Druckversion des Themas

Geschrieben von: Mondeo22TDCI 27.09.2014, 11:46

Ich habe mir von Cyberlink die Media Suite 12 heruntergeladen und GData meldet da einen Virenfund (siehe Anhang).Ich bekomme den aber nicht weg und Cyberlink beteuert, dass keine Viren auf ihrer Software wären.Irrt GData sich da jetzt, oder hat Cyberling einen Virus in seiner Datei?Habe diese jetzt schon mehrfach runtergeladen und scheint immer wieder einen Virus "huckepack" mitzuführen.

Geschrieben von: Patlok 27.09.2014, 12:05

Hast du die Datei mal bei Virustotal hochgeladen bzw. G Data zur Analyse geschickt?

Geschrieben von: Mondeo22TDCI 27.09.2014, 12:07

Nein , dürfte auch schwierig sein, da 0,970 GB groß.

Geschrieben von: J4U 27.09.2014, 14:59

Der Beschreibung nach ist es Adware und Conduit müsste eine Toolbar sein.
Wenn dem so ist, dann ist das theoretisch nicht wirklich gefährlich und eventuell kannst Du das bei einer benutzergeführten Installation auch abwählen - oder im Zweifel auf solche Software verzichten, was ich empfehle.

Geschrieben von: simracer 27.09.2014, 16:26

J4U liegt richtig mit seiner Vermutung. Du hast wahrscheinlich bei der Installation nicht aufgepasst und ungewollt Conduit mitinstalliert was Adware ist. Mach mal eine Bereinigung mit AdwCleaner: http://www.drwindows.de/windows-anleitungen-und-faq/70130-adwcleaner-entfernt-adware-toolbars-browser-hijacker-unerwuenschte.html den du in meiner Signatur findest, damit dürftest du das gelöscht bekommen. Wenn AdwCleaner fertig ist mit der Bereinigung dann suche unter C den angelegten Ordner AdwCleaner und lösche auch den.

Geschrieben von: scu 28.09.2014, 01:43

Auf dem Screenshot sieht man, dass es ein Archiv oder etwas ähnliches ist. Klick mal auf das Plus-Zeichen auf der linken Seite und mach nochmal einen größeren Screenshot.
Alternativ poste hier das Protokoll von der Erkennung.

Dann sieht man auch was genau erkannt wurde. Aber wie bereits hier gesagt wurde handelt es sich "nur" um eine Adware/PUP Erkennung.

*PUP = possibly unwanted program

Geschrieben von: Mondeo22TDCI 28.09.2014, 13:41

Das ist doch keine installierte Software, wo der "Virus" gefunden wird, sondern die Installationsdatei, die man nach erwerb der Software per Paypal runterlädt.Z.B. so, als wenn ihr Kaspersky als Testversion runterladen wollt und in der runtergeladenen Installationsdatei, wird ein Virus gefunden (also vor der Installation)

Geschrieben von: scu 28.09.2014, 15:30

Das ist mir schon klar. Die Frage ist nur, was genau wird darin erkannt? Die "cyberlinkinstaller.exe" oder die "bösesaddon.dll"?

Geschrieben von: J4U 28.09.2014, 18:46

Ist es nun eine gekaufte Version oder ist es die Testversion?
Im Cyberlink-Forum hast Du bereits angefragt. Hast Du auch den Support kontaktiert? Wenn nicht, dann bitte nachholen. Die sollten schließlich wissen, was sie in die Installationsdatei reingepackt haben.

Geschrieben von: Mondeo22TDCI 29.09.2014, 05:59

Es ist eine gekaufte Version.Das mit der Testversion, war nur ein Beispiel zur Veranschaulichung.Cyberlink habe ich als erstes Kontaktiert.Die haben nur gesagt, dass ihre Programme absolut "sauber" wären, was sie aber in meinem Fall nicht sind.

Geschrieben von: simracer 29.09.2014, 09:09

Hattest du denn mal dein System mit AdwCleaner ünerprüft? wenn ja, fand der etwas von Conduit? wenn nein, dann kann das durchaus ein FP Positive gewesen sein von G-Data.

Geschrieben von: Mondeo22TDCI 29.09.2014, 12:26

Der ist mir 2 mal beim testen der Datei abgestürzt, darum weiß ich nicht genau.Wenn ich mein System, mit der GData Boot CD und akt Virusdateien teste, wir nix gefunden, aber unter Windows eben von GData,Kaspersky und Bitdefender (wobei GData ja glaube ich auch Bitdefender nutzt)

Geschrieben von: simracer 29.09.2014, 15:40

Wie beim testen der Datei? versteh jetzt nicht ganz wie du das meinst. Lade einfach AdwCleaner runter, deaktiviere idealerweise deinen Virenschutz und führe dann AdwCleaner als Administrator aus. Wie das geht kannst du auch hier nachlesen/sehen: http://www.chip.de/bildergalerie/Adware-entfernen-mit-dem-ADW-Cleaner-Galerie_68422879.html http://www.chip.de/video/AdwCleaner-So-entfernen-Sie-spielend-nervige-Adware-Video_68776838.html Du kannst AdwCleaner auch im Abgesicherten Modus ausführen. Eine Alternative zu AdwCleaner wäre Junkware Removal Tool.

Geschrieben von: G DATA@rokop 29.09.2014, 16:39

Hi zusammen,
wie von den meisten hier vermutet, handelt es sich um eine Erkennung bzgl. einer möglicherweise unerwünschten "Beigabe".
Es ist kein Virus, allerdings auch kein Fehlalarm.

Beste Grüße,

G DATA@rokop

Geschrieben von: J4U 29.09.2014, 18:00

Jedenfalls ist eine Riesensauerei, wenn so ein Schiet in eine Kaufversion gepackt wird.
Ich habe nirgendwo Hinweise finden können, dass es solche "Geschenke" gibt. Ich habe aber auch nichts finden können, dass sich Nutzer über diese Beigaben beschwert haben.

Was macht GDATA bei der Installation? Wird die Installation der Toolbar verhindert und der "Rest" wird sauber installiert?

Geschrieben von: Mondeo22TDCI 30.09.2014, 10:55

Ja, das Prg schmiert ab, wenn es diese Datei überprüft.

@Gdata: Wie soll ich unerwünschte Beigabe , denn interpretieren? Macht diese "Beigabe" irgendetwas auf meinem System und wenn ja was?Also könnte ich rein theoretisch Cyberlink kontaktieren, das da was ist und könnte drauf bestehen, einen "sauberen" Download zu erhalten.

Geschrieben von: scu 30.09.2014, 11:50

Conduit ändert in der Regel die Browser Startseite, die default Search-Engine und installiert Browser Plugins.

http://praxistipps.chip.de/conduit-search-entfernen_24069

Geschrieben von: simracer 30.09.2014, 12:39

Es kann doch nicht so schwer sein einfach dur den Scanner AdwCleaner auszuführen oder? und wenn der wider Erwarten doch unter Windows abschmiert(ist mir noch nie passiert)oder hängen bleibt, dann führe ihn im Abgesicherten Modus aus oder lasse es bleiben.

Geschrieben von: SLE 30.09.2014, 12:46

Warum sollte er das tun? Er hat nichts installiert, da die große Setup Datei bemängelt wird.

Es ist halt hier ein bisschen verzwickt: Einerseits eine aggressive PUPs-Politik bei GData, andererseits so ungünstig umgesetzt, dass gleich der ganze Installer gesperrt wird und nicht im Rahmen der Installation nur die PUPs Komponente, wie bei intelligenteren Umsetzungen in AV Lösungen.

Im Kern:
@Mondeo: Installiere das Programm - sofern du es brauchst (deaktiviere ggf.) GData und achte bei der Installation daruf keine Browser Toolbars etc. auszuwählen, dann kommt auch nichts unerwünschtes auf den Rechner. Schädlich ist es so oder so nicht.

Danach kannst du auch gern sowas wie ADWCleaner laufen lassen - aber bitte nichts löschen lassen, denn das Programm verbiegt ganz gerne Browsereinstellungen.

Geschrieben von: J4U 30.09.2014, 13:05

Mir ist so, als hätte ich weiter oben schon geschrieben, eine benutzerdefinierte Installation durchzuführen, falls es diese Option gibt. In der normalen Installationsroutine werden diese Geschenke nur selten abgefragt.
Falls die Toolbar doch installiert wurde, auch kein Problem. Von http://praxistipps.chip.de/conduit-search-entfernen_24069 gibt es eine ganz brauchbare Anleitung, wie man das Zeug wieder los wird, falls es stört.

Man muss ja nicht immer gleich mir einer Kanone auf einen Spatzen schießen.
Die Kollateralschäden...

Geschrieben von: SLE 30.09.2014, 13:23

Also ich habe es gelesen Fand aber es ging unter im ganzen "Warum scannst du nicht mit XY Wahn"

Brauche das Cyberlink Zeug selber nicht, aber würde arg bezweifeln, dass sie eine Original Conduit Toolbar mitbringen...Wenn dann was unter eigenem Namen, aber Google ist recht ruhig dazu.

Geschrieben von: scu 30.09.2014, 15:05

Du kannst für die Zeit der Installation auch nur die PUP/Adware Erkennung abschalten.
Dazu unter "Einstellungen > AntiVirus > Echtzeitschutz > Erweitert" das Häkchen bei "Auf Dialer / Spyware / Adware / Riskware prüfen" entfernen.

Geschrieben von: simracer 30.09.2014, 15:23

Hab ich ja auch mitbekommen, stellt sich mir die Frage von wo hat er den Installer her? von der Hersteller Homepage? von einem Download Portal wie chip.de usw oder hat er den gar auf einer Original CD weil er die Software gekauft hat und diese per Post ihm in einer Schachtel zugeschickt wurde?

Geschrieben von: J4U 30.09.2014, 15:25

Auch das hatte ich schon geschrieben.

Alles in allem eine dünne Kür sowohl von GDATA, dass hier niemand konkret sagen kann oder will, was passiert (oder was nicht) als auch von Cyberlink, die nur sagen "unser Zeuch ist sauber". Vertrauensaufbau sieht anders aus, zumal es sich um einen zahlenden Kunden handelt.

Geschrieben von: SLE 30.09.2014, 15:28

Naja, nach dem Kauf über Paypal ist doch Hinweis ;-)

Geschrieben von: simracer 30.09.2014, 15:34

Stimmt auch wieder SLE, aber für mich geht daraus nicht hervor ob er einen Downloadlink erhielt oder ob ihm die Software per CD bzw DVD zugeschickt wurde.

Geschrieben von: J4U 30.09.2014, 15:39

http://www.rokop-security.de/index.php?s=&showtopic=24060&view=findpost&p=386197 liest sich für mich so, als wäre es der Original-Download von Cyberlink.

Gehen Sie zurück auf Start.

Geschrieben von: scu 30.09.2014, 15:50

Was soll G DATA denn noch dazu sagen? Die Datei wird wohl korrekterweise erkannt und der Zugriff wird geblockt (es sei denn man schaltet die Adware Erkennung ab).

Geschrieben von: markus17 30.09.2014, 16:51

Normalerweise hängen sich Installer nicht auf, wenn ein Virenscanner eine beinhaltete Toolbar blockiert bzw. man kann den Fehler überspringen. Wenn das bei der Cyberlink Software nicht möglich ist, muss man wohl oder übel den Wächter kurz deaktivieren oder alternativ das Programm einfach nicht nutzen. (letztere Option stellt sich wohl nicht )

Bis vor einiger Zeit setzten viele Softwareanbieter auf eine integrierte Ask-Toolbar, welche von mehreren Scannern beanstandet wurde. Normalerweise kann man solche Adware aber einfach abwählen.

Geschrieben von: Mondeo22TDCI 30.09.2014, 18:45

Also, das Programm wurde per Paypal gekauft und dann direkt von Cyberlink (den Link habe ich von Cyberlink per EMail erhalten) runtergeladen.Diese beiden Dateien- CyberlinkMediaSuite12.0_Ultra....part1
CyberlinkMediaSuite....................part2.rar "liegen" dann auf dem Computer und bei der part1, wird dann der Virus gefunden.Habe erst gedacht, das war eine Veränderung von Firefox, aber mir ist aufgefallen, das bei den Suchmaschinen von Firefox tatsächlich ein neuer Eintrag steht.Dann wird der ja vllt von Cyberlink raufgepackt.Ich habe den da von Anfang an immer rausgeschmissen, weil ich neuem, das ohne das ich das selbst installiert habe, immer sehr mißtrauisch gegenüberstehe.Ich kann morgen ja mal Cyberlink "runterschmeissen" und dann neu installieren und nochmal genau schauen, ob da irgendetwas von mir installiert wird, was nicht sein sollte, aber ich denke mal nicht, das dieser "Virus/addon o.w.a.i." nicht automatisch mit installiert wird.Cyberlink habe ich am Fr,gestern und heute nochmal angeschrieben, das die mir entweder eine "saubere CD" schicken sollen, oder mir mein Geld zurücksenden sollen - die scheinen das aber anscheinend aussitzen zu wollenAnruf gestern wurde mir auch nur gesagt, das die nochmal zurückrufen, was bisher nicht geschehehn ist.
BTW:Habe die Media Suite nur genommen, weil das Angebot (wegen Upgrade) sehr günstig war und ich eben hin und wieder mit Schnittprogrammen arbeite.Hätte ich von dem Ärger gewusst, hätte ich mir wohl Nero zugelegt, als Ergänzung zu Magix ProX.

Geschrieben von: simracer 30.09.2014, 18:55

Und das kann durchaus ein Hinweis darauf sein das sich schon Conduit bei deinem Browser "eingenistet" hat und aus solchen Gründen gebe ich öfters den Tipp das System mal mit AdwCleaner zu überprüfen damit der Conduit bei Bedarf löschen kann.

