Wenn sm.de plötzlich die Startseite ist

Da öffnet man den Browser (hier: Google Chrome) und hat plötzlich „sm.de“ als Startseite. Was soll dieser Quatsch? Und wo kommt das denn plötzlich her? Eigentlich ist das eine ganz einfache Sache, denn ich muss irgendwie dieser Tage mal auf einer nicht ganz astreinen Seite vorbei gesurft sein. Und hier muss ich einfach mal etwas dazu schreiben.

Was ist das mit sm.de?

Die Seite sm.de sieht aus wie eine antiquierte Version der Google-Suche. Mir fiel deshalb die Startseite auf, weil ich erst dieser Tage die Startseite geändert habe. Sonst wäre es mir vielleicht beim zweiten Hinschauen aufgefallen. Wie ich nun einmal bin, musste ich mir mal Informationen zu der Webseite einholen, und ich bin auf interessante Dinge gestoßen. Schauen Sie mal:

Domain: sm.de
Inhaber: Aller Media e.K.
Ort: Verden

Auf der Webseite sm.de finden wir noch weitere Informationen. Denn wie es nun einmal in Deutschland Gesetz ist, muss ein Impressum vorhanden sein. Den Link dazu finden wir unten rechts. Und der Link würde dann zu einer Domain am.de führen. Wer steckt dort dahinter? Schauen wir doch einfach mal. Und wir finden die folgenden Informationen:

Domain: am.de
Inhaber: Computer & Service - Bohling
Ort: Verden

Nur um nichts falsches zu erzählen: Beide gehören in die gleiche Adresse. Das kann man alles selbst heraus finden. Ebenso, wie man herausfinden kann, was noch so bekannt ist. „Computer & Service“ gehört zu einem Herrn Frank Bohling. Und wenn ich nach dem schaue, stoße ich auf komische Geschichten rund um den VLC Media Player, der Software zum Abspielen von Multimedia-Inhalten. Der soll manipuliert worden sein. Das findet man zum Namen.

Pokki, der schlimme Finger

Tja, was mache ich denn nun? Es wurde auf jeden Fall Adware eingeschleust. Das ist Software, die Werbung anzeigen soll oder weitere Software im Hintergrund installiert. Also habe ich mal ein Reinigungsprogramm installiert. Und das förderte folgenden Registry-Schlüssel zu Tage:

HKCU\Software\Pokki

Und wenn man hier weiter recherchiert, stößt man auf Warnungen, dass da tatsächlich ein Trojaner installiert worden sein könnte. Sagen Sie mal, Herr Bohling, was soll das werden? Aber wer weiß, vielleicht sollte ich das den Herrn Bohling selbst mal fragen. Das da ist seine Firma in Verden. Der Link zum Impressum führt zu „Aller Media“. Was auch immer das ist.

Hallo, jemand zuhause?

Was hat Herr Bohling zu dem gesagt, was ich festgestellt habe? Ich habe ihm eine Email geschickt. Und die lautet wie folgt:

Sehr geehrter Herr Bohling,

mir ist bekannt, dass Ihnen die Webseite „sm.de“ gehört. Darauf gestoßen bin ich, nachdem in meinem Standard-Browser Ihre Webseite ohne mein Einverständnis zur Startseite wurde.
Ich habe mich dazu gefragt, was die Hintergründe zu „sm.de“ sind. Und ich habe recherchiert. Ich habe hierzu auf meiner Webseite einen Blogartikel vorbereitet. Ich möchte Ihnen gern den bisherigen Text zur Kenntnisnahme zur Verfügung stellen und Sie bitten, sich dazu zu äußern. Ihre Reaktion werde ich ohne nochmalige Rückfrage am 03.07.2017 veröffentlichen.
Arbeitet so ein Computer-Service? Soll erst per Drive-by schädliche Software eingeschleust werden, die dann kostenpflichtig wieder entfernt werden soll? Ich will niemandem etwas unterstellen, ich frage nur. Entsprechend ist mir ihre Antwort auch wichtig. Bitte lesen Sie den folgenden Text und teilen mir Ihren Standpunkt mit.
Hinweis: Meine Quellen habe ich mir zwischenzeitlich gespeichert. Ich kann also die Zusammenhänge nachweisen.

Mit freundlichen Grüßen,
Henning Uhle

Und die Reaktion?

Der Artikel ist fertig, wie Sie sehen. Und die Antwort? Da kam nichts. Schade. Der Herr Bohling hätte mit großer Sicherheit Zweifel ausräumen können, wenn da nichts dran ist. So muss man leider denken, dass durch einen Computer-Notdienst schädliche Software – und Werbesoftware und nicht zugestimmte neue Startseiten gehören dazu – verteilt wird, die dann vermutlich durch eine Fernwartung.exe von der Webseite entfernt werden soll. Und das gehört sich nicht, oder?

Wenn es denn eine plausible, andere Erklärung gegeben hätte. So aber warte ich seit einem Monat auf eine Antwort. Und die kam leider niemals bei mir an. Also ist es wahrscheinlich von der Firma so gewollt, oder?

Was Sie auch interessieren könnte:

38 Kommentare

  1. *** Der Link zum Impressum führt zu „Aller Media“. Was auch immer das ist. ***

    Verden liegt an der „Aller“, einem Fluss. Daher wahrscheinlich der Firmenname.

  2. Danke für den Artikel, hat mir SEHR geholfen!
    sm.de kam bei mir entweder mit einem VLC-Update oder WhatsApp für Windwos Update am 26.4.2018, kann ich heute nicht mehr nachvollziehen.
    Was ich aber weiß ist, dass mit selben Datum auch ein Programm Namens „Startfenster-Replace“ installiert wurde – laut Impressum = „Aller-Media“ = http://www.aller-media.de/impressum.php, auch in Verden.

    Nach der Deinstallation des Programms kommt Im Browser (Google Chrome) eine Deinstallations-Info, wo diese beiden Links nicht funktionieren:
    http://www.startfenster.de/deinstall/link?id=impressum
    http://www.startfenster.de/deinstall/link?id=kontakt
    Erst beim Impressum von http://www.startfenster.de/ kam/kommt http://www.aller-media.de/impressum.php

  3. Vielen Dank für die Info. Bei mir war es durch ein Update des VLCs dieser Tage. Sehr ärgerlich. Aktiv wird das Ding aber auch erst nache einem Neustart des Rechners – der bei mir auch mal beruflich bedingt Tage nur auf Standby ist, weshalb ich es heute erst bemerkt habe. Und das, kurz bevor ich Online Unterricht geben muss.
    Ich frage mich ernsthaft, was in den Köpfen solcher Leute vorgeht….

    1. Siehe meinen Post „Hans Pilles“ vom 2. Mai = mit der Deinstallation des Programms „Startfenster-Replace“ war bei mir wieder alles OK.

  4. Der VLC-Player kommt von Aller Media. ich weiß nocht, ob das schon immer so war, jedenfalls kam sm.de erst beim letzten Update mit, vorher war das nach mehreren Updates nicht der Fall.

    Reicht die Entfernung mit adwcleaner oder ist er danach immer noch irgendwo versteckt?

    Danke!

    1. Siehe meinen Post „Hans Pilles“ vom 2. Mai = mit der Deinstallation des Programms „Startfenster-Replace“ war bei mir wieder alles OK.

      1. Auch ich habe mir diesen Dreck heute eingefangen, nachdem ich ein Update des VLC Players gemacht habe – auf das mich Windows hingewiesen hat. Beim Installationsvorgang habe ich keine Info wahrgenommen, dass das unerwünschte Programm mitinstalliert wird – anders, als bspw. bei Java-Updates. Bitdefender hat nicht angeschlagen. Den VLC-Player als Verursacher schmeiße ich mit vom PC.

        Ist das überhaupt Rechtens? Wenn nein, muss es doch entsprechend Möglichkeiten geben, oder?

  5. Und ich habe heute ein Update gemacht, wo mich nicht Windows sondern der VLC-Media Player selbst aufgefordert hat. Und, siehe da alles OK! Keine Änderung der Startseite.
    Ich finde es spannend, dass es offensichtlich nicht so einfach nachvollziehbar ist, woher das Problem kommt.
    Vorschlag für Dich – schau mal die Liste der bei Dir am 31.5. installierten Programme durch, ob da ein „Startfenster – Replace“ oder ähnliches mit installiert wurde – und deinstalliere das Programm.
    Wär fein, wenn wir hier von Dir eine Rückmeldung bekommen, ob Du das Problem damit lösen konntest.
    lg
    Hans

  6. Vielen Dank für die hilfreichen Infos!!!

    Ich habe lange versucht das Problem zu lösen und erst mit Finden des Programmes Startfenster-Replace konnte es behoben werden!

    Ich bin wirklich sehr dankbar!!!
    Viele Grüße
    KaDa

    1. Welchen Cleaner hast Du installiert? Den AdwCleaner?
      Weißt Du noch, was am Ende des Clean-Vorgangs für eine Meldung gekommen ist?
      Hast Du meinen Post vom 2. Mai 2018 um 10:57 Uhr und das Programm Namens “Startfenster-Replace” deinstalliert – sofern vorhanden?

  7. Heute, am 14. Juli tauchte bei Einschalten des Computers ein Seitenfenster auf dem Monitor auf, in dem suggeriert wurde, dass der VLC-Mediaplayer ein Update vornehmen möchte! Es wurde sogar explizit verlangt, Windows Defender abzuschalten! Natürlich habe ich dies nicht getan, ging aber leider von einem echten Update aus. Ergebnis: Das SM.de Programm ungefragt und ungewollt auf dem Rechner! Windows Defender konnte es leider nicht aufhalten! Mit dem AdwCleaner konnte der ungebetene Gast wieder aus dem Computer herauskomplementiert werden. Vorsicht also bei VLC-player Update Hinweisen – möglicherweise gibt es auch weitere Seiten, wer weis?!

    1. Hallo Horst, konntest Du irgendwie nachvollziehen, ob das Update von videolan.org, vlc.de oder einer anderen Domain herunter geladen wurde? Ich habe mittlerweile den Verdacht, dass es gar nicht am VLC Update selbst liegt, sondern sich ein Widerling des VLC Updates bedient, um sein eigenes Schad-Programm zu installieren.

      1. … sehe das genau so, da sich das „VLC-Update“ selbst startete! im Moment läuft bei mir ein Virenscan und – ups – da wurden welche gefunden.
        Wie diese ganze Geschichte ins Rollen kommt, kann ich nicht mehr nachvollziehen.
        VLC scheint nicht dahinter zu stecken, aber man macht sich wohl die Beliebtheit des Players zu nutze.
        Also wirklich Vorsicht und Virenscanner, etc. danach nutzen

    2. Hey Horst,

      genau so ist es auch bei mir passiert, aber ich möchte mal anmerken, dass das update von VLC sich selbst startete, ohne dass VLC gestartet wurde. Ja, dass hat mich stutzig gemacht, habe es aber durchgehen lassen. Aber mit all diesen Infos hier, werde ich wohl auch diesen Einfang wieder weg bekommen.
      Danke an Alle!

  8. Hallo,

    selbes Problem, ich habe gestern am 15.07.2018 Abend die Meldung bekommen, dass ein Update für den VLC Player verfügbar sein soll.
    Heute nach dem Neustart und öffnen des Chrome Browsers stelle ich fest, dass sm.de die neue Startseite sein soll… habe die Replace Anwendung gelöscht. ich werde ein update geben.
    Diese Homepage öffnete sich nachdem ich installiert hatte, hab sie mir aus der chronik gezogen (verändert, damit nicht zu öffnen):
    wewewepunktvlc.de/ok/?id=_from_updater._vlc-3.0.3-win64.exe._vlc._updater._startfenster-replace

    1. Hallo Marc,
      danke für Deinen ausführlichen Post. Also, hab eine who.is Abfrage gemacht, die Domain wewewepunktvlc.de gibt es nicht. Daher gehe ich davon aus, dass es sich um eine temporäre Domain handelt. Daher bin ich beim Post von Andre vom 17. Juli 2018 um 06:05 Uhr = „… aber man macht sich wohl die Beliebtheit des Players zu nutze.“.
      Damit ist nicht ausgeschlossen, dass nicht doch VLC dahinter steckt, vermute aber, dass die VLC Entwickler nicht wirklich was für das lästige sm.de können.
      lg
      HC:-)

      1. Natürlich gibt es die Domain vlc.de. Und wen finden wir im Impressum!? Den hