| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Kino.to | Vermutung TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.10.2008, 15:29
| #1 |
| |  Kino.to | Vermutung Trojaner Hallo liebe Gemeinde, ich habe eine Frage - zu dieser habe ich auch die Boardsuche genutzt - Resulat: nichts gefunden. Was ich in diesem Thread NICHT diskutieren möchte, ist die Frage: Ist Kino.to legal? Dazu gibt's schon genug Diskusionen in anderen Boards. Umstand: Normalerweise besucht gibt man kino.to in die Adressleiste des Browser ein, und dann bleibt auch diese Adresse dort sichtbar stehen. Heute allerdings, ändert sich die URL in http://micmei.narod.ru/, was mich zu der Annahme einer Weiterleitung bringt. Weiterhin kommt ein Popup mit der Meldung: "Liebe Besucher, wenn euch folgende Seite angezeigt wird, habt ihr die zur korrekten Darstellung von Filmen benötigte Erweiterung noch nicht installiert. Ladet euch bitte folgende Erweiterung herunter, womit das Gucken von Filmen wieder ermöglicht wird und kino.to im vollen Umfang geladen werden kann. Euer KinoTeam Hier runterladen" Es gibt da einen Link auf eine Exe-Datei mit den Namen: "erweiterung.exe" - lädt man diese Datei runter und führt sie aus, passiert: Nichts. Zumindest offensichtlich. Ich habe mal File-/Regmon laufen lassen und hänge die Logs mal an. Besonders interessant ist, dass er anscheinend eine windows\svchost.exe erstellt - das Erstellungsdatum stimmt auch mit der Ausführung der erweiterung.exe überein. Soweit ich das aus dem Log lesen kann: er liest in allen möglichen Daten rum, erstellt dann eine svchost.exe in \windows\ - normalerweise liegt die nur in windows\system32. Ich habe Windows dann im abgesicherten Modus gestartet, dieses windows\svchost.exe in svchost2.exe umbenannt und es gab keine Probleme beim normalen Windowsstart. Meine Fragen: - Reicht das simple Umbenennen aus? - Könnt ihr weitere Informationen aus den Logs schließen? - Habt ihr weitere Lösungsvorschläge? Noch eine kleine Rechtfertigung: Zum einen ist es natürlich nicht gerade schlau irgendwelche exe-Dateien von russischen Seiten auszuführen - das weiß ich auch, leider ist es dennoch passiert. Zum anderen bin ich kein Raubkopierer - ich arbeite selbst in der Industry und weiß wieviel arbeit in Filmen/Spielen steckt. Wenn ich Kino.to mal nutze, dann bisher nur für z.B. Serien die es hier weder zu kaufen noch im TV zu sehen gab. Ich kann euch die kompletten Logs auch gern schicken... FILEMON ab Zeile 8078 8079 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8080 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8081 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS FileInternalInformation 8082 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS 8083 15:40:55 erweiterung.exe:1292 CREATE C:\windows\svchost.exe SHARING VIOLATION Options: OverwriteIf Sequential Access: 00130196 8084 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8085 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8086 15:40:55 erweiterung.exe:1292 CREATE C:\windows\svchost.exe SHARING VIOLATION Options: OverwriteIf Sequential Access: 00120196 8087 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8088 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8089 15:40:55 erweiterung.exe:1292 CLOSE C:\dokumente und einstellungen\***\desktop\erweiterung.exe SUCCESS 8090 15:40:55 erweiterung.exe:1292 CLOSE C:\Programme\Mozilla Firefox SUCCESS 8091 15:40:55 erweiterung.exe:1292 CLOSE C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 SUCCESS 8092 15:40:55 svchost.exe:1268 CREATE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: OverwriteIf Access: 0012019F 8093 15:40:55 svchost.exe:1268 WRITE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Offset: 0 Length: 10492 8094 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS 8095 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A 8096 15:40:55 ashServ.exe:1748 OPEN C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: Open Access: 00120189 8097 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492 8098 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A 8099 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS FileStreamInformation 8100 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492 8101 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492 8102 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A 8103 15:40:55 ashServ.exe:1748 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS 8104 15:40:55 svchost.exe:1268 OPEN C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: Open Access: Read 8105 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492 8106 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492 8107 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS 8108 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS Attributes: A 8109 15:40:55 svchost.exe:1268 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS Options: Open Access: 00020088 8110 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS FileInternalInformation 8111 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS 8112 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS Attributes: A 8113 15:40:55 svchost.exe:1268 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS Options: Open Access: 00020088 8114 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS FileInternalInformation 8115 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS 8116 15:40:55 svchost.exe:1268 CREATE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: OverwriteIf Access: 0012019F 8117 15:40:55 svchost.exe:1268 WRITE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Offset: 0 Length: 10492 8118 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS |
| Themen zu Kino.to | Vermutung Trojaner |
| abgesicherten modus, browser, desktop, einstellungen, ellung, erweiterung, exe-datei, exe-dateien, folge, frage, kino.to, link, lädt, mozilla, namen, popup, prefetch, probleme, programme, rum, schließen, seite, seiten, svchost.exe, system, trojane, trojaner, weiterleitung, windows |
Baum-Darstellung