Geschrieben von: simracer 30.09.2014, 21:11

Ich greif das nochmal auf SLE: ich hatte schon öfters AdwCleaner ausgeführt inkl. Bereinigung und Neustart des Systems danach und mir ist bis heute nicht aufgefallen das danach etwas im FF(den ich meistens benutze), Chrome oder IE danach nicht mehr so war wie vorher. Die Einstellungen waren gleich, AddOns noch voranden(WOT), Suchanbieter(Google)und Startseiten noch vorhanden und auch die Lesezeichen/Favoriten waren noch so da wie vorher. Was verbiegt denn AdwCleaner möglicherweise deiner Meinung nach?

Geschrieben von: SLE 30.09.2014, 22:07

Er lässt die prefs des Firefox nicht in Ruhe und löscht gerne alles was er nicht kennt.

Geschrieben von: simracer 30.09.2014, 22:21

Das mit den prefs des Firefox weiß ich, aber was für Auswirkungen(negative?)soll das haben?
Anbei mal ein ganz frisches Log(ohne Bereinigung weil es ja nichts zu bereinigen gibt)meines Systems:

Geschrieben von: sunnysky2015 01.10.2014, 07:50

da ist was dran, ggf führt er auch Add On der Antivirenlösungen mit auf. Auch die normalen Sucheinstellungen von Microsoft möchte Adw Cleaner gerne löschen

dann kommt dann die Meldung im IE, die "Standard Sucheinstellungen wurden verändert, wieder herstellen" ...

für den einizen Allheil Bringer/Scanner halte ich den adwcleaner nun auch nicht.

Geschrieben von: simracer 01.10.2014, 08:10

Das habe ich ja auch nicht behauptet das AdwCleanr so ein Wunderscanner sei. Und bevor man AdwCleaner etwas löschen lässt, kann man ja nachschauen was er gefunden hat und dann entscheiden ob er bereinigen soll oder nicht. Meiner Meinung nach ist AdwCleaner ein Nischenscanner bezüglich Adware und Toolbars den man einsetzen kann wenn man sich Adware und Toolbars eingefangen hat und diese bereinigt werden sollen.

Geschrieben von: Mondeo22TDCI 01.10.2014, 13:32

Jetzt hat Cyberlink mir folgendes geantwortet:

Sehr geehrter XXXXXXX,

die Software ist Virenfrei, dies haben wir bereits mit dem Entwickler der Antivirensoftware besprochen.

Ihnen steht es natürlich frei, die Software innerhalb der 30-Tage-Frist zurückzugeben.

Mit freundlichen Grüßen,

Ihr CyberLink Support Team

Habe jetzt angefragt, mit welchem der Entwickler die denn gesprochen haben wollen?Antwort steht noch aus.Frage mich, warum die mir nicht einfach eine Virenfreie CD, oder mal wirklich überprüfen was da ist.Ansonsten frage ich mich langsam, ob denen da nicht sogar bewusst ist, dass da was "eingeschleust" ist?

Geschrieben von: Mondeo22TDCI 07.10.2014, 14:28

Cyberlink hat mir jetzt folgende Mitteilung zukommen lassen:

bevor wir die Software ausliefern scannen wir diese mit den folgenden 10 Antivirus Programmen:

Bitdefender Antivirus Plus
Kaspersky Anti-Virus
Norton AntiVirus
F-Secure Anti-Virus
AVG Anti-Virus
BullGuard Antivirus
G Data Antivirus
Panda Antivirus Pro
Avast! Pro AntiVirus
McAfee AntiVirus

Wir empfehlen Ihnen die Virendefinition zu aktualisieren und sicherzustellen, dass das Programm auf dem neusten Stand ist.

Manchmal kann es zu einer fälschlichen Warnung kommen.


Mit freundlichen Grüßen

Ihr CyberLink Support Team


@GData: Irgendwer irrt sich jetzt ja.Eure Software hat ja unter anderem auch einen Fund gemeldet und Cyberlink schreibt ja nun, das mit eurer Software auch eine Prüfung stattgefunden haben soll.Wer voneuch (GData oder Cyberlink) hat denn jetzt einen Fehler gemacht?

Geschrieben von: Gopalfreak 07.10.2014, 17:07

Hi Mondeo,

ich kann Dir zwar gerade keine tiefgreifende Analyse anbieten aber Dich vieleicht durch die Mittel die Du selbst zur Verfügung hast in eine Position bringen in der Du
nicht auf "glauben" zurückgreifen musst und Fakten zu sehen

Ich versuch es einfach mal:

Davon abgesehen, dass keiner von uns weiss wann eine Firma gegen Scanner der entsprechenden Firmen testet (vielleicht bei Markteinführung - oder beim letzten
Update vor Wochen) sind evtl. diverse Erkennungen für die Programme noch gar nicht vorhanden. Signaturen ändern sich stündlich und nur beim launch etwas
zu prüfen (falls dem so ist) - ist natürlich nur ein Stand der Dinge zum Testzeitpunkt X.

Zu Deiner Frage: Ich habe mir aus Interesse auch mal das Programm genommen. Wenn man die Datei entpackt (rarSFX) werden die Installerdateien im Tempordner abgelegt.
Eines der Setups welches DivX mitbringt hat allerdings "auch" nennen wir es "Beigaben" dabei.
Diese werden als Adware / PUP erkannt und sie sind demnach auch Teil des Setups.

Wenn Du die Logfiles deines Scanners befragst düfte das etwas so aussehen:

Wenn Du kein Problem mit der Software von besagten Unternehmen hast kannst Du natürlich die Adware usw. Detection ausschalten und ggf. die Installation verneinen.
Alleine die Existenz des "offer" Ordners und 3rd Party in Kaufsoftware und der entsprechenden Namen reichen meiner persönlichen Meinung nach um eine
entsprechdende Meinung zu bilden.

Wenn Du nach den Detections googelst (https://www.google.de/search?q=conduit%20entfernen) wirst Du Dir schnell eine Meinung bilden können denke ich

Vielleicht antwortet G Data /Cyberlink ja noch einmal - ich bin gespannt

Just my 2 Cents...

Geschrieben von: J4U 07.10.2014, 17:30

G Data ist raus aus der Nummer.
Cyberlink hat in so weit Recht, dass das Installationspaket virenfrei ist, aaaaber: eine Kaufsoftware, die mir solchen Mist unterjubelt, würde ich zurückgeben.

Geschrieben von: Mondeo22TDCI 08.10.2014, 19:33

Aber so viele Alternativen gibt es ja nicht, die ein BluRay Abspielsoftware und ein "leichtes" Schnittprogramm aus einer Hand anbieten, ausser Nero und da stört mich der "Mist" mit der Aktivierung.Vor 2 Jahren wollten die mir die Software nach 5 Versuchen nicht mehr freischalten, obwohl ich die Software per Download gekauft hatte und alle Nachweise da hatte.
Werde dann wohl damit leben müssen, das da nichts zu machen ist.

Geschrieben von: simracer 08.10.2014, 19:42

Musst du nicht unbedingt: installiere dir wie gewohnt die Cyperlink Media Suite, nimm dann zum Beispiel AdwCleaner, lass damit dein System überprüfen und wenn der Conduit findet, kannst du es löschen lassen und wenn du Glück hast, bist du Conduit los und das fehlen von Conduit beeinflusst Cyberlink Media Suite nicht. Und dann gibt auch G-Data anzunehmenderweise Ruhe

Geschrieben von: J4U 08.10.2014, 20:17

Was Nero betrifft, normalerweise gibt es über den Support kein Problem, die schalten das wieder frei.

Zu Cyberlink: Möglicherweise bekommst Du bei einer benutzerdefinierten Installation schon die Möglichkeit, den Mist abzuwählen. Wenn nicht, dann sollte das Zeug auch wieder runter gehen. Oder halt mit dem Verweis auf Adware zurückgeben, solcher Schrott hat in Kaufsoftware nichts zu suchen

Geschrieben von: simracer 08.10.2014, 20:34

Angeregt duch Mondeo22TDCI hatte ich damals auch das Programm Cyberlink Media Suite runter geladen und installiert und sah bei der Installation keine Option bzw. Möglichkeit bei der man Conduit hätte abwählen können. Es gibt so "fiese" Installer die Adware mitbringen und bei denen man die Adware nicht abwählen/deaktivieren kann. 2 Beispiele dafür:
http://www.freemake.com/de/free_video_downloader/
http://www.freemake.com/de/free_video_converter/
Bei denen ist es OpenCandy und es steht auch dabei, aber man kann OpenCandy nicht abwählen. Hab das vor ein paar Wochen zusammen mit einem anderen User in Kurts Forum getestet und er hat mir das bestätigt das man bei den 2 Installern die Mitinstallation von OpenCandy nur dann umgehen kann wenn man die Installation bleiben lässt und darauf verzichtet.

Geschrieben von: SLE 09.10.2014, 10:03

Interessant wäre doch nur, was nach der Installation denn da war was auf Conduit verweist, was ja auch nur ein System ist. (vllt. baut ja Cyberlink ne eigene Toolbar auf der Basis???)

Zu Freemake und OpenCandy...wirklich?
OpenCandy selbst ist nur ein System was verschiedene Programme (z.B. TuneUp etc.) bei der Installation vorschlägt. Damit kann man sich als Freewareautor über Partnerinstallationen etwas dazuverdienen. Die EULA von OpenCandy schreibt aber explizit vor, dass man hier eine Auswahl anbieten MUSS.

Und der Autor von Freemake erklärt auch klar, dass es bei ihm so http://support.freemake.com/entries/33069463-Malwarebytes-alerts-upon-installation

Geschrieben von: simracer 09.10.2014, 10:36

Ja wirklich SLE, man sieht bei den Installern die EULA von OpenCandy und man kann OpenCandy nicht irgendwie abwählen und man bekommt eine benutzerdefinierte Installation angeboten. Scannt man dann nach der Installation das System mit besagten Scannern, wird OpenCady gefunden.

Geschrieben von: SLE 09.10.2014, 10:50

1. Also was nun? Kann nicht abwählen oder kann? Man kann (auch wenn es wie üblich doof versteckt ist)



WinPcap kam noch mit (Netzwerktreiber), aber das braucht dieser billige Donwload-Installer halt ;-)

2. Das System bleibt sauber. Wenn die Scanner was finden, dann nichts infiziertes sondern bestenfalls im Temp Ordner (was normal ist, da der Installer entpackt wird).

Doof aufgebaut und versteckt - ohne Frage. Aber dennoch optional. Wenn die Scanner dann was finden liegt es am Nutzer das zu verstehen - tun leider die meisten nicht und bekommen Panik.

Geschrieben von: simracer 09.10.2014, 11:25

Ich will es mal so sagen SLE: Emsisoft(Online Armor)warnt davor den Installer auszuführen und verweist dabei auf OpenCandy: http://abload.de/image.php?img=1yqu8l.jpg klickt man dann doch auf Erlauben, sieht man den starten wollenden Freemake Installer und darin die OpenCandy EULA die man nicht abwählen kann: http://abload.de/image.php?img=2adk2k.jpg und daraufhin die Möglichkeit der benutzerdefinierten Installation die du ja auch schon gezeigt hast: http://abload.de/image.php?img=3m1uij.jpg Damals vor ein paar Wochen war es dann bei mir so das ein Scanner(ich weiß nicht mehr ob es AdwCleaner, Malwarebytes oder EEK war)beim Scan OpenCandy als Adware auf dem System fand(war kein temporäres Verzeichnis, ich glaube mich entsinnen zu können das es in der Registry war aber die Aussage ohne Gewähr weil es schon Wochen her ist). Heute finden besagte Scanner keine Infizierung mehr.

Geschrieben von: SLE 09.10.2014, 12:04

Du sagst nichts neues, belegst aber, dass nichts ungefragt untergeschoben wird.

Wenn du anschaust, wovor OA warnt siehst du, dass es schon um die entpackten, teils heruntergeladenen Komponenten des Installers geht - nicht um den eigentlichen. Also erstmal nur temporäres Zeug. Wobei die Warnung gut ist. Noch intelligenter sollte EAM vorgehen wo du dann explizit die PUP Komponente abwählen kannst.



Eine EULA kannst du nie abwählen, die gilt es eigentlich zu lesen und wenn du damit nicht einverstanden bist kannst du auf der Stelle das Fenster schließen. So sind nahezu alle Installer aufgebaut ("Mit Klick auf weiter akzeptierst du"). Hier ist sogar erkennbar, dass eine Beigabe möglich ist - also "Augen auf im weiteren Verlauf".


Hier dachte ich erst - fies. ABER: auch wenn du vollständig wählst, die Beigabe kannst du im letzten Schritt immer abwählen.
Womit die Aussage von dir falsch wäre, dass hier ungefragt und unabwählbar was untergeschoben wird. Nur darum ging es.


Weil vllt. die Scanner mittlerweile intelligenter vorgehen? Auch Registry Funde bedeuten in den allerallerallermeisten Fällen keine Infizierung.
Wenn man sich die Install Logs (im Temp Ordner, 2 Textdateien) anschaut sieht man übrigens wie OpenCandy funktioniert. Es wird geprüft, ob du es schonmal hattest, dann wird eine möglichst interessante Software aus dem Partnerprogramm ANGEBOTEN (nicht untergeschoben!). Am Ende gibt es die Rückmeldung an Freemake: was angeboten wurde und ob es installiert wurde. Wenn ja gibt es Geld.

Um es deutlich zu machen: OpenCandy ist nichts schädliches im Sinne von Spyware (da ist z.B. die AVG-Toolbar schlimmer, oder der Comodo Müll) es ist nur eine Werbenetzwerk. Klar oft ein bissl versteckt, aber das wars auch schon.

OK: BTT. Was passiert bei Cyberlink?

Geschrieben von: simracer 09.10.2014, 12:31

Hatte doch Mondeo22TDCI geschrieben: es wird Conduit mitinstalliert bzw nach der Installation auf seinem System erkannt und so wie ich es gesehen hatte, konnte man das bei der Installation nicht abwählen. Zumindest sah ich beim Installer keinen Hinweis auf Conduit bzw "Partnerprogramm" das man hätte abwählen können und trotzdem war dann bei Mondeo22TDCI Conduit vorhanden und G-Data schlug an. Siehe auch was Gopalfreak dazu schrieb: http://www.rokop-security.de/index.php?s=&showtopic=24060&view=findpost&p=386555. Ich selbst hatte nach der Installation von Cyperlink mein System nicht mit einem Scanner überprüft, wollte nur schauen ob mir bei der Installation etwas auffiel und spielte ein Systembackup ein.

Geschrieben von: SLE 09.10.2014, 14:00

Sprich: Du hast keinen Nachweis wo und was installiert wurde. Wir sind also noch immer auf Anfang, denn bei Mondeo wurde ja nur der Installer bemängelt.
Gopalfreak hat diesen nur entpackt und die Komponente angezeigt.

Der Nachweis fehlt also noch immer.

Geschrieben von: simracer 09.10.2014, 14:17

So gesehen richtig. Hab ja wie schon gesagt ein Systemback zurück gespielt und als das erstellt wurde(ich lösche das)war entweder Cyperlink noch drauf oder ich hatte es mit IObit Uninstaller deinstalliert und ein Scan mit AdwCleaner ergibt das:

Wobei ich allerdings nicht weiß ob die Funde im Zusammenhang mit der Installation von Cyberlink stehen.

Geschrieben von: SLE 09.10.2014, 15:06

Richtig sehe ich nicht durch, wie nach Zurückspielen eines Images irgendwas enthalten sein soll? Aber egal.

Die Schlüssel die du zeigst sind belanglos und ungefährlich und zeigen eher die "banale" brute-force Herangehensweise des AdwCleaners.

Details zu den sog. Funden:
Software\OCS ... sollte ein Verweis auf den ChipDownloader sein. Belanglos.
Einer der Chrome Extensions Schlüssel verweist m.W. auf Freemake, aber auch die sind völlig belanglos.

Geschrieben von: simracer 09.10.2014, 15:13

Dann versuch ich es dir zu erklären: Nachdem ich heute Freemake Downloader installier habe, habe ich ein paar Dateien gesichert und ein Systembackup vom 16.9. zurück gespielt. Kurz vorm 16.9. oder am selben Tag hatte ich Cyperlink installiert gehabt, nach dessen Deinstallation aber das System nicht mit Adwcleaner gescannt. Heute hab ich das gemacht und den Scanbericht hast du ja gesehen. Anhand der 5 Funde in der Registry werde ich das Systembackup vom 16.9. in die Tonne kloppen.

Geschrieben von: SLE 09.10.2014, 15:29

Naja solange du durchsiehst...

denn:

Mondeo hat das Problem hier am 27.9. geschildert, weshalb du angibst es mal getestet zu haben. Und das am 16.09, also 11 Tage vorher.



WOW

Egal. Zu Cyberlink nichts erkennbar aus deinen Belegen.

Geschrieben von: simracer 09.10.2014, 15:42

Hmm......dann war das mit den 5 Funden in der Registry eben von etwas anderem(vielleicht noch von Freemaker, hatte damals den Downloader und Converter installiert gehabt, heute ja nur den Downloader). Aber ich kann es nicht leiden wenn ein Scanner etwas auf der Systempartition C findet nachdem ich ein Systemackup(damit meine ich ein Backup/Image der Partition C)eingespielt habe. Ist mir so auch noch nicht passiert, aber irgendwann ist immer das erste Mal.

Umso besser für Mondeo wenn Cyperlink ja doch nichts an Adware mitinstalliert.
Theoreisch könnte ich ja nachdem ich jetzt gerade ein Backup der Partition C erstellt habe, nochmal das "Wagnis" eingehen und Freemaker Converter und Downloader installieren

Geschrieben von: simracer 09.10.2014, 16:05

Aha jetzt will also der Freemake Downloader Installer so wie damals im September eine Toolbar mitinstallieren: http://abload.de/image.php?img=2m4qio.jpg und wenn ein User nicht die benutzerdefinierte Installation auswählt geschieht das auch. Und im nächsten Fenster kommt die Option auf TuneUp 2014: http://abload.de/image.php?img=3hvu26.jpg . Mp3 Jam hab ich abgewählt, heute vormittag nicht und natürlich hab ich auch die Toolbar und TuneUP abgewählt das nur als Ergänzung. Bei der Installation von Freemake Video Converter wiederholt sich das mit der Toolbar und TuneUP 2014: http://abload.de/image.php?img=4g6ptu.jpg http://abload.de/image.php?img=5cioiz.jpg und ich werde nun das System abermals mit AdwCleaner überprüfen, das Log posten, noch nicht bereinigen, dann die beiden Freemake Programme mit IObit Uninstaller deinstallieren und danach mit AdwCleaner erneut das System überprüfen und auch diese Log posten.

