|
Kino.to | Vermutung Trojaner Hallo liebe Gemeinde, ich habe eine Frage - zu dieser habe ich auch die Boardsuche genutzt - Resulat: nichts gefunden. Was ich in diesem Thread NICHT diskutieren möchte, ist die Frage: Ist Kino.to legal? Dazu gibt's schon genug Diskusionen in anderen Boards. Umstand: Normalerweise besucht gibt man kino.to in die Adressleiste des Browser ein, und dann bleibt auch diese Adresse dort sichtbar stehen. Heute allerdings, ändert sich die URL in http://micmei.narod.ru/, was mich zu der Annahme einer Weiterleitung bringt. Weiterhin kommt ein Popup mit der Meldung: "Liebe Besucher, wenn euch folgende Seite angezeigt wird, habt ihr die zur korrekten Darstellung von Filmen benötigte Erweiterung noch nicht installiert. Ladet euch bitte folgende Erweiterung herunter, womit das Gucken von Filmen wieder ermöglicht wird und kino.to im vollen Umfang geladen werden kann. Euer KinoTeam Hier runterladen" Es gibt da einen Link auf eine Exe-Datei mit den Namen: "erweiterung.exe" - lädt man diese Datei runter und führt sie aus, passiert: Nichts. Zumindest offensichtlich. Ich habe mal File-/Regmon laufen lassen und hänge die Logs mal an. Besonders interessant ist, dass er anscheinend eine windows\svchost.exe erstellt - das Erstellungsdatum stimmt auch mit der Ausführung der erweiterung.exe überein. Soweit ich das aus dem Log lesen kann: er liest in allen möglichen Daten rum, erstellt dann eine svchost.exe in \windows\ - normalerweise liegt die nur in windows\system32. Ich habe Windows dann im abgesicherten Modus gestartet, dieses windows\svchost.exe in svchost2.exe umbenannt und es gab keine Probleme beim normalen Windowsstart. Meine Fragen: - Reicht das simple Umbenennen aus? - Könnt ihr weitere Informationen aus den Logs schließen? - Habt ihr weitere Lösungsvorschläge? Noch eine kleine Rechtfertigung: Zum einen ist es natürlich nicht gerade schlau irgendwelche exe-Dateien von russischen Seiten auszuführen - das weiß ich auch, leider ist es dennoch passiert. Zum anderen bin ich kein Raubkopierer - ich arbeite selbst in der Industry und weiß wieviel arbeit in Filmen/Spielen steckt. Wenn ich Kino.to mal nutze, dann bisher nur für z.B. Serien die es hier weder zu kaufen noch im TV zu sehen gab. Ich kann euch die kompletten Logs auch gern schicken... FILEMON ab Zeile 8078 8079 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8080 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8081 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS FileInternalInformation 8082 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS 8083 15:40:55 erweiterung.exe:1292 CREATE C:\windows\svchost.exe SHARING VIOLATION Options: OverwriteIf Sequential Access: 00130196 8084 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8085 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8086 15:40:55 erweiterung.exe:1292 CREATE C:\windows\svchost.exe SHARING VIOLATION Options: OverwriteIf Sequential Access: 00120196 8087 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8088 15:40:55 erweiterung.exe:1292 OPEN C:\windows\ SUCCESS Options: Open Directory Access: 00100000 8089 15:40:55 erweiterung.exe:1292 CLOSE C:\dokumente und einstellungen\***\desktop\erweiterung.exe SUCCESS 8090 15:40:55 erweiterung.exe:1292 CLOSE C:\Programme\Mozilla Firefox SUCCESS 8091 15:40:55 erweiterung.exe:1292 CLOSE C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83 SUCCESS 8092 15:40:55 svchost.exe:1268 CREATE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: OverwriteIf Access: 0012019F 8093 15:40:55 svchost.exe:1268 WRITE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Offset: 0 Length: 10492 8094 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS 8095 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A 8096 15:40:55 ashServ.exe:1748 OPEN C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: Open Access: 00120189 8097 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492 8098 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A 8099 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS FileStreamInformation 8100 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492 8101 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492 8102 15:40:55 ashServ.exe:1748 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Attributes: A 8103 15:40:55 ashServ.exe:1748 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS 8104 15:40:55 svchost.exe:1268 OPEN C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: Open Access: Read 8105 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492 8106 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Length: 10492 8107 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS 8108 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS Attributes: A 8109 15:40:55 svchost.exe:1268 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS Options: Open Access: 00020088 8110 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS FileInternalInformation 8111 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE SUCCESS 8112 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS Attributes: A 8113 15:40:55 svchost.exe:1268 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS Options: Open Access: 00020088 8114 15:40:55 svchost.exe:1268 QUERY INFORMATION C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS FileInternalInformation 8115 15:40:55 svchost.exe:1268 CLOSE C:\DOKUMENTE UND EINSTELLUNGEN\***\DESKTOP\ERWEITERUNG.EXE:ZONE.IDENTIFIER SUCCESS 8116 15:40:55 svchost.exe:1268 CREATE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Options: OverwriteIf Access: 0012019F 8117 15:40:55 svchost.exe:1268 WRITE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS Offset: 0 Length: 10492 8118 15:40:55 svchost.exe:1268 CLOSE C:\WINDOWS\Prefetch\ERWEITERUNG.EXE-3479EFBC.pf SUCCESS |
