BKA-Trojaner bei skyrim.nexusmods

H

Hopla

Neuankömmling

• 30. März 2013

• #1

Hallo,
habe soeben festgestellt, dass beim Download der Immersive Armors Mod auf skyrim.nexusmods.com ein BKA-Trojaner runtergeladen und ausgeführt wird. Diese Datei nennt sich Nexusmods.exe und ist nur 76 kb groß. Also ist hier Vorsicht geboten!
Lasse zz. das System mit Malewarebytes abscannen. Muss aber wahrscheinlich alles neu aufsetzen :!

 

Zuletzt bearbeitet: 30. März 2013

• 

Reaktionen: waldmumie, doritis und Veterano

Z

Zweischtein

Fremdländer

• 30. März 2013

• #2

Habe ich heute Nachmittag selber festgestellt ^^
Der Trojaner nennt sich (soviel ich gelesen habe) GVU Trojaer.

Man kann ihn sehr einfach vom computer Runterkriegen: http://www.chip.de/news/GVU-Trojaner-entfernen-So-entsperren-Sie-Windows_54761623.html

Achso, ich habe dort (NexusMods) einen Admin bezüglich dem ganzen informiert, und er hat mir gesagt, dass sie damit schon seit einer woche zu kämpfen haben...

PS: der Trojaner befindet sich hauptsächlich auf dem Amsterdam server, kann sich aber auch auf anderen servern befinden...

 

H

Hopla

Neuankömmling

• 30. März 2013

• #3

Ich habe 5-7 verschiedene Server ausprobiert. Immer wieder wurde diese Nexusmods.exe runtergeladen... Nun habe ich Malewarebytes mehrmals durchlaufen lassen und es hat alles entfernt was es findet konnte an Schadsoftware. Das ist jetzt wohl sonnenklar, dass ich die Nexus-Downloads meiden werde:roll:

 

Sun Wukong

Neuankömmling

• 31. März 2013

• #4

Runtergeladen habe ich den noch (denke ich) nicht, gesehen durchaus schon, unter anderem wollte Firefox den runterladen, als ich über einen der Amsterdam-Server einen manual download startete. Was für ein Mist.

 

Dante2000

Hausvetter

• 31. März 2013

• #5

Habt ihr den Mod-Autor bereits angeschrieben und das bei Skyrimnexus gemeldet?

 

Lillyen

Ehrbarer Bürger

• 31. März 2013

• #6

Danke für die Info.

 

Z

Zweischtein

Fremdländer

• 31. März 2013

• #7

@Dante2000

Die Admins von Nexusmods wissen bereits schon eine ganze weile davon...
Und der Trojaner ist nicht nur bei einer Mod dabei, sondern wird ab und zu zufällig bei allen mods runtergeladen.

 

Sun Wukong

Neuankömmling

• 1. April 2013

• #8

Zweischtein schrieb:

Die Admins von Nexusmods wissen bereits schon eine ganze weile davon...

Zum Vergrößern anklicken....

Woher hast du das? Es irritiert mich, dass es keine Warnung auf der Startseite diesbezüglich gibt und auch im Forum hab' ich nur einen einsamen Thread ohne Antworten gefunden, der auf das Problem aufmerksam macht.

 

Bosmerland

Abenteurer

• 1. April 2013

• #9

Wie merke ich denn, dass ich diesen Trojaner auf dem Rechner habe bzw. wo finde ich ggf. die Datei?

 

WormforEnnio

Vertrauter

• 2. April 2013

• #10

Glaub mir, das merkst Du!

Der Link von Zweischtein ist sehr hilfreich, ich habe den Bösewicht so schon mehrmals besiegt: http://www.chip.de/news/GVU-Trojaner-entfernen-So-entsperren-Sie-Windows_54761623.html

 

E

Eldarie

Hausvetter

• 4. April 2013

• #11

Sun Wukong schrieb:

Runtergeladen habe ich den noch (denke ich) nicht, gesehen durchaus schon, unter anderem wollte Firefox den runterladen, als ich über einen der Amsterdam-Server einen manual download startete. Was für ein Mist.

Zum Vergrößern anklicken....

Da auf allen Servern, die gleichen Dateien liegen werden auch alle Server betroffen sein.

*erstmal einen Bogen um skyrim.nexusmods mach*

 

Stefanu

Freund des Hauses

• 4. April 2013

• #12

Wenn man den runtergeladen haben sollte, merkt man das sofort, bzw. beim nächsten Neustart des Computers. Ich hatte den selbst vor einem halben Jahr und meine Freundin vor kurzem über eine Seite für Kinder (Pumuckl.de)... Da ich von der Skyrim.nexus-Sache nichts wusste, habe ich weiterhin einige Dateien geladen und es ist, toitoitoi, nichts passiert. Irgendwie sind mir diese Infos aber etwas zu vage. Soweit ich weiß, ist dieser Trojaner auch über automatische Updates (flashplayer zb) einzufangen. Ich bin mir nicht sicher (außer es liefert mal jemand konkrete Informationen), ob der Trojaner bei Nexus versteckt ist oder nicht eher irgendwie davor, was ich eher glaube. Da es bei Nexus keinen Hinweis darauf gibt und auch von Millionen Nutzern keiner direkt Alarm schlägt, gehe ich mal davon aus, dass hier eine Seite unschuldig verdächtigt wird. Ich lasse mich aber gern eines Besseren belehren (mit konkreten Zitaten, bitte), aber nicht durch unbelegte Behauptungen.

 

Qualmteufel

Ehrbarer Bürger

• 4. April 2013

• #13

Letzte Woche hatte ich auch von Nexus was runtergeladen wo Avast direckt Angeschlagen und den Virus gekillt hatte.
Danach war bis jetzt Ruhe

 

Lillyen

Ehrbarer Bürger

• 4. April 2013

• #14

Hopla schrieb:

Hallo,
habe soeben festgestellt, dass beim Download der Immersive Armors Mod auf skyrim.nexusmods.com ein BKA-Trojaner runtergeladen und ausgeführt wird. Diese Datei nennt sich Nexusmods.exe und ist nur 76 kb groß. Also ist hier Vorsicht geboten!
Lasse zz. das System mit Malewarebytes abscannen. Muss aber wahrscheinlich alles neu aufsetzen :!

Zum Vergrößern anklicken....

Wie "ausgeführt"? Erst einmal ist das ja eine Exe, die man selbst ausführen muss. Oder hat der NMM diese beim "Mod installieren" ausgeführt?

Meines bescheidenen Wissens nach sollte es doch reichen, wenn man die Mods manuell herunterlädt (dabei schon auf Namen und Endung achtet, Datei-Endungen sollten dabei eingeschalten sein) und sich den Ordner dann einmal kurz von innen anschaut, ob da vielleicht noch etwas drin ist. Oder was sagen die Experten dazu?

 

Dacri

Vertrauter

• 4. April 2013

• #15

wenn du dann in dem Ordner eine Virus.dll findest dann kannst du dir wohl sicher sein...Aber dass du nichts findest heißt nicht dass nichts da ist, jemand der versucht einen Virus einzuschleusen ist vermutlich auch klug genug in zu tarnen

 

Lillyen

Ehrbarer Bürger

• 4. April 2013

• #16

Dacri schrieb:

wenn du dann in dem Ordner eine Virus.dll findest dann kannst du dir wohl sicher sein...Aber dass du nichts findest heißt nicht dass nichts da ist, jemand der versucht einen Virus einzuschleusen ist vermutlich auch klug genug in zu tarnen

Zum Vergrößern anklicken....

Du hast Recht, das war ungenau erklärt. Ich suche natürlich nach Dateien, die nicht in eine normale Mod gehören.

Davon aber mal abgesehen, wurde hier bisher nur von Trojanern als exe-Dateien geredet. Oder tritt der Trojaner über Nexus auch in anderer Form auf?

 

Dacri

Vertrauter

• 4. April 2013

• #17

Natürlich, wenn der Trojaner als *.exe angezeit in einem Modordner liegt ist er leicht zu enttarnen, das stimmt. Kann durch Modinstallation per NMM auch eine *.exe ausgeführt werden? Denn ein Programm dass sich selbst ausführt...naja.

 

Lillyen

Ehrbarer Bürger

• 4. April 2013

• #18

Dacri schrieb:

... Kann durch Modinstallation per NMM auch eine *.exe ausgeführt werden? ...

Zum Vergrößern anklicken....

Eben das war ja meine Frage.

 

Sereish

Abenteurer

• 4. April 2013

• #19

Weiß nicht wie weit das zwischen den einzelnen Seiten zusammen hängt, aber davon ist nur das Sky-Nex betroffen? Weil momentan bin ich nämlich wieder etwas am schmöckern auf Fallout 3 und FNV Nexus :?

@Edit: Der Mod Manager ist doch eh, wenn man sich halbwegs organisieren kann, eigentlich unnötig und lediglich eine Annehmlichkeit/Faulheit-Krücke...

 

Zuletzt bearbeitet: 4. April 2013

Lillyen

Ehrbarer Bürger

• 4. April 2013

• #20

Oh, eine gute Frage. Aber wenn ich mir die anderen Beiträge genau anschaue, solltest du den falschen Download direkt bemerken, dass es wohl eine exe ist, die geladen wird. Ich lade momentan alles manuell herunter, schaue mir den Ordner dann genau an und wenn alles ok scheint, füg ich ihn zum NMM hinzu.

Wäre toll, wenn die anderen, die den Trojaner mal im Download hatten, genauere Infos geben könnten. Hieß die Datei bei euch auch immer Nexusmods.exe wie beim Thread-Ersteller? Oder wie trat sie bei euch auf (als .dll getarnt in der Mod, als Exe mit anderem Namen,...).