[Win10] Express Zip ist ein Virus?

[Richard Maurer]

Hallo NG,

Ich brauche mal kurz Eure Einschätzung.

Ich machte heute eine Fernwartung.
Das Problem war, lt. Angabe, der Scan funktioniert nicht mehr. Es trat
plötzlich auf.

Als ich mir das ansah merkte ich, dass keine einzige Systemverwaltung
aufrufbar war.

Also Computerverwaltung, Systemsteuerung, usw.
Stattdessen kam immer ein Fenster - Express Zip - Kaufen, Code einlösen,...

Ich habe gleiches noch nie erlebt.
Was ist Express Zip?
Das habe ich gefunden:
http://malwareloschen.trojanremovaltool.org/deinstallieren-nch-software-express-zip-vollstandig

Ich habe den Benutzer eindringlich darauf hingewiesen, dass er ein
Problem mit einer Schadsoftware hat und hoffentlich eine Sicherung hat,
denn die wird er brauchen.
Das bejate der Benutzer.

Habt Ihr Erfahung mit solchen Problemen, bzw. Express Zip?
Wie schätzt Ihr das ein?
Bei mir läuten alle Alarmglocken wenn ich so ein Verhalten feststelle.

mit freundlichen Grüßen
Richard Maurer
--
2 Win10 Updates für 2017 geplant, lies hier:
http://www.xing-news.com/reader/news/articles/370338?link_position=front_page&newsletter_id=15127&xng_share_origin=web

[Detlef Meißner]

Am 09.01.2017 um 19:28 schrieb Richard Maurer:

> Ich machte heute eine Fernwartung.
> Das Problem war, lt. Angabe, der Scan funktioniert nicht mehr. Es trat
> plötzlich auf.
>
> Als ich mir das ansah merkte ich, dass keine einzige Systemverwaltung
> aufrufbar war.
>
> Also Computerverwaltung, Systemsteuerung, usw.
> Stattdessen kam immer ein Fenster - Express Zip - Kaufen, Code einlösen,...
>
> Ich habe gleiches noch nie erlebt.
> Was ist Express Zip?

Zunächst einmal ist Express Zip ein Packprogramm:
https://www.heise.de/download/product/express-zip-86493
das aber *kostenlos* ist.
Es gibt aber auch eine Plus-Version.
http://www.nchsoftware.com/zip/de/
Möglicherweise bezieht sich der Hinwies darauf.

> Das habe ich gefunden:
> http://malwareloschen.trojanremovaltool.org/deinstallieren-nch-software-express-zip-vollstandig
>
> Ich habe den Benutzer eindringlich darauf hingewiesen, dass er ein
> Problem mit einer Schadsoftware hat und hoffentlich eine Sicherung hat,
> denn die wird er brauchen.
> Das bejate der Benutzer.
>
> Habt Ihr Erfahung mit solchen Problemen, bzw. Express Zip?

Probleme mit Express Zip werden z.B. hier aufgelistet
http://www.solvusoft.com/de/files/fehler-virenentfernung/exe/windows/nch-software/expresszip/expresszip-exe/

> Wie schätzt Ihr das ein?
> Bei mir läuten alle Alarmglocken wenn ich so ein Verhalten feststelle.

http://www.makeuseof.com/tag/whats-problem-nch-software-remove/

Möglicherweise wurde bei der Installation von Express Zip auch Bloatware
installiert.

Ich würde Express Zip erst einmal deinstallieren (es gibt etliche gute
Alternativen, z.B. 7-Zip) und dann weitersehen.

Detlef

[Dieter Maass]

Am 09.01.2017 um 19:28 schrieb Richard Maurer:

> Hallo NG,
>
> Ich brauche mal kurz Eure Einschätzung.
>
> Ich machte heute eine Fernwartung.
> Das Problem war, lt. Angabe, der Scan funktioniert nicht mehr. Es trat
> plötzlich auf.
>
> Als ich mir das ansah merkte ich, dass keine einzige Systemverwaltung
> aufrufbar war.
>
> Also Computerverwaltung, Systemsteuerung, usw.
> Stattdessen kam immer ein Fenster - Express Zip - Kaufen, Code einlösen,...
>
> Ich habe gleiches noch nie erlebt.
> Was ist Express Zip?
> Das habe ich gefunden:
> http://malwareloschen.trojanremovaltool.org/deinstallieren-nch-software-express-zip-vollstandig
>
>
> Ich habe den Benutzer eindringlich darauf hingewiesen, dass er ein
> Problem mit einer Schadsoftware hat und hoffentlich eine Sicherung hat,
> denn die wird er brauchen.
> Das bejate der Benutzer.
>
> Habt Ihr Erfahung mit solchen Problemen, bzw. Express Zip?
> Wie schätzt Ihr das ein?
> Bei mir läuten alle Alarmglocken wenn ich so ein Verhalten feststelle.

Sind denn die eigenen Bildern noch vorhanden?

Dieter

[Richard Maurer]

Hallo Detlef,

Am 09.01.2017 um 19:58 schrieb Detlef Meißner:
> Ich würde Express Zip erst einmal deinstallieren (es gibt etliche gute
> Alternativen, z.B. 7-Zip) und dann weitersehen.

Wenn ich Programme und Features aufrufe, kommt stattdessen die Express
Zip Meldung. Kaufen und so weiter.

[Richard Maurer]

Am 09.01.2017 um 21:33 schrieb Dieter Maass:
> Sind denn die eigenen Bildern noch vorhanden?

Meinst Du das ernst?
Das ist kein Privat Rechner sondern ein Firmenrechner....

[Richard Maurer]

Hallo Thomas,

Am 10.01.2017 um 05:31 schrieb Thomas Niering:
>
> Hallo Richard,

>
> Richard Maurer <usenetr...@gmx.at> wrote:
>> Als ich mir das ansah merkte ich, dass keine einzige
>> Systemverwaltung aufrufbar war.
>

> Auch nicht über die Kommandozeile (z.B. appwiz.cpl)?

Habe ich leider nicht probiert.

>
>> Also Computerverwaltung, Systemsteuerung, usw.
>> Stattdessen kam immer ein Fenster - Express Zip - Kaufen, Code
>> einlösen,...
>

> Irgendeine Addware/Shareware die Amok läuft.
> Mal versucht, diese abzuschießen und geschaut, ob es danach läuft?

Da es Fernwartung war habe ich da nicht groß herumprobiert.

>
> Wenn ja, sollte man mal eine Bestandsaufnahme machen, was installiert
> ist, und was davon nicht "ok" ist...

Ja, Das wird der Hauseigene Admin des Benutzers erledigen. Habe ich
besprochen.

>
>> Ich habe den Benutzer eindringlich darauf hingewiesen, dass er ein
>> Problem mit einer Schadsoftware hat und hoffentlich eine Sicherung
>> hat, denn die wird er brauchen.
>

> Nicht unbedingt, je nachdem, was die Bestandsaufnahme ergibt, kann
> auch einfach das Bereinigen effektiver sein...

Ja ich habe mal den Benutzer sensibilisiert, damit er Respekt vor dem
Problem bekommt und nicht alles anklickt.

Wenn ich den Rechner im bei mir hätte würde ich nach einer Sicherung,
genau schaun. aber Über Fernwartung sind die Möglichkeiten eingeschränkt.
Außerdem haben die einen eigenen Admin, der diese Dinge erledigen
muss/soll. Vieleicht meldet sich der Ja noch...

[HR Ernst]

Am Tue, 10 Jan 2017 06:16:38 +0100 schrieb Richard Maurer:

> Am 09.01.2017 um 21:33 schrieb Dieter Maass:
>> Sind denn die eigenen Bildern noch vorhanden?
>
> Meinst Du das ernst?
> Das ist kein Privat Rechner sondern ein Firmenrechner....

Hattest du das in deinem OP irgendwo erwähnt??? ;-((

--
Gruß

H.-R. Ernst

[Takvorian]

Thomas Niering schrieb:

> Nicht unbedingt, je nachdem, was die Bestandsaufnahme ergibt, kann
> auch einfach das Bereinigen effektiver sein...

Und diese "Bestandsaufnahme" wird wie gemacht? Mit Virenscannern?
Dann wäre das "Bereinigen" eine reine Farce!

[Ingo Steinbuechel]

Hallo Richard,

"Richard Maurer" <usenetr...@gmx.at> schrieb:

> Also Computerverwaltung, Systemsteuerung, usw.
> Stattdessen kam immer ein Fenster - Express Zip - Kaufen, Code einlösen,...

wie sieht es nach einem sauberen Systemstart aus?

> Ich habe den Benutzer eindringlich darauf hingewiesen, dass er ein
> Problem mit einer Schadsoftware hat und hoffentlich eine Sicherung hat,
> denn die wird er brauchen.

Richtig. Alles andere wäre grob fahrlässig.

> Wie schätzt Ihr das ein?
> Bei mir läuten alle Alarmglocken wenn ich so ein Verhalten feststelle.

FACK.

http://www.oschad.de/wiki/Kompromittierung

Gruß Ingo

[Richard Maurer]

Nein, da ich wissen wollte ob Express Zip ein bekanntet Problemfall ist
und Ihr das kennt.
Da ich es nicht kenne.
Für diese Information ist es nicht relevant ob Privat oder Firma.

Lg

[Richard Maurer]

Hallo Ingo,

Am 10.01.2017 um 17:06 schrieb Ingo Steinbuechel:
> Hallo Richard,
>
> "Richard Maurer" <usenetr...@gmx.at> schrieb:
>
>> Also Computerverwaltung, Systemsteuerung, usw.
>> Stattdessen kam immer ein Fenster - Express Zip - Kaufen, Code
>> einlösen,...
>
> wie sieht es nach einem sauberen Systemstart aus?

Da ich nicht vorOrt war habe ich das nicht getestet.

>
>> Ich habe den Benutzer eindringlich darauf hingewiesen, dass er ein
>> Problem mit einer Schadsoftware hat und hoffentlich eine Sicherung hat,
>> denn die wird er brauchen.
>
> Richtig. Alles andere wäre grob fahrlässig.
>
>> Wie schätzt Ihr das ein?
>> Bei mir läuten alle Alarmglocken wenn ich so ein Verhalten feststelle.
>
> FACK.
>
> http://www.oschad.de/wiki/Kompromittierung
>

Der Benutzer hat sich nicht mehr gemeldet, also nehme ich an, dass der
Admin VorOrt das Problem bearbeitet oder bereits gelöst hat.

[Jürgen Meyer]

On Tue, 10 Jan 2017 06:42:43 +0100, Richard Maurer <usenetr...@gmx.at>
wrote:

>Hallo Thomas,
>
>Am 10.01.2017 um 05:31 schrieb Thomas Niering:
>>
>> Hallo Richard,
>>
>> Richard Maurer <usenetr...@gmx.at> wrote:
>>> Als ich mir das ansah merkte ich, dass keine einzige
>>> Systemverwaltung aufrufbar war.
>>
>> Auch nicht über die Kommandozeile (z.B. appwiz.cpl)?
>
>Habe ich leider nicht probiert.
>

Undd wie sieht es im abgesicherten Modus aus?

Andererseits:
Nicht lange rumärgern.
Rücksichern und fertig.
Ich würde mir nur Gedanken darum machen, wer auf dem Firmenrechner die Rechte
hatte, diese Malware zu installieren.

Gruß
Jürgen

[Takvorian]

Thomas Niering schrieb:

> Takvorian <Takv...@byom.de> wrote:
>> Mit Virenscannern?
>
> Nö, der taugt für sowas jetzt nichts mehr.

>
>> Und diese "Bestandsaufnahme" wird wie gemacht?
>

> Nun, man kann z.B. mal schauen, was um die Express-ZIP-Installation herum
> installiert wurde, welche Programme wie gestartet werden, wo sie liegen,
> wie sie benannt sind. Man kann z.B. auch mal windows abgesichert starten...
>
> Je nachdem, was man rausfindet, kann man immer noch entscheiden,
> platt machen oder auf Adware-Jagd gehen, oder einfach nur das
> Express-ZIP-Programm deinstallieren...

Wenn es sich da um Malware handelte, wäre das eine unsichere Sache.
Entweder sichert man ein sauberes Image zurück oder man installiert neu.
Die fünf Minuten fürs Rückschreiben des Images brächten erstens ein
sicheres, sauberes Ergebnis, zweitens wären sie ein Bruchteil dessen, was
man an Zeit für eine "Bestandsaufnahme" zu investieren hätte.