Player von VLC.de, wie auch im Topic gepostet. Der VLC Player von vlc.de ist verseucht! Lade dir die Version dort herunter. [..]. Nach der Installation waren die Startseiten von Firefox und Internet Explorer auf losstarten.de umgebogen. Diese Seite gehört ebenfalls Frank Bohling. Da braucht man wirklich nur 1 und 1 zusammen zu zählen. |
Zitat:
Ich nutze den vlc Player und habe es grade nochmal ausprobiert: von videolan.org => kein Kaspersky Alarm von vlc.de => Meldung wie unten gepostet. Kann das ein DriveBy sein oder hat es da jemand wirklich fertig gebracht die md5 zu fälschen?! Ich hab' letztens erst gelesen, dass das über Kollisionen machbar ist... Selbst SHA-1 ist nicht unknackbar.. |
Beide von mir runtergeladene Dateien sind identisch vom ersten bis zum letzten Bit. Dann bleibt nur der Schluss, dass vlc,de nicht jedem die infizierte Datei liefert. Ich bin es gewohnt, dass all diese tollen Seuchen auf meinen Computern nicht ankommen wollen, egal wieviel Mühe ich mir auch gebe, echt frustrierend :heulen: |
Zitat:
Zitat:
Zitat:
Soll ich sie dir schicken? ^^ PS: Villeicht kommen die Dateien schon bei dir an aber du peilst es nicht?! :D :P ;) |
Da gibts einen Klassiker, schon von ganz alten DOS-Zeiten: Code: C:\WINDOWS\system32>comp /?Code: C:\bin>cmp --helpIrgendwie kann ich mir nicht vorstellen, dass der listige Frank Bohling alle Programme auf meinem Computer gepatcht hat, damit ich seinen Trojaner nicht bemerke :D Bleibt also wirklich nur der Schluss, dass er Browserkennung, Betriebssystem, IP oder was auch immer nutzt, um zu entscheiden, welche Version man erhält. |
KarlKarl, es gab da mal ne Sache mit Asus (?), da waren Treiber infiziert, aber nur auf einem der Server. Könnte doch hier ähnlich sein. Ne Art Zufallesgenerator der entscheidet, welche Datei man kriegt. |
Interessant: Die Datei die dort nun angeboten wird scheint in der Tat sauber zu sein. Ich bekomme nun auch keine Meldung mehr. Entweder startet er die Angriffe in Wellen, sodass man ihm hinterher schwer was beweisen kann oder er hat disen Thread bemerkt.. ^^ |
Ich habe die Exe "aufgehoben". KarlKarl. Du kannst sie Dir unter folgendem Link herunterlanden. http://rapidshare.com/files/174357118/vlc-0.9.8a-win32_verseucht.zip.html Da ich nicht in die Exe hinein sehen kann, ist leider nicht klar, was genau dieser Trojaner aus dem Netz heruntergeladen hat. Fakt bleibt, daß meine Browser nach der Installtion die besagten Seiten als Startseite hatten und im Impressum beide male Frank Bohling zu finden ist. Ich habe auch andere Beiträge hier im Forum gefunden, wo die Seite losstarten.de als Startseite zu finden war. Die Seite blieb auch hartnäckig nach erneutem Ändern als Startseite bestehen. Auf vlc.de wird zudem in einem Partnerprogramm anderen Geld dafür geboten die Softwaredownloads von vlc.de zu verlinken. So viel Gutmütigkeit kann ich mir beim besten Willen nicht vorstellen. |
Hat sich den keiner mal die Mühe gemacht die Downloadbedingungen durchzulesen? Da steht doch alles drin.... Zitat:
Dennse |
Hab Vista x64 gerade erst frisch aufgesetzt und wollte mal den vlc player installieren. -.- Hab mir also die v0.9.9 von vlc.de geholt und gleich mal doppelt geklickt. Unmittelbar danach kam der Fehler: <pfad>\temp\vlcsetup.exe konnte nicht gefunden werden und man solle irgendwas von wegen neu eingeben oder was auch immer. ^^ Den genauen Wortlaut weiß ich nicht mehr und nochmal nachschauen will ich jetzt nicht unbedingt. ^^ Nach dem zweiten Versuch hab ich dann ein wenig gegooglet und bin dann hier gelandet. Eigentlich bin ich ja immer mit sehr viel Vorsicht im Inet unterwegs und hätte auch nicht gedacht das ich je wieder eine verseuchte exe auf meinem Rechner ausführen würde nach reichlich bösen Erfahrungen damit. :headbang: Aber scheint ja halb so wild zu sein oder? Sowohl Internet Explorer als auch FireFox haben nach wie vor google als Startseite und auch sonst fällt mir keine bösartige Veränderung am System auf. Hab mir die gleiche Version von Chip runtergeladen und sie lässt sich wunderbar ausführen. Ist jetzt die besagte Fehlermeldung Teil des "Packets" oder ist der Trojaner nicht mit Vista x64 kompatibel? ^^ Ist es möglich das da doch was installiert wurde? Wonach und womit sollte ich am besten suchen? Bohling und co. hab ich nur folgendes zu sagen: :lmaa: [flame] Hab in einem anderen Forum einen Beitrag gelesen von einem mit dem Nick Bohling der meint man könne ja wunderbar auf vlc.de die neueste version vom vlc player downloaden. Da ist mir fast der Kopf geplatzt vor Wut. Bohling :snyper: [/flame] |
Ich würde mal drauf tippen, dass du auf Grund deines 64bit System Schwein gehabt hast. Überprüfe den Rechner vorsichtshalber mit Anti-Malware und poste das log. PS: Downloade dir Software grundsätzlich nur von der wirklic originalen HerstellerSeite! Impressum angucken und nachforschen! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board