Kino.to: Stellungnahme und TrojanCleanUp
Die Administratoren von Kino.to scheinen den Hackangriff von Samstag wieder unter Kontrolle zu bekommen haben, und haben erneut offiziell Stellung zu den Vorfällen bezogen und ein TrojanCleanUp Tool herausgebracht mit dessen Hilfe sich der Trojaner wieder leicht entfernen lässt.
Hier die offizielle Stellungnahme von Kino.to:
An dieser Stelle möchten wir euch alle uns verfügbaren Infos zum gestriegen Samstag, den 18. Oktober 2008 geben.
Gegen 13 Uhr am Samstag musste einer unserer Member feststellen, dass die Hauptdomain auf einen russischen WebSpace anbieter weitergeleitet wurde.
Schnell wurde klar, dass die Domain bei unserem Registrar in irgendeiner Art und Weise übernommen wurde. Das primäre Problem, den Status der Domain abzufragen wurde erheblich erschwert durch den Bot, welcher nun über den russichen WebSpace verteilt wurde, denn dessen Angriffsziel war unsere Registrar und werden sicherlich wir bald sein.Mit viel Glück konnten wir gegen 19 Uhr feststellen, dass sich lediglich Zugang zur DNS Verwaltung verschafft worden war. Ab diesem Zeitpunkt versuchten wir intensiv die DNS Einträge rückgängig zu machen und kümmerten uns um die Analyse des Bot-Programms welches verteilt wurde.
Viele Leute haben uns in dieser Zeit untersützt und Vermutungen sowie eigene Analysen im CineCommunity Board veröffentlicht, an dieser Stelle vielen Dank an alle jene, welche uns in dieser Zeit geholfen haben.Aufgrund der Analysen haben wir eine erste Version eine Cleaner Programmiert, welchen ihr nun auch unter Tools findet. Für alle deren Vertrauen nun verständlicher Weise erschüttert ist: Lesst euch bitte im Falle einer Infektion dieses Tutorial durch.
Die DNS Einträge konnten gegen 20 Uhr wieder zurückgesetzt werden, ebenfalls wurden selbstverständlich neue Passwörter vergeben und wir hoffen, dass soetwas nicht mehr passiert, eine 100%ge Sicherheit gibt es freilich nicht.
Das aktuallisieren der TopLevel DNS Einträge kann sich noch ein paar Stunden lang hinziehen (Sonntag, 18:25 Uhr) sollte aber spätestens morgen bei jedem von euch durch sein.Die Frage wer hinter der ganzen Sache steckt, bleibt völlig unklar für uns. Vermutungen und Spekulationen gibt es viele, welche an dieser Stelle wohl niemanden intressieren. Fest steht, dass es heutzutage immer leichter wird eigene Bot-Netzwerke aufzubauen und nur mit eurer Hilfe bekämpft werden kann. Virenscanner sollten für jedermann Pflicht sein und ein waches Auge auch bei vertrauten Sites kann sicherlich nicht schaden, insbesondere wenn euch jemand zum Download einer Datei auffordert.
Bitte beachtet nochmals unser Clean Tool und oder das Tutorial zum entfernen des Bots!
Vielen Dank für euer Vertrauen
Euer Kino.to Team
Diesen Text konnte ich noch schnell aufgreifen bevor die Seite wieder down war. Bedauerlicherweise konnte ich das TrojanCleanUp Tool für den Trojaner nicht rechtzeitig herunterladen bevor die Seite wieder unerreichbar blieb. Sobald ich das TrojanCleanUp Tool von Kino.to herunterladen konnte, werde ich es auf meinen FTP Server hochladen und euch 24/7 zum Download bereitstellen. Dieses wird dann in diesem Artikel zu finden sein.
EDIT: Hier sind weitere Details zur Entfernung des Trojaners. Den Kino.to Cleaner könnt ihr übrigens hier herunterladen!
Vorweg: Alle hier genannten Infos wurden nach bestem Wissen und Gewissen erstellt es ist nicht ausgeschlossen, dass es weitere Stellen gibt in denen sich der Bot einnistet, doch bisher haben wir keine gefunden.
Zunächst wissen wir, dass der Bot eine Autostart-Routine braucht. Diese fanden wir in der Registry unter folgenden Schlüsseln:
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msupdate
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msupdate
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate
In jedem dieser Schlüssel befindet sich eine Zeichenfolge mit dem Namen: “ImagePath”
Der Wert der Zeichenfolge lautet im Infektionsfall: “c:\windows\system32\..\svchost.exe”
Verdächtig genug. Entfernen wir diese schlüssel (jeweils msupdate) so startet der Bot nicht mehr beim nächsten reboot von Windows.
Nach dem neustart müsst ihr noch den Bot selbst löschen, er befindet sich wie oben angezeigt in C:\%SYSTEMROOT%\svchost.exe, bitte löscht diese Datei.Der letzte Schritt: Sucht nach svchost.exe und erweiterung.exe und löscht die gefundenen Dateien WENN:
- Die Datei mit dem Namen svchost.exe außerhalb des System32 Verzeichnisses befindet ODER eine Größe von 37.019 Bytes besitzt
- Die Datei erweiterung.exe heißt und euch unbekannt ist (zusätzlich hat sie wahrscheinlich eine Größe von ca. 30 KB
Falls ihr mehr Informationen besitzt zum entfernen des Bots, lasst es uns wissen, wir würen diese Infos gerne im BEdarfsfall erweitern
Automatisches Cleanup Tool
Das Tool zum automatischen entfernen hat nur eine Funktion, klick einfach auf “CleanUp” und alles was das Programm macht wird euch angezeigt.
Downloaden könnnt ihr das Programm hier.So sieht es ungefair aus, wenn es bei euch durchgelaufen ist und nichts gefunden hat:
Und so sieht es aus, wenn es etwas findet:
Wenn Ihr Fragen zu dieser Seite habt, wendet euch bitte an den Dev im Upload Bereich. Danke.
Ähnliche Artikel
- Kino.to wurde gehackt und hat neue Adresse
- Tool zum Entfernen des Wasserzeichen unter Windows 7
- Kinostalking by Warner Brothers
- Download: AC3 Filter für DivX Filme mit ac3 Sound-Codec
- Ist dein Computer Windows 7 tauglich? (Tool Download)
- Neu im Kino: Gesetz der Rache
- Deutliche .pk2 Änderung nach Silkroad Legend 3 Update
Kategorisiert unter: Internet • Nachrichten • Sonstiges
Über den Autor: Ich glaube meine allgemeine Schreibweise, der Sarkasmus und meine besonders dummen Rechtschreibfehler sagen genug über mich aus. Ich schreibe die Texte auf diesem Blog so menschlich wie ich es selbst bin.
eine frage wurde der Bot nur druch des Downloaden dieser Datei, die dort zum dll stand verbreitet, oder auf anderen Weg?
gruß Lappen
Ich kriege zwar die Seite Kino.to geöffnet aber nicht den Tool “BotCleaner V0.03″. Dann erscheint bei mir immer Mozilla “Lesefehler”.
Ist das nur bei mir so oder…? Hat jemand nen Rat?
Lg
Kino.to ist seit kurzem ganz down…
@ Lappen und für alle die den Trojaner ausversehen installiert haben, es ist besser wenn ihr euren PC formatiert und alles neu installiert. Man kann nie wissen was ein Trojaner im System ändert, vorallem dann, wenn nicht einmal die Antivirusprogramme alarm schlagen.
@ Fummelfucks <—geiler Name
Ich konnte die Datei auch nicht downloaden und auch wie oben erwähnt ist eine formatierung die sicherste Methode es loszuwerden.
mfg.