Geschrieben von: simracer 09.10.2014, 16:14

ist laut AdwCleaner sauber:

Geschrieben von: SLE 09.10.2014, 16:24

So siehst du zweierlei Dinge:

1. unbewusst wird nichts installiert bei Freemake. Deine Behauptung heute morgen war also falsch. (wie schon von mir gezeigt)
2. wie intelligent OpenCandy ist. Mir schlägt es keine Tuningtools und Toolbars vor ;-)

Mit dem Thread hat es aber noch immer nichts zu tun.

Geschrieben von: simracer 09.10.2014, 17:01

Doch wenn man ein unbedarfter User ist der die Standardinstallation benutzt. Und meine Behauptung die ja falsch war, bezog sich auf OpenCandy EULA.

Und da liegst du leider falsch auch wenn du das jetzt nicht glaubst: manchmal wollen die nstaller die Toolbar und TuneUP mitinstallieren und manchmal wiederum nicht.

Geschrieben von: SLE 09.10.2014, 18:07

Dann ist es bewusst durchgeklickt. Es steht da was installiert wird.


Wer es nicht will installiert es nicht.

Mit intelligent meinte ich, dass das OpenCandy System so funktioniert, dass nicht jeder das selbe vorgeschlagen bekommt Bei mir war es nur das MP3 Dings, was aber auch an der Testumgebung liegen kann die eben nicht alles freigibt.

Wie die Angebote festgelegt werden ist übrigens keinesfalls zufällig. Auch wenn du nach deinen Tests ein Image zurückspielst, während der Intallation (bzw. am Ende davon) sendet der Freemake Installer fleißig Daten. Die generierte GUID ist maschinen/browserspezifisch du wirst also immer wiedererkannt.

Das Muster sieht so aus:

Send Offer failed: http://installreport.freemake.com/offer/offer_time.php?program=FreemakeVideoDownloader&version=&country=DE&installer_type=Offline&guid={[i]Code für InstallPC} 2014-10-09 12:56:05.275 Enter: WaitForFinishAllHttpRequestsON9[/i]
Findest du alles in den Install Logs im Tempverzeichnis.

So, nun mal sehen ob es noch was neues zum eigentlichen Threadthema gibt.

Geschrieben von: J4U 09.10.2014, 18:43

Woher denn?
Die Lösung (benutzerdefinierte Installation) hat so ein genialer Mensch bereits in http://www.rokop-security.de/index.php?s=&showtopic=24060&view=findpost&p=386200 gegeben.

Geschrieben von: Mondeo22TDCI 09.10.2014, 18:45

Also, um wieder zum Thema zurückzukommen.Hab den Adwarecleaner rüberlaufen lassen, der findet nichts (falls ich das jetzt alles richtig gemacht habe), aber in der Installationsdatei von Media Suite ist der "Virus" noch immer drin, also scheinbar auch nicht zu entfernen.Ist zwar irrelevant, da ja die Installationsdatei, aber ein fader "Beigeschmack" bleibt und das Cyberlink dann ja wahrscheinlich bewusst was "reingepackt" hat, finde ich schon traurig, da es für mich dann wohl die letzte Cyberlink Software ist, die da erworben habe.An sich könnte ich mir ja auch die Installations Cd zulegen, aber da wird es wohl auch drauf sein.
Wie geschrieben, wüsste ich eine Alternativsoftware, hätte ich schon eine Rückgabe veranlasst.

Zu dem Beitrag von Nero: Der support wollte mir die Software auch per Tel nicht wieder freischalten, nur wenn ich 10€ überwiesen hätte, wären wieder 3 Aktivierungen möglich.Ist schon ein paar Jahre her, mag heute anders sein.

Geschrieben von: SLE 09.10.2014, 19:23

Aber Uwe hat http://www.rokop-security.de/index.php?showtopic=24060&view=findpost&p=386587doch angeblich festgestellt, dass es sowas da nicht gibt ???

Wie dem auch sei:



Es ist kein VIRUS das war es nie, nur eine PUP Warnung. Und das auch Scanner jetzt nichts auf dem System finden, es zeigt doch das Cyberlink sowas nicht nötig hat. (wäre mir auch neu). Von daher ist doch alles ok.

Von übervorsichtigen und paranoiden Schutzprogrammen nicht verunsichern lassen