Also grundsätzlich (soweit meine Kenntnisse) ist das Runterladen aus dem Internet ja nicht illegal. Es wird erst Illegal sobald du selber Dateien (natürlich durch lizenzen o.ä. geschützt) hochlädst! Trotzdem solltest du vorsichtig damit sein...es ändert sich schliesslich alles ständig ;D |
|
Vielen Dank für diesen Tipp! Ich wußte gar nicht dass es so eine Seite gibt, er findet auch ein paar Sachen: http://www.virustotal.com/de/analisis/a6ec94b9bde4bc22a05d9ef9cc31c9fd Was meinst du, ist das ein Fehlalarm? Ich denke nicht, denn es ist schon komisch dass er eine neue svchost erstellt und dazu noch die selben Viren in dieser wie auch in der erweiterung.exe gefunden wurde! |
ich hab mir auch die erweiterung runtergeladen. als ich festgestellt habe, dass ich sie nicht mehr löschen kann, habe ich das system auf einen tag davor wiederhergestellt. eigentlich ist das keine lösung, aber nun ist die erweiterung.exe nicht mehr da und mein pc funktioniert noch normal. kann es sein, dass es nur ein fehlalarm war? Ich halte euch auf dem laufenden falls was passiert. |
Herrgottnochmal, habs mir grad auch runtergeladen, aber Anubis muss mal wieder streiken -.- |
Also wir setzen einfach den Rechner neu auf, das Sicherheitsrisiko ist einfach zu groß weil auf dem Rechner auch OnlineBanking betrieben wird. Ich glaube nicht dass es ein Fehlalarm ist. Wenn es stimmen würde, dass diese Datei zum betrachten der Filme nötig wäre, dann würde doch eine korrekte Setup kommen und garantiert nix was im Hintergrund eine svchost.exe erstellt. Aber die Datei "erweiterung.exe" konnten wir ohne Problem löschen... |
Zitat:
Wenns dich doch interressiert was es ist/war, wenn ich was neues weiß, poste ich es.. |
Jep wäre cool :) |
meine güte löscht es doch einfach mit unlocker ^^ und ich würde sowas net herunterladen. |
Die Seite ist in der Tat gehackt worden. Und es wird durch diese "erweiterung.exe" eine Schadsoftware verbreitet. Nachzulesen hier, wo kino.to noch zu erreichen ist: h**p://92.241.169.251/?Goto=Index |
seid ihr sicher ich sollte meinen pc neu aufsetzen? Ich hab zwei partitionen. meint ihr es sind beide partitionen befallen? |
Mögliche Lösung für Leute die den Trojaner installiert haben: Habe die Datei "erweiterung.exe" von kino.to auf meinem PC installiert. Daraufhin konnte ich kaum noch eine verbindung mit dem Internet herstellen. Hab mir mit dem Laptop die Gratissoftware "Spybot Search & Destroy" heruntergeladen und auf dem PC installiert. Nachdem Ausführen entdeckt der Spybot eine Installierte Datei Namens "svchost.exe" im C:/windows Verzeichnis und entfernt diese Datei irgendwie halbwegs. ich musste danach den PC nochmals neustarten und wurde nach dem Neustart nochmals gefragt ob ich sicher bin ob ich diese Datei entfernen möchte. Habe dem zugestimmt und jetzt funktioniert alles wieder einwandfrei! cheers |
Ich hab mir das Pferdchen auch runtergeladen hab es aber sofort wieder weggekriegt mit Malwarebytes Anti- Malware. Am besten im Internet runterladen, scannen und alles löschen was gefunden wird. Das Programm ist super. Ansonsten kann ich sehr empfehlen sich bei Viren, Trojanern und anderem Mist an Pauls PC- Forum zu wenden. Dort findet man auch ne ganz genaue Anleitung zur Durchsuchung und Beseitigung. |
Bemerkenswert, wie manche Leute blind im Internet verkehren, wobei insbesondere hier kein großes technisches Verständnis von Nöten ist, sondern gesundes Misstrauen. Oder sind die Änderungen auf der Seite nicht aufgefallen? Und wieso auf ein mal ein Programm zur Darstellung der Filme herunterladen? Muss doch vorher auch funktioniert haben! Aber danach fragt ja keiner, schließlich macht die „berechtigte“ Gier der Menschen, kostenlose Filme an zugucken, einfach blind. :blabla: Gute Virenprogramme wie GData, Kaspersky etc. sperren die Seite durch einen HTTP Filter, sobald man auf herunterladen klickt, gänzlich (testweise an einem alten PC ausprobiert). Es erscheint dann ein komplett roter Hintergrund mit folgender Warnung: WEBSEITE GESPERRT! GData Internet Security 2008 hat den Zugriff auf diese Seite verweigert. Die Seite enthält infizierten Code Trojan.Win32.Agent.ahze :uglyhammer: Übrigens würde ich nicht immer darauf vertrauen, das man Schadprogramme komplett löschen kann, da sich gute Programme überall einnisten können. Das beste Mittel ist und bleibt, die komplette Festplatte mindestens 2 x zu formatieren. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board