Crazee
@ Crazee naja im prinzip hast du recht mit formatieren aber es muss auch bessere möglichkeiten geben den ich werde meinen pc im leben nicht formatieren allein an die ganzen programme wieder dran zu kommen kann sich um monate oder jahre handeln ^^ dan noch die treiber die ich nicht habe xD und nein man kann sie nicht so einfach downloaden hab schon 2 wochen gebraucht bis der entlich lief naja vllt findet sich ja auch ein besserer weg es gibt nur wenig viren und trohjaner die zur neuinstallation zwingen naja trohjaner gibt es eigentlich keine die eine neuinstallation erzwingen weil der trohjaner an sich nix mach nur ne hintertür für nen virus öffnen
so es gibt neues im falle kino.to einmal spybot findet malewar von svchost.exe beschreibung von spybot Firma:
Produkt: Smitfraud-C.gp
Bedrohung: Malware
Beschreibung
Smitfraud-C.gp is a collection of Smitfraud-C. variants. These variants usually get installed by exploits, social engineering or bundled with other malware. They also download other malware and trojan horses. Symptoms include unknwon browser helper objects, fake security messages, fake security software, pop up advertising, browser redirects or hijacking.
ambesten ihr macht ein update auf version1.6 wenn noch nicht geschen ladet alle updates von spybot runter und lasst ihn laufen und avira oder was auch immer für ein viren scanner ihr benutzt auch nochmal drüber jagen der müsste dan das hier finden TR/Agent.ahze das ist der trojaner der sich da festgesetzt hat wenn ihr diessen trojaner nicht finden solltet versucht einfach auf die seite kino.1a.to zugehn und danbei den scan machen aber auf derseite bleiben dan sollte der trojaner aktiv sein und ist auch auffindbar leider ist er noch nirgens bekannt wird sich aber in den nächsten tagen denk ich mal ändern ^^
ich denke danach dürfte nichts mehr von dem trojaner da sein aber sicher bin ich mir noch nicht aber es sind ja genug leute dran um das problem zulösen da ja bei kino.to das tool leider nicht zum laden bereit ist was sich hoffentlich noch ändert
mfg FUCK
PS: (Edit funzt iwie net) hier: http://www.cinecommunity.to/thread.php?threadid=894 is auch n tut mit dem cleaner
Hier funzt edit^^
PS²: http://kino.to/ ist wieder erreichbar^^
kann man nicht einfach das systemwieder herstellen wenns ja den svchost heimgesucht hat,oder is das ne andere datei die erstellt wird
nochmal um sicher zu gehen:
ich hab die datei erweiterung ausversehen geöffnet nachdem sie mir jemand per icq geschickt hat , ich habe aber weder eine 2. svchost noch eine größere als normal… die erweiterung.exe ist gelöscht , hab ich also keinen Trojaner ? O.o
bzw. sollte ich das tool mal drüber laufen lassen ?
ich bin mir bei dieser Seite nicht so sicher … deshalb würde
es mich nicht wundern wenn das Reinigungsprogramm selbst nen trojaner ist…
Also..ich wollte auch mal meinen senf zu dem trojaner los werden…
ich habe die letzten tage sehr viel gegooglet zu dem thema..
ich habe auch mehrere svchost.exe in laufenden prozessen gefnden..!
habe das dann gegooglet..es wurde gesagt das auch wenn man mehrere svchost.exe laufen hat..das vollkommen normal sein kann..kommt wohl immer darauf an welche dienste der rechner gerade verwendet..
ich habe den rechner auch nach der auf kino.to angegeben methode abgesucht..und bin nich fündig geworden..
ich habe vorher einige tools durchlaufen lassen..von kapersky bis spybot..
spybot meldete mir ebenfalls den Smitfraud-C.gp.. den er wohl auch erfolgreich entfernt hat..
ebenfalls fündig wurde der spyware doctor,,,der mir allerdings mehre backdoor bla bla irgendwas anzeigte..die ich auch mit erfolg löschen konnte..
die svchost.exe prozesse laufen jedoch immernoch..
wichtig wäre auch das wenn ihr den virus irgendwie findet und schafft zu löschen..
direkt einen regcleaner hinter herjagd um gegebenfalls übrige regestry einträge oder anderen mist die mir ihm in verbindung stehen zu entfernen..
ich habe dafür tuneup benutzt..
ich weiss zwar nicht ob das was ich hier schreibe wirklich irgend etwas gebr8 hat..aber es wurde nichts weiteres gefunden
schade das der doenload link zum angeblichen cleanup tools von kino.to nich zu erreichen ist..
yo thx!!!!
svchost.exe hat mein i-net gelamet
thx
hat geholfen funzt wieder,gute hilfe leicht verständlich
thx
Hey leute – was ist denn nun mit kino.to?
weiß wer mehr?
mfg
Hiho
Also bei mir öffnet sich http://www.kino.to nicht auch nicht die zwei anderen bekanntgegebenen adressen zu der site und über die ip komm ich auh ned drauf, zeigt mir nur immer wieder an “server nicht gefunden”
@SieDenBurG sicher das die seite bei dir funzt?
mfg marlik
hi!
habe auch diesen scheiß dummerweise runtergeladen…spywaredocotr hat was gefunden (wie oben schonmal geschrieben)..habs gelöscht heut hat dann antivir alarm geschlagen mit der schon oben genannten datei…hab leider onlinbanking gemacht in der zwischenzeit, weil ich dachte die sache sei erledigt mit spywaredr. sollte man wohl die nächsten tage und wochen im auge behalten…
mit antivir löschen und ccleaner drüberlaufen lassen…reicht das??? hab keine ahnung wie des funzt mit allem neumachen, hab auch bloß so ne systemwiederherstellungs -cdrom…wär das genug, wenns doch noch was über sein sollte von dem ding???
HILFE HILFE HILFE…..
kann mir jemand helfen und den tool von kino.to
link geben.
ich habe nämlich diesen sch…. drauf
Also so weit ich dass überblicken kann..is der virus dazu ged8..von unseren rechner haufenweise daten an den server auf dem sich kino.to befindet zu verschicken..um diesen dann damit zu überlasten..
deswegen erreicht auch keine sau die seite..ich habe die anderen adressen auch ausprobiert..habe die seite jedoch jediglich über die schon mal irgendwo erwähnte ip erreicht..
das tool..vovon die rede war..konnte dort aber leider nich runtergeladen werden..
ich bin immernoch misstrauisch was den trojaner angeht
ich habe zwar so weit alles was ich irgendwie finden konnte..mit den ganzen tools die ich benutzt habe..und das waren ne menge glaubt mir..gelöscht..und habe auch alles so weit nach den datein und einträgen durchsaucht..
aber diese svchost.exe prozesse machn mich dennoch stutzig..
also wie ich schon mal erwähnt habe habe ich heraus gefunden..das es eigentlich nichts schlimmes is..wenn in den prozessen mehr als eine svchost.exe zu finden ist..nur weiss auch keiner..wieviele denn genau kein problem sind..!
also ich hab jetzt 7 an der zahl..auch wenn ich eigentlich nicht im netz bin..
aber so bald ich genaueres zum dem thema finde..werd ich mal versuchen das hier wieder zu geben..!
theorethisch müsste es reichen wenn du en rechner zu einem früheren zeitpunt wieder herstellst..!
mein problem is natürlich..das ich nen brandneuen rchner hab..und der mensch der mir das ding eingerichtet hat..vergessen hat die systemwiederherstellung zu aktivieren..lol..naja ich dann natürlich auch..weil ich mich auf ihn verlassen hab..!
mir bleibt also eigentlich nix anderes übrig als in zu formatieren und komplett neu einzurichten..oder ich hab glück und ich hab ihn scho gekillt..!
im grunde is es immer am besten man setzt das system neu auf..denn man weiss nie wo sich diese mistviecher sonst so festsetzen.
aber wenn du die möglichkeit hast..versuch es mit der wiederherstellung..das is schon mal ein guter ansatz.
also ich habs versucht mit systemwiederherstellung (ohne cd) aber da sagt er mir, dass am pc nix verändert wurde und nix wiederhergestellt wurde. hatte gestern im antivir beim komplettdurchlauf sogar 2x diese datei drin, beides gelöscht, bei nochmaligem durchlauf war se erstmal weg…
wenns immernoch net ganz weg is –>systemherstellung mit cd?! macht des eigtl irgendnen unterschied?! wahrscheinlich doof die frage, aber ich hab halt keine ahnung von dem ganzen..also nich so richtig wirklich jedenfalls…
und ich hab gelesen, dass dieses ding passwörter ausspioniert und irgendnem typen schon bei ebay das paypal konto leergeräumt wurde…
aber dank tan-verfahren sollte da bei onlinebanking nix passieren, selbst wenn die meine pw rausfinden, oder?!
Ich habe eine kabellose Verbindung zum web,
und kann merken wann Daten von mir ins web gesendet werden!
Kurz nach dem ich die Stellungnahme von kino.to gelesen hatten, merkte ich das wieder Daten von mir gesendet werden und ungefähr 5 Minuten später ging kino.to nicht mehr!
ich denke das dieser Virus oder was es auch immer ist, ist keine große Gefahr für uns, sonder es überlastet kino.to damit wir die Seite nicht mehr aufsuchen können.
Offizielle Tool vom Kino.to Board:
http://rapidshare.com/files/156570518/Kino.to_Cleaner_V0.03.exe
ich kann dieses programm nicht runtladen warum BotCleaner V0.03 würde gerne weiter meine filme kucken!!!!!!!!!!
Mhhh..Versucht doch mal einen anderen explorer für’s Internet zu benutzen vllt klappt des mit dem Download ja dann..
Online Banking ist ansich ne gefährliche sache, da Trojaner
passwörter vom Rechner nämlich leicht stealen können..
Deshalb speicher ich allgemein keine daten auf meinem Rechner..wie gesagt ich würde den Rechner formatieren und meine daten auf einen USB Stick ziehen oder auf einer externen Festplatte ziehen (wenn nich vorhanden vllt. vom Kumpel leihen oder so).
LG Das Phantom
ist man auch wirklch dann von dem trojaner befreit wenn man diesen tool benutzt?
EY leute ich hab den tool von kino.to runtergeladen keine sorge es ist kein weiterer trojaner. also wie oben beschrieben man braucht nur einmal zu klicken und alles erledigt sich von selbst. es braucht noch nicht mal eine installation!
ich bin clean
häää wie jezzt biste clean hab das programm auch das sucht nur und dann ist man befrteit oda
ja wenn du gute english kenntnisse hast kannst du ja lesen 1 found and 2 deleted heißt im klar text gefunden und gelöscht.
habe nach der datei selbst gesucht und nichts gefunden, da sind schon dateien mit dem selben namen, die sind aber vom windows selbt.
der trojaner hat sich unter diesem namen getarnt denk ich mal
Hallo <ihr Kino.to – Fans, kann denn nu irgendeiner von euch, die sich das Tool von kino.to runterladen konnten dieses als Link reinstellen oder eine alterntv. Quelle nennen. IIIch koooomm bei …to niicht reiiin.
Ich hatte mir ausversehn diese erweiterung.exe datei runter geladen als die domain von kino.to geklaut war… jetz hab ich mir das tool botcleaner von kino.to rtuntergeladen und auch mehr als 8 (!) eintrtäge in der registry dazu gefunden, zudem laufen 8 prozesse im Task manager unter dem namen svchost.exe.
Meine frage is jetz ob man mit dem botcleaner durch drücken auf clean up die auch für immer lööscht? weil sie bei mir bei jedem system start wieder gefunden werden.
zudem hätte ich gern ne erklärung wie sich der fehler beseitgen läst,
danke