Spyware Media-Codec: Wie und woher?

Rokop Security

Mitglieder Moderatoren

Regeln

Hilfe

Suche

Mitglieder

Kalender

Spyware Media-Codec: Wie und woher?

Einstellungen

Manu Profil ansehen	04.09.2006, 22:12 Beitrag #1
Womanizer Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765	Hallo zusammen, ich habe hier gerade einen Patienten in Behandlung, welcher von Media-Codec befallen ist. Da der Patient sich nicht vorstellen kann, wie und wo er sich das Ding eingefangen hat und ich auch keine Infos im Netz finden kann, seid nun ihr gefragt. Also, wie kann man sich das "einfangen"? Dankeschön im Voraus schon einmal! -------------------- http://youtube.com/watch?v=UCOPNuuGeKA

Antworten

Gast_Jens1962_*	06.09.2006, 15:59 Beitrag #2
Gäste	ZITAT(Solution-Design @ 05.09.2006, 21:31) [snapback]164762[/snapback] IE verbietet hier nix. Und die 96KB große Datei lässt sich problemlos downloaden. Was ist denn daran irreführend. Der IE verbietet bei mir aus gutem Grund. Beim Klick auf "Download" mit dem Opera kommt kein DL-Dialog, sondern eine EULA. akzeptiert man (was bei nicht akzeptieren passiert, das weiß ich nicht - lieber nicht ausprobieren!) dauert es nur wenige Sekunden und ewido schlägt an. Dem Norton ging das Ding gestern noch am A... vorbei. ZITAT(raman @ 05.09.2006, 09:49) [snapback]164689[/snapback] Das ist das "Allheilmittel" dagegen: http://siri.geekstogo.com/SmitfraudFix_De.php Nicht wirklich. In dem Zeitraum bis ewido reagiert, ist bereits eine dmgkl.exe installiert, die sich unter HKLM Autostartrechte gesichert hat und offenbar einigen anderen Unfug angestellt hat. ewido findet noch einiges anderes Zeug, kann es aber nicht bereinigen. Jetzt kommt der abgesicherte Modus und Smitfraud. Wenn das durch ist, nach einem Neustart den Autostart der dmgkl.exe und die exe entfernen. Bei einem weiteren Scan mit ewido wird im dll-Cache noch eine csmej.exe gefunden, die auch gelöscht wird. Danach dürfte der Rechner wieder sauber sein, ich finde zumindest nichts mehr. Ich habe allerdings auch nicht das volle Programm laufen lassen. Wenn jemand viel Langeweile hat, auf der zcodec.com-Website kann man sich seinen Rechner so richtig schön zur Sau machen. Jens

Solution-Design Profil ansehen	06.09.2006, 22:04 Beitrag #3
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie \| cFos	ZITAT(Jens1962 @ 06.09.2006, 16:58) [snapback]164830[/snapback] Der IE verbietet bei mir aus gutem Grund. Beim Klick auf "Download" mit dem Opera kommt kein DL-Dialog, sondern eine EULA. akzeptiert man (was bei nicht akzeptieren passiert, das weiß ich nicht - Dann meinst du sicher eine andere Seite. Ich meine die hier: -------------------- Yours sincerely Uwe Kraatz

Gast_Jens1962_*	07.09.2006, 11:47 Beitrag #4
Gäste	ZITAT(Solution-Design @ 06.09.2006, 23:03) [snapback]164896[/snapback] Dann meinst du sicher eine andere Seite. Ich meine die hier: Ich auch. Komisch, die Opera-Einstallungen passen eigentlich. Übrigens, die Erkennung von ewido ist heute besser als gestern, da wurde erst später gemeckert. Frag mich mal nach meinem AV und ob es sinnvoll ist, dem gelegentlich zu helfen... Jens

Solution-Design Profil ansehen	07.09.2006, 17:48 Beitrag #5
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie \| cFos	ZITAT(Jens1962 @ 07.09.2006, 12:46) [snapback]164913[/snapback] Ich auch. Komisch, die Opera-Einstallungen passen eigentlich. Bei dir wird die *.exe direkt ausgeführt. Da ist das Haar in der Suppe. Kontrolliere sicherheitshalber noch mal deine Einstellungen. Internet-Explorer "Öffnen nach dem download bestätigen" ist auch für den betreffenden Dateityp aktiviert? http://www.misitio.ch/ie/ie6/ie6probleme.html#3150 -------------------- Yours sincerely Uwe Kraatz

Gast_Jens1962_*	07.09.2006, 19:15 Beitrag #6
Gäste	ZITAT(Solution-Design @ 07.09.2006, 18:47) [snapback]164969[/snapback] Bei dir wird die *.exe direkt ausgeführt. Nö, bei Echsen fragt er. Da muß noch etwas anderes laufen. ZITAT Internet-Explorer "Öffnen nach dem download bestätigen" ist auch für den betreffenden Dateityp aktiviert? IE ist egal, der verbietet mir den Download. Gruß Jens

Solution-Design Profil ansehen	10.09.2006, 15:09 Beitrag #7
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie \| cFos	ZITAT(Jens1962 @ 07.09.2006, 20:14) [snapback]164979[/snapback] Nö, bei Echsen fragt er. Da muß noch etwas anderes laufen. Ewido? Deinstallier Ewido doch mal temporär. -------------------- Yours sincerely Uwe Kraatz

Gast_Jens1962_*	10.09.2006, 19:53 Beitrag #8
Gäste	ZITAT(Solution-Design @ 10.09.2006, 16:08) [snapback]165417[/snapback] Ewido? Deinstallier Ewido doch mal temporär. Wieso sollte ich ausgerechnet das Programm deinstallieren, das bei dem Schädling anschlägt? Was mich interessiert, läuft auf der Seite irgendein Script, ActiveX, BHO o.ä? Aus irgendeinem Grund muß schließlich der Opera installieren wollen (obwohl er sonst bei .exe permanent fragt, was er machen soll) und der IE den Download komplett untersagen. Gruß Jens

Solution-Design Profil ansehen	10.09.2006, 22:33 Beitrag #9
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie \| cFos	ZITAT(Jens1962 @ 10.09.2006, 20:52) [snapback]165467[/snapback] Wieso sollte ich ausgerechnet das Programm deinstallieren, das bei dem Schädling anschlägt? Du darfst es ja behalten . Aber hier, auf mehreren Windows-Installationen, lässt sich dieses Tool im IE sowie auch im Opera downloaden. Was liegt also näher... -------------------- Yours sincerely Uwe Kraatz

Gast_Jens1962_*	10.09.2006, 23:51 Beitrag #10
Gäste	ZITAT(Solution-Design @ 10.09.2006, 23:32) [snapback]165484[/snapback] Du darfst es ja behalten. Dankeschön... ZITAT Aber hier, auf mehreren Windows-Installationen, lässt sich dieses Tool im IE sowie auch im Opera downloaden. Mein IE will aber nicht. Da Du das sowieso nicht glaubst: Der unsichere IE läßt mich einfach nicht meinen Rechner zumüllen und der sooooo sichere Opera will nicht downloaden, obwohl das in den Optionen so steht, sondern direkt installieren. Mein AV schläft derweil und dann kommt ein Wanderer des Wegs und sagt, ich solle den Wachhund, der seinen Job macht, erschießen. Hier is was loooooos. Der Firefox, der letztens noch vor der Seite gewarnt hat, hält jetzt die Fresse und läßt mich downloaden, dafür sind bei dem Scan dieser Datei sowohl Norton als auch Ewido ruhig. Hier verarscht mich doch wer? Jotti meint: ZITAT Datei: ZCodec1000.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Trojan/Drop.Zlob.acn gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Downloader.Zlob.DEZ gefunden BitDefender Trojan.Downloader.Zlob.ZCO gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 a variant of Win32/TrojanDownloader.Zlob gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Nicht mal die Super-Russen wollen das kennen. Ich denke, daß @bond Recht hat mit seiner These, daß die Dateien permanent ausgetauscht werden. Bei Virustotal sieht es ähnlich verheerend aus: ZITAT AntiVir 7.1.1.16 09.09.2006 TR/Drop.Zlob.acn Authentium 4.93.8 09.10.2006 no virus found Avast 4.7.844.0 09.08.2006 no virus found AVG 386 09.08.2006 Downloader.Zlob.DEZ BitDefender 7.2 09.10.2006 Trojan.Downloader.Zlob.ZCO CAT-QuickHeal 8.00 09.09.2006 no virus found ClamAV devel-20060426 09.10.2006 no virus found DrWeb 4.33 09.10.2006 no virus found eTrust-InoculateIT 23.72.121 09.10.2006 no virus found eTrust-Vet 30.3.3070 09.09.2006 no virus found Ewido 4.0 09.10.2006 no virus found Fortinet 2.77.0.0 09.10.2006 no virus found F-Prot 3.16f 09.10.2006 no virus found F-Prot4 4.2.1.29 09.10.2006 no virus found Ikarus 0.2.65.0 09.08.2006 no virus found Kaspersky 4.0.2.24 09.10.2006 Trojan.Win32.DNSChanger.en McAfee 4848 09.08.2006 no virus found Microsoft 1.1560 09.10.2006 no virus found NOD32v2 1.1747 09.10.2006 a variant of Win32/TrojanDownloader.Zlob Norman 5.90.23 09.08.2006 no virus found Panda 9.0.0.4 09.10.2006 no virus found Sophos 4.09.0 09.10.2006 no virus found Symantec 8.0 09.10.2006 no virus found TheHacker 5.9.8.208 09.08.2006 no virus found UNA 1.83 09.08.2006 no virus found VBA32 3.11.1 09.10.2006 no virus found VirusBuster 4.3.7:9 09.10.2006 no virus found mit dem Unterschied, daß KAV den hier bemerkt (seit vorgestern)... Wie war das gleich noch mal mit der Qualität der Online-Scanner? Gruß Jens Der Beitrag wurde von Jens1962 bearbeitet: 10.09.2006, 23:52

Beiträge in diesem Thema

Manu Spyware Media-Codec: Wie und woher? 04.09.2006, 22:12

Solution-Design Möchtest du jetzt tatsächlich, dass hier altbekann... 04.09.2006, 22:40

Manu Ups, nö. Möchte ich nicht, aber danke für die PM. ... 05.09.2006, 06:38

raman Das wird nicht ueber Crackseiten verteilt. Es gibt... 05.09.2006, 08:50

MyThinkTank ZITAT(raman @ 05.09.2006, 09:49) 164689 o... 05.09.2006, 11:14

Manu Danke, Ralf. Außer dem angeblichen Codec ist nicht... 05.09.2006, 09:04

bond7 Hab gerade noch eine frische Meldung über ein Code... 05.09.2006, 10:40

Wildone Hallo, MyThinkTank und raman haben es ja schon dur... 05.09.2006, 11:27

Manu ZITAT(Wildone @ 05.09.2006, 12:26) 164701... 05.09.2006, 16:17

raman Ist ganz "Lustig" das ist nicht unbeding... 05.09.2006, 12:00

Rios Rund um das Thema. Die Codecs haben es in sich. M... 05.09.2006, 17:01

bond7 ist identisch mit Beitrag 6 05.09.2006, 17:04

Jens1962 Der IE verbietet mir den Download, der Firefox war... 05.09.2006, 19:13

Solution-Design IE verbietet hier nix. Und die 96KB große Datei lä... 05.09.2006, 20:32

bond7 Die Malware Zcodec wurde schon im 11.36uhr an Syma... 05.09.2006, 21:04

Mephisto Habe die Datei einmal über jotti und einmal bei KA... 05.09.2006, 22:33

Manu So, Aufklärung: Sie hatte einen Link in einer E-Ma... 06.09.2006, 14:07

bond7 Ja jetzt nichtmehr. 06.09.2006, 14:14

Jens1962 ZITAT(Solution-Design @ 05.09.2006, 21... 06.09.2006, 15:59

Solution-Design ZITAT(Jens1962 @ 06.09.2006, 16:58) 16483... 06.09.2006, 22:04

Jens1962 ZITAT(Solution-Design @ 06.09.2006, 23... 07.09.2006, 11:47

Solution-Design ZITAT(Jens1962 @ 07.09.2006, 12:46) 16491... 07.09.2006, 17:48

Jens1962 ZITAT(Solution-Design @ 07.09.2006, 18... 07.09.2006, 19:15

Solution-Design ZITAT(Jens1962 @ 07.09.2006, 20:14) 16497... 10.09.2006, 15:09

Jens1962 ZITAT(Solution-Design @ 10.09.2006, 16... 10.09.2006, 19:53

Solution-Design ZITAT(Jens1962 @ 10.09.2006, 20:52) 16546... 10.09.2006, 22:33

Jens1962 ZITAT(Solution-Design @ 10.09.2006, 23... 10.09.2006, 23:51

bond7 Die Hosts Datei dürfte noch kompromittiert sein. 06.09.2006, 16:06

raman Ein Durchgang mit einem Antirootkit tool haette es... 06.09.2006, 16:10

Jens1962 ZITAT(bond7 @ 06.09.2006, 17:05) 164831Di... 06.09.2006, 16:27

Wildone Hallo, ZITATIn dem Zeitraum bis ewido reagiert, is... 06.09.2006, 16:43

Dylan Das Spiel mit den Media Codecs geht weiter,die Dat... 07.09.2006, 00:04

Dylan Die Seite die Solution-Design oben beschrieben hat... 07.09.2006, 00:49

Rios Es tauchen immer neue, bzw. veränderte Codecs auf.... 07.09.2006, 05:35

rock also das mit dem Zcodec hört sich garnicht nett an... 07.09.2006, 06:44

rock na geht eh wieder schnell mit den einsendungen... ... 07.09.2006, 07:57

Wildone Hallo, ehrlich gesagt verstehe ich gar nicht was a... 07.09.2006, 08:18

bond7 Symantec erkennt den ersten ZCodec als Trojan.Zlob... 07.09.2006, 08:24

raman Wenn ihr meint diese Nsis "submitten" zu... 07.09.2006, 11:47

bond7 @raman Aktuell sehe ich auf der Page den Zcodec10... 07.09.2006, 12:07

raman Du bist doch sonst nicht auf den Kopf gefallen, er... 07.09.2006, 13:40

bond7 Ach nee... meinst du das jetzt ernsthaft ? Ich hab... 07.09.2006, 14:44

raman Ich glaube da reden wir aneinander vorbei!:) A... 07.09.2006, 14:51

bond7 Achso? nasowas aber auch.... wusste ich nicht. Es... 07.09.2006, 14:54

Rios Bei aktivierten SpySweeper ist die Seite gar nicht... 07.09.2006, 18:27

bond7 Das passt scheinbar gerade wieder gut in das Thema... 07.09.2006, 18:54

Solution-Design Was ist mit dem PC deiner Kleinen? Da wills auch n... 11.09.2006, 20:46

rock heute siehts schon anders aus: aber nach der nam... 12.09.2006, 06:41

Jens1962 ZITAT(Solution-Design @ 11.09.2006, 21... 12.09.2006, 08:07

rock tja.... 12.09.2006, 08:10

Rios Wieder neuer Codec. http://www.pcwelt.de/news/sich... 12.09.2006, 17:21

rock schön das immer dabeisteht wo es das gibt.... o... 12.09.2006, 17:46

Wildone Hallo, vor drei Tagen gab es eine Version auf der ... 12.09.2006, 19:03

Rios Das ist ein richtiges Katz und Maus Spiel. 12.09.2006, 19:23

blueX raman sagte doch, dass diese Dateien nicht eingesa... 12.09.2006, 21:51

rock ZITAT(blueX @ 12.09.2006, 22:50) 165733 r... 13.09.2006, 11:32

blueX ZITAT(rock @ 13.09.2006, 12:31) 165766 a... 16.09.2006, 12:36

Dylan Das Spiel geht weiter.... Datei: sv-codec-v4_... 13.09.2006, 12:42

rock dylan, frag mich vorher wenn du was hochladest... 13.09.2006, 15:37

Rios Hier auf dieser Seite sind einige verteiler. ( Str... 13.09.2006, 16:10

rock du wiederholst dich... aber auch DORT hin habe i... 16.09.2006, 13:39

« Vorhergehendes Thema · Trojaner, Viren und Würmer · Folgendes Thema »

306 Besucher lesen dieses Thema (Gäste: 306 | Anonyme Besucher: 0)

0 Mitglieder: