# Noch dreistere [ edit] durch Adware



## creden (28 März 2008)

Hi, ich lese hier schon länger mit, seit ich vor einiger Zeit
auf ein Lebensprognose Abo hereingefallen bin.

Heute bin ich über ne moch dreistere Mache gestolpert.
Geworben mit Gratis, Kein abo, etc.
Letztendlich kriegt man aber nen Virus/Adware/Badware untergeschoben als 
"Gratis Zugangstool".


webfahrschule.com
vorlagenweb.com
GEDICHTESERVICE.COM
GIFSUNDCLIPARTS.COM
GRUSSKARTENCENTER.COM
VORLAGENONLINE.COM
BEWERBUNGSEXPERTE.COM
FAHRSCHULWISSEN.COM


Sone Dreistigkeit schreit nach Rechreche.
Ich habe erstmal Screenshots von allem angefertigt und werde Anzeige erstatten.
Ich krieg den Mist ohne Neuinstallation nicht mehr weg! Das ist schlimmer als dieser Abomist.

Im Impressum steht:



> Web Content FZE
> Twin Towers
> Baniyas Road, Deira
> Dubai - United Arab Emirates
> ...


Wenn man nun nach der Strasse googelt, offenbaren sich die eigentlichen
Drahtzieher:

Laser Internet Marketing Gmbh (Limg Gmbh)
Voerderstrasse 71a
58135 Hagen

Geschäftsführer ist eine  [edit] 

Interessant ist auch die Zweite Adresse:

Limg GmbH
Alte Str. 65
44143 Dortmund

[noparse]http://www.limg-gmbh.com/[/noparse]


----------



## creden (28 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Noch zur Ergänzung.:
Das Tool dort verbindet sich nun ständig mit: limg16.tldhost.de (89.107.66.239).
Das tut es übrigens, nachdem es sich in svchost.exe unbenannt hat und sich in den Autostart eingepflegt hat und fortan unsichtbar in den Systemprozessen rumgurkt.


----------



## creden (30 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Nachdem ich nun stundenlang damit gekämpft habe, diese Adware wieder runterzubekommen, möchte ich das wirklich keinem anderen User zumuten.

Daher habe ich nochmal nach Limg GmbH gegoogelt, um deren Domains in meine Filterliste zu werfen.

Die Betreiben übrigens auch kaimobile.de (Handyverträge plus playstation plus 700 € in bar...), will sagen: noch mehr fragwürdiges zeugs.

Jedem Sei ans Herz gelegt: MEIDEN!


----------



## dvill (30 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Vorsicht mit dem Tool. Adware trifft die Sorte Software nicht wirklich. Virustotal.com findet Anhaltspunkte für Schlimmeres.

Da reicht eigenes Rumfrickeln an Filtern nicht aus, das Problem zu beseitigen. Da muss ein Profi-Kammerjäger her.


----------



## sascha (30 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Hier ein Film, der die Gefahr auf der Seite *gedichteservice.com* anschaulich zeigt (Download über rapidshare, 10 MB):
http://rapidshare.com/files/103474200/gedichteservice-malware300308.avi.html


----------



## rainbow (30 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Schon wieder Dubai !!!  Vielleicht sollten mal alle Angeschissenen eine mail an Scheich Mohammed bin Rashid al Maktoum senden und sich über die [ edit]  beschweren ! <[email protected]> Der ist doch immer so um ein sauberes Ansehen seines Wüstenstaates bemüht und will dort das Tor zur Welt errichten ! Wenn das als weltweites Versteck krimineller Machenschaften berühmt wird macht er vielleicht was ! :bang:


----------



## creden (30 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Da dahinter ne deutsche Firma steht, nützt es vielleicht mehr, der Gewerbeaufsicht was zu sagen.


----------



## Franziska (30 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Ich kriege da überall


> Zugriff verweigert! Error 403



Der Registrar scheint sich geändert zu haben


> status:      LOCK
> changed:   2008-03-29 14:20:09


----------



## Reinhard (30 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Inzwischen ist bei "Vorlagen.com" aus dem kostenlosen wieder ein entgeltliches Angebot geworden  - für 24.00 € pro Jahr. In der AGB ist übrigens folgender Hinweis zu finden: 





> Der Nutzer wird darauf hingewiesen, dass technische Sicherheitsvorrichtungen  (z.B. Virenschutz, Virenscanner) vorhanden sein sollen. Die Web Content FZE  übernimmt daher keine Haftung für Schäden, die durch den zumutbaren Einsatz  solcher Antivireneinrichtungen in der Einflusssphäre des Nutzenden hätten  vermieden werden können.


Also: _"Selber schuld, wenn du auf unsere "Experimente" herein fällst."_:wall:


----------



## Wembley (30 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Um ganz genau zu sein, die ersten beiden der oben angeführten URLs sind *derzeit* (es kann sich ja alles so schnell ändern) Abos.


> webfahrschule.com
> vorlagenweb.com


Die anderen der oben angeführten URLs wollten unangenehme Zeitgenossen herunterladen und verweigern *derzeit *(kann sich in einer Minute/Stunde/Woche/Monat alles wieder ändern) den Zutritt.


----------



## creden (30 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Hmmm....
Nu dann scheints nen neuen Abo Anbieter zu geben  Ob da jemand mitliesst?
Muss hart sein, wenn man extra ne Dubaifirma gründet und dann gehts in die Hose  
Wer haftet eigentlich ? Der Dubai Ableger oder die limg gmbh ?


----------



## L I M G GmbH (31 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Sehr geehrte User,

unsere Support Abteilung wurde ebenfalls aufmerksam gemacht über die oben genannten Seite der Firma Web Content FZE.
Wir haben sofort reagiert und diesen Webhosting-Kunden gesperrt.

Unsere interne Rechtsabteilung wird sich mit diesem Fall weiter beschäftigen.

Wir möchten darauf hinweisen das wir mit Viren und ähnlicher Software nichts zu tun haben.

Mit freundlichen Grüßen
L I M G  GmbH


----------



## dvill (31 März 2008)

*AW: Noch dreistere [ edit] durch Adware*

Nettes Postfach:





> Uganda Business Council
> Tel: 04  2277275
> P.O.Box : 6159 - Dubai


http://www.jbc.org.ae/obc.htm


----------



## creden (16 April 2008)

*AW: Noch dreistere [ edit] durch Adware*

Zum Thema "Webhosting-Kunde[...]gesperrt".
Es wurde lediglich bei vorlagenweb.com der WhoIs Eintrag geändert, die Domain war nichtmal 24 Stunden offline, sogar der selbe NS-Server wird benutzt.

Und Aus Gedichteweb wurde gedichteonkel.info (selbes layout, selbe MD5-Hash der Adware)

Auf gedichteonkel.info wird nachwievor die Adware zum download angeboten.

Interessant ist:
Kurz nach dem post der Limg GmbH wurde der Registrar der Domains nach Spanien "verlegt", aber nachwievor dort gehostet, samt der Adware.

Und noch lustiger finde ich, dass man beim Klick auf "Impressum" auf die Domain "aboprojekte.de" der Visions new media GmbH geleitet wird.

[...]

_[Spekulationen emtfernt. (bh)]_


----------



## creden (16 April 2008)

*AW: Noch dreistere [ edit] durch Adware*

Nachtrag:
Die Adware wird von elbollo.de geladen, diese Domain gehört ebenfalls der Visions new media GmbH


----------



## L I M G GmbH (17 April 2008)

*AW: Noch dreistere [ edit] durch Adware*

Guten Morgen,

Um den weiteren Anschuldigungen recht zu werden hier folgendes:
Was jemand mit der NIC einer .COM Adresse macht ist nicht unser Bereich.
Die Domain GedichteOnkel.INFO leitet nicht auf unsere Server IP´s.
Die von dort geladenen "Adware" ist eine Adware der Firma Global Netcom, so steht es zumindest in den AGB dieser Adware.

Wenn ich auf Vorlagenweb.com surfe ist diese Domain immernoch offline.

Bitte vorher bessere Forschungen betreiben bevor hier der Schwarze Peter an die Wand gemald wird.:wall:

Der MD5 (Hash) Wert konnte garnicht stimmen wenn diese Software von Global Netcom ist und somit eine ganz andere als die in Post 1 dieses Threads.


----------



## L I M G GmbH (17 April 2008)

*AW: Noch dreistere [ edit] durch Adware*

Hallo nochmal,

bevor uns nun hier jede Art von Adware angehangen wird, hier ein Screen den ich noch machen konnte der Adware die der anonyme User creden hier meint:

[...]

Mehr dazu finden Sie hier:
http://www.peterhuth.de/news_03.php
http://www.symantec.com/security_response/writeup.jsp?docid=2006-011114-4734-99
http://forum.chip.de/viren-trojaner-wuermer/vollkommen-verseucht-435504.html

und viele weitere Seiten findet Google wenn man nach Global Netcom und Adware sucht.

Ich bitte Sie nochmals ordentliche nachforschungen zu machen bevor Sie uns hier die komplette Internet Adware Branche anhängen.

_[Bild hier eingebunden statt verlinkt. (bh)]_


----------



## Marco001 (17 April 2008)

*AW: Noch dreistere [ edit] durch Adware*

Globel Netcom.:roll:
Leute, es ist mal wieder unser aller Freund [ edit]  in diversen Foren als 1md unterwegs. Bin gespannt, wie lange es dauert, bis sein "sauberer" Anwalt [ edit]  wieder versucht, Dialerschutz ne Abmahnung unterzuschieben.

_*Modinfo*_ 
http://forum.computerbetrug.de/rules.php


			
				Nutzungsbedingungen schrieb:
			
		

> _Persönliche Daten
> 
> Die Wiedergabe persönlicher Daten ist nur mit ausdrücklicher Genehmigung der betreffenden Person erlaubt. Bei Angabe persönlicher Daten fremder Personen werden die Moderatoren diese löschen wenn nicht von einem Vorliegen der Erlaubnis auszugehen ist._


----------



## creden (5 Juni 2008)

*AW: Noch dreistere [ edit] durch Adware*

Nun ist ja etwas längere zeit vergangen.
Limg behauptet, dass die Webcontents FZE "nur" ein Webhostingkunde war, der allerdings gesperrt wurde.

Auch hat sich LIMG von der Adware (dem Trojaner) distanziert.

Nur:
Wenn man bei Google nach "Word Vorlagen" sucht, findet man folgende Anzeige:

Vorlagen und Musterbriefe
Lebenslauf und Vertragsvorlagen
Über 5.000 Vorlagen kostenlos
w**.kostenlose-vorlagen.com

verlinkt wird hier aber auf folgende Url:
[noparse]http://www.adlimg24.com/xxxxxxxx[/noparse] 

welche dann auf w**.kostenlose-vorlagen.com weiterlinkt.

Wem gehört denn nun der Trackinglink adlimg24.com

Dem LIMG Geschäftsführer höchstpersönlich laut Domainauskunft. Siehe Screenshot unter : [.....]

Der Zusammenhang LIMG und Webcontent FZE ist in anderen Foren schon deutlicher dargestellt worden, daher spare ich mir den rest.


----------



## creden (20 Juni 2008)

*AW: Noch dreistere [ edit] durch Adware*

Seit der Ikea.exe geschichte (*Klick*
 verschwanden zeitgleich alle "Angebote" der Webcontents FZE aus Google :-D

[...]

Auf jedenfall hat das hier was gewirkt, die Angebote werden (vorerst) nicht mehr beworben und mein Rechner ist wieder sauber :-D

_[Persönliche Daten Dritter und unbewiesene Behauptung entfernt. (bh)]_


----------

