Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Kino.to | Vermutung Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.10.2008, 15:29   #1
iLegacy
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Hallo liebe Gemeinde,

ich habe eine Frage - zu dieser habe ich auch die Boardsuche genutzt - Resulat: nichts gefunden.
Was ich in diesem Thread NICHT diskutieren möchte, ist die Frage:

Ist Kino.to legal?
Dazu gibt's schon genug Diskusionen in anderen Boards.

Umstand:

Normalerweise besucht gibt man kino.to in die Adressleiste des Browser ein, und dann bleibt auch diese Adresse dort sichtbar stehen. Heute allerdings, ändert sich die URL in http://micmei.narod.ru/, was mich zu der Annahme einer Weiterleitung bringt.

Weiterhin kommt ein Popup mit der Meldung:

"Liebe Besucher, wenn euch folgende Seite angezeigt wird, habt ihr die zur korrekten Darstellung von Filmen benötigte Erweiterung noch nicht installiert.

Ladet euch bitte folgende Erweiterung herunter, womit das Gucken von Filmen wieder ermöglicht wird und kino.to im vollen Umfang geladen werden kann.

Euer KinoTeam

Hier runterladen"


Es gibt da einen Link auf eine Exe-Datei mit den Namen: "erweiterung.exe" - lädt man diese Datei runter und führt sie aus, passiert: Nichts. Zumindest offensichtlich.
Ich habe mal File-/Regmon laufen lassen und hänge die Logs mal an. Besonders interessant ist, dass er anscheinend eine windows\svchost.exe erstellt - das Erstellungsdatum stimmt auch mit der Ausführung der erweiterung.exe überein. Soweit ich das aus dem Log lesen kann: er liest in allen möglichen Daten rum, erstellt dann eine svchost.exe in \windows\ - normalerweise liegt die nur in windows\system32.

Ich habe Windows dann im abgesicherten Modus gestartet, dieses windows\svchost.exe in svchost2.exe umbenannt und es gab keine Probleme beim normalen Windowsstart.

Meine Fragen:
- Reicht das simple Umbenennen aus?
- Könnt ihr weitere Informationen aus den Logs schließen?
- Habt ihr weitere Lösungsvorschläge?


Noch eine kleine Rechtfertigung: Zum einen ist es natürlich nicht gerade schlau irgendwelche exe-Dateien von russischen Seiten auszuführen - das weiß ich auch, leider ist es dennoch passiert. Zum anderen bin ich kein Raubkopierer - ich arbeite selbst in der Industry und weiß wieviel arbeit in Filmen/Spielen steckt. Wenn ich Kino.to mal nutze, dann bisher nur für z.B. Serien die es hier weder zu kaufen noch im TV zu sehen gab.


Ich kann euch die kompletten Logs auch gern schicken...

FILEMON
ab Zeile 8078
8079 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8080 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8081 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS FileInternalInformation
8082 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS
8083 15:40:55 erweiterung.exe:1292 CREATE C:\windows\svchost.exe SHARING VIOLATION Options: OverwriteIf Sequential Access: 00130196
8084 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8085 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8086 15:40:55 erweiterung.exe:1292 CREATE C:\windows\svchost.exe SHARING VIOLATION Options: OverwriteIf Sequential Access: 00120196
8087 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8088 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000
8089 15:40:55 erweiterung.exe:1292 CLOSE C:\dokumente und einstellungen\***\desktop\erweiterung.exe SUCCESS
8090 15:40:55 erweiterung.exe:1292 CLOSE C:\Programme\Mozilla Firefox SUCCESS
8091 15:40:55 erweiterung.exe:1292 CLOSE C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 SUCCESS
8092 15:40:55 svchost.exe:1268 CREATE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: OverwriteIf Access: 0012019F
8093 15:40:55 svchost.exe:1268 WRITE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Offset: 0 Length: 10492
8094 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS
8095 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A
8096 15:40:55 ashServ.exe:1748 OPEN C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: Open Access: 00120189
8097 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492
8098 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A
8099 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS FileStreamInformation
8100 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492
8101 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492
8102 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A
8103 15:40:55 ashServ.exe:1748 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS
8104 15:40:55 svchost.exe:1268 OPEN C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: Open Access: Read
8105 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492
8106 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492
8107 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS
8108 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS Attributes: A
8109 15:40:55 svchost.exe:1268 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS Options: Open Access: 00020088
8110 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS FileInternalInformation
8111 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS
8112 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS Attributes: A
8113 15:40:55 svchost.exe:1268 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS Options: Open Access: 00020088
8114 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS FileInternalInformation
8115 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS
8116 15:40:55 svchost.exe:1268 CREATE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: OverwriteIf Access: 0012019F
8117 15:40:55 svchost.exe:1268 WRITE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Offset: 0 Length: 10492
8118 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS

Alt 18.10.2008, 15:48   #2
Nosferatu91
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Also grundsätzlich (soweit meine Kenntnisse) ist das Runterladen aus dem Internet ja nicht illegal.
Es wird erst Illegal sobald du selber Dateien (natürlich durch lizenzen o.ä. geschützt) hochlädst! Trotzdem solltest du vorsichtig damit sein...es ändert sich schliesslich alles ständig ;D
__________________


Alt 18.10.2008, 15:58   #3
myrtille
/// TB-Ausbilder
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Hast du die Datei mal bei virustotal hochgeladen?

lg myrtille
__________________
__________________

Alt 18.10.2008, 16:23   #4
iLegacy
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Vielen Dank für diesen Tipp! Ich wußte gar nicht dass es so eine Seite gibt, er findet auch ein paar Sachen: http://www.virustotal.com/de/analisis/a6ec94b9bde4bc22a05d9ef9cc31c9fd

Was meinst du, ist das ein Fehlalarm? Ich denke nicht, denn es ist schon komisch dass er eine neue svchost erstellt und dazu noch die selben Viren in dieser wie auch in der erweiterung.exe gefunden wurde!

Alt 18.10.2008, 20:16   #5
gflow
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



ich hab mir auch die erweiterung runtergeladen. als ich festgestellt habe, dass ich sie nicht mehr löschen kann, habe ich das system auf einen tag davor wiederhergestellt.

eigentlich ist das keine lösung, aber nun ist die erweiterung.exe nicht mehr da und mein pc funktioniert noch normal.

kann es sein, dass es nur ein fehlalarm war?

Ich halte euch auf dem laufenden falls was passiert.


Alt 18.10.2008, 20:20   #6
-SkY-
Gast
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Herrgottnochmal, habs mir grad auch runtergeladen, aber Anubis muss mal wieder streiken -.-

Alt 18.10.2008, 20:27   #7
iLegacy
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Also wir setzen einfach den Rechner neu auf, das Sicherheitsrisiko ist einfach zu groß weil auf dem Rechner auch OnlineBanking betrieben wird. Ich glaube nicht dass es ein Fehlalarm ist. Wenn es stimmen würde, dass diese Datei zum betrachten der Filme nötig wäre, dann würde doch eine korrekte Setup kommen und garantiert nix was im Hintergrund eine svchost.exe erstellt. Aber die Datei "erweiterung.exe" konnten wir ohne Problem löschen...

Alt 18.10.2008, 20:41   #8
-SkY-
Gast
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Zitat:
Zitat von iLegacy Beitrag anzeigen
Also wir setzen einfach den Rechner neu auf, ...
Ja, das wird auch das einfachste sein..

Wenns dich doch interressiert was es ist/war, wenn ich was neues weiß, poste ich es..

Alt 18.10.2008, 20:46   #9
iLegacy
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Jep wäre cool

Alt 18.10.2008, 22:35   #10
psp®az€rv²
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



meine güte löscht es doch einfach mit unlocker ^^

und ich würde sowas net herunterladen.
__________________
ich bin nicht die signatur ich putz nur

Alt 18.10.2008, 23:28   #11
Orange
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Die Seite ist in der Tat gehackt worden.
Und es wird durch diese "erweiterung.exe" eine Schadsoftware verbreitet.

Nachzulesen hier, wo kino.to noch zu erreichen ist:
h**p://92.241.169.251/?Goto=Index

Alt 19.10.2008, 09:16   #12
gflow
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



seid ihr sicher ich sollte meinen pc neu aufsetzen? Ich hab zwei partitionen. meint ihr es sind beide partitionen befallen?

Alt 19.10.2008, 11:58   #13
Evaristo
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Mögliche Lösung für Leute die den Trojaner installiert haben:

Habe die Datei "erweiterung.exe" von kino.to auf meinem PC installiert.
Daraufhin konnte ich kaum noch eine verbindung mit dem Internet herstellen. Hab mir mit dem Laptop die Gratissoftware "Spybot Search & Destroy" heruntergeladen und auf dem PC installiert.
Nachdem Ausführen entdeckt der Spybot eine Installierte Datei Namens "svchost.exe" im C:/windows Verzeichnis und entfernt diese Datei irgendwie halbwegs. ich musste danach den PC nochmals neustarten und wurde nach dem Neustart nochmals gefragt ob ich sicher bin ob ich diese Datei entfernen möchte. Habe dem zugestimmt und jetzt funktioniert alles wieder einwandfrei!

cheers

Alt 19.10.2008, 13:52   #14
Arlett
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Ich hab mir das Pferdchen auch runtergeladen hab es aber sofort wieder weggekriegt mit Malwarebytes Anti- Malware. Am besten im Internet runterladen, scannen und alles löschen was gefunden wird. Das Programm ist super. Ansonsten kann ich sehr empfehlen sich bei Viren, Trojanern und anderem Mist an Pauls PC- Forum zu wenden. Dort findet man auch ne ganz genaue Anleitung zur Durchsuchung und Beseitigung.

Alt 19.10.2008, 14:50   #15
Vaio
 
Kino.to | Vermutung Trojaner - Standard

Kino.to | Vermutung Trojaner



Bemerkenswert, wie manche Leute blind im Internet verkehren, wobei insbesondere hier kein großes technisches Verständnis von Nöten ist, sondern gesundes Misstrauen. Oder sind die Änderungen auf der Seite nicht aufgefallen? Und wieso auf ein mal ein Programm zur Darstellung der Filme herunterladen? Muss doch vorher auch funktioniert haben! Aber danach fragt ja keiner, schließlich macht die „berechtigte“ Gier der Menschen, kostenlose Filme an zugucken, einfach blind.

Gute Virenprogramme wie GData, Kaspersky etc. sperren die Seite durch einen HTTP Filter, sobald man auf herunterladen klickt, gänzlich (testweise an einem alten PC ausprobiert). Es erscheint dann ein komplett roter Hintergrund mit folgender Warnung:

WEBSEITE GESPERRT!
GData Internet Security 2008 hat den Zugriff auf diese Seite verweigert.
Die Seite enthält infizierten Code Trojan.Win32.Agent.ahze

Übrigens würde ich nicht immer darauf vertrauen, das man Schadprogramme komplett löschen kann, da sich gute Programme überall einnisten können. Das beste Mittel ist und bleibt, die komplette Festplatte mindestens 2 x zu formatieren.

Geändert von Vaio (19.10.2008 um 14:56 Uhr)

Antwort

Themen zu Kino.to | Vermutung Trojaner
abgesicherten modus, browser, desktop, einstellungen, ellung, erweiterung, exe-datei, exe-dateien, folge, frage, kino.to, link, lädt, mozilla, namen, popup, prefetch, probleme, programme, rum, schließen, seite, seiten, svchost.exe, system, trojane, trojaner, weiterleitung, windows



Ähnliche Themen: Kino.to | Vermutung Trojaner


  1. Vermutung auf Trojaner
    Log-Analyse und Auswertung - 07.09.2014 (4)
  2. Android Trojaner mit Zugriff auf Betriebssystem..... Vermutung!
    Plagegeister aller Art und deren Bekämpfung - 03.04.2014 (1)
  3. Windows7: Vermutung auf Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.12.2013 (9)
  4. Ständig Weisser Bildschirm nach XP Neustart Vermutung: Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.03.2012 (1)
  5. Vermutung auf Trojaner - eventuell Rootkit
    Plagegeister aller Art und deren Bekämpfung - 26.09.2011 (2)
  6. Frage zu Kino.to
    Antiviren-, Firewall- und andere Schutzprogramme - 26.03.2011 (6)
  7. HijackThis Log. Vermutung auf Trojaner
    Log-Analyse und Auswertung - 22.03.2011 (1)
  8. Trojaner Vermutung
    Log-Analyse und Auswertung - 01.10.2010 (8)
  9. Hijackthis file...vermutung von trojaner :S
    Log-Analyse und Auswertung - 08.03.2010 (18)
  10. Vermutung auf Trojaner und Wurm
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (5)
  11. kino.to
    Diskussionsforum - 27.08.2009 (20)
  12. Trojaner-Vermutung
    Log-Analyse und Auswertung - 18.05.2009 (76)
  13. Warnung vor dem Web-Kino (kino.to)
    Diskussionsforum - 19.04.2009 (52)
  14. [Vermutung] Immernoch Trojaner und/oder Malware
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (1)
  15. Vermutung auf einen Trojaner =/
    Mülltonne - 14.07.2006 (2)

Zum Thema Kino.to | Vermutung Trojaner - Hallo liebe Gemeinde, ich habe eine Frage - zu dieser habe ich auch die Boardsuche genutzt - Resulat: nichts gefunden. Was ich in diesem Thread NICHT diskutieren möchte, ist die - Kino.to | Vermutung Trojaner...
Archiv
Du betrachtest: Kino.to | Vermutung Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.