Beiträge von roska

Ich habe weiter gebastelt und festgestellt, dass der "Download Protector" als Dienst (Service) installiert ist.
Genauer wurde bei mir ein Dienst "HID-USV-Akkutreiber für Procedure" von "Unbekannt" als Service angezeigt.
Das sieht man bei msconfig unter "Services", Häkchen bei "Hide all Microsoft services". Oder im "Computer Management"-"Services and Applications". Erst einmal den Dienst deaktivieren. Alle vorher genannten Dateien unter allen Verzeichnissen und in der Registry löschen. Ich habe Firefox und Chrome auch noch deinstalliert. Dann rebooten und schauen. Bei mir war danach der Spuk vorbei.

Anschliessend habe ich den Dienst gelöscht. Als Admin in der cmd console "sc delete tbskkill" eintippen (der Dienst heisst eigentlich tbskkill, nur der angezeigte Name hat einen "HID-USV-..." Eintrag). Und noch die Datei apircl64.exe unter c:\Windows\System32 löschen, die Registry von den tbskkill Einträgen säubern, und schon sollte alles wieder in Ordnung sein. Bisher ist es das zumindest bei mir.

Viel Erfolg!

Hallo
Ich habe mir den Gruppenrichtlinieneditor installiert, aber nichts gefunden.
Allerdings habe ich gemerkt, dass wenn ich alles (Registry, Files) lösche dann ist "Download Protect 2.2.0" auch im Firefox verschwunden. Bis zum nächsten Windows Reboot. Aber: wenn ich beim Booten kein Internet habe bleibt der DLP auch verschwunden. Erst wenn ich Internet anschliesse ist nach ein paar Minuten auf einmal wieder alles da in der Registry und die beiden Einträge in Windows\Install mit einem aktuellen Zeitstempel.

Also habe ich einen Netztrace laufen lassen und festgestellt, dass etwas beim Booten oder sobald Internet vorhanden ist die gesamte 790kb crx Datei runterlädt und wieder installiert. Irgendjemand hat sich da Gedanken gemacht wie man dieses "Add-on" so baut dass man es nicht wieder verloren geht. Und nicht überraschend ist die url die gleiche wie die, die auch im xpi javascript code auftaucht.

Registriert ist die eine Domain auf eine englische Firma, die andere auf eine Slowakische.

Und als Beweis noch das Paket mit dem Nachladeauftrag:
...@...°......eºê._Ï.n.Ö.)G.F´#>ç¼Öxïé..........À...........¿....................>..........2....&ò÷¼È.._râ®..E..$.°@....À¨T.Rba¹Àp.PhwMÁ.fÔP.@)ÉÜ..GET /?93aa4f41f3d407867b7debe0&v=6.1.7601&u=3797c3e8bcd514c6d690aecdd62681dc&ts=1&i=BB16EB05-9A21-4C79-B2B3-EAF02E10D4FB HTTP/1.1..Host: e0d38d993f049fdd.dpa.download-web-shield.com..Cache-Control: no-cache....

Danach kommen viele hundert Datenpakete mit dem Inhalt.

Wenn mir jetzt noch jemand sagt wie ich rausfinde welcher Prozess oder Dienst oder was auch immer diesen Request rausschickt wäre ich sehr dankbar. Oder vielleicht findet sich ja einer der vielen Malwaredetektorenhersteller, die sich diesem Ding annehmen. Ich nehme an es haben viel mehr Leute dieses "Add-on" in ihrem Chrome oder Firefoxbrauser als man denkt.
Schliesslich fällt er nur auf weil er das "no script" Add-on rauswirft.

Danke für jede Hilfe

Hallo

Ich habe das gleiche Problem, "Download Protect 2.2.0" ist auch bei mir aufgetaucht. Kein
Viren/Malware/..-Tool hat was gefunden, auch nicht beim Scan unter Ubuntu.
Die angegebene Lösung funktioniert bei mir (Windows 7 Home Premium) nur bis zu einem
Computer-Neustart, danach ist das Add-on wieder da.

Ich habe versucht rauszufinden was da eigentlich abgeht.
Es scheint "etwas" schreibt in C:\Windows\System32\GroupPolicy\Machine\Registry.pol

PReg [ S o f t w a r e \ P o l i c i e s \ G o o g l e \ C h r o m e \ E x t e n s i o n I
n s t a l l F o r c e l i s t ; 1 ; ; ; p e b k h c k c m i f k a c d c a o j c a
a d b m h k b d b l j ; f i l e : / / / C : / W i n d o w s / I n s t a l l e r / % 7 B B 6 4
A 0 3 F 1 - 2 E 2 B - 4 3 A 0 - 9 B 0 D - C B 4 9 6 8 A E F D 5 D % 7 D / x p e b k h c k c m
i f k a c d c a o j c a a d b m h k b d b l j m l ]

woraufhin die Registry unter
HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome einen key "a766dfeb" mit dem binären Wert
("XQbXtK/WqMcKQ8e9+HIPxARBMBT+dg39Sh
+WNxEiAUDm7sB3er3o2raipBRC/riCH7R96+nDoHPif5HLDO3PkEjOPNlYjTC
+O3dfxCgQhV4IXJGPu8TMiAPydVlQbL02qm+wgvC767nnB4G
+PZdAuzCfQ9dZ3cy/SYhj3jPirHmrxWeKfr3UsW43fREkEQGo4JJ
+QSwei7IC9I5nqZ/HKv6XyJ1s56i9/2cVDxl1zjc6fa4RSsezJ3gXqLAMMY6u5590zHHEOz80GOv
+EM9t/1xgYMBytTZCi9qaCN1/vbxuFbuK513YZxQOktWQ0dTuKpL4Z98TTASnaSLoXhOEIsDN18bes8Tczo
+tRkUtpHKKzkP8AigeJacWQIPxyGcNUxLd1+QGMvwKZNahOf8UplB90YpKgM6+b3u3EHiwdOE=") bei jedem Neustart anlegt.

Ausserdem werden in C:\Windows\Installer zwei Verzeichnisse angelegt
1) {B64A03F1-2E2B-43A0-9B0D-CB4968AEFD5D}
2) {7691B03B-3544-47AB-9BD8-5D16F1FDF747}

In 1) liegen die beiden Dateien, die in Registry.pol stehen:
"cpebkhckcmifkacdcaojcaadbmhkbdbljrx" mit 790kb und "xpebkhckcmifkacdcaojcaadbmhkbdbljml" mit
einem kb. Diese Letztere ist wieder gut lesbar:
"<?xml version='1.0' encoding='UTF-8'?><gupdate xmlns='http://www.google.com/update2/response'
Protocol='2.0'> <app appid='pebkhckcmifkacdcaojcaadbmhkbdblj'> <updatecheck
codebase='file:///C:/Windows/Installer/%7BB64A03F1-2E2B-43A0-9B0D-CB4968AEFD5D
%7D/cpebkhckcmifkacdcaojcaadbmhkbdbljrx' version='2.2.0' /> </app></gupdate>"

Die erstere, 790kb Datei enthält javascript mit binärdaten. Dort tauchen base64 codiert zwei
urls auf:
http://de.linktrackingnet.com/y/c.php
http://download-web-shield.com/
Anscheinend schickt "Download Protect" Informationen dort hin.

Aus dieser ersteren grossen Datei wird dann unter dem Verzeichnis 2) eine Firefox-Extension zusammengebaut:
{85710B27-1AA8-40CB-9781-1C6C08CA06EF}.xpi mit 778kb

Dort sind wieder die gleichen urls und javascript und Binärdaten zu finden.
Jedesmal wenn man die Verzeichnisse und die keys in der Registry löscht und wieder bootet werden die Dateien wieder erzeugt, aber die Verzeichnis- und Dateinamen geändert, die Verzeichnispfade bleiben aber gleich.

Und jetzt die 1 Euro-Frage: Wer oder was schreibt bei jedem Reboot die Daten wieder in die Verzeichnisse und wie werde ich es wieder los ohne Windows-Neuinstallation?

Vielleicht kennt sich ja jemand mit den GruppenPolicies bei Windows besser aus als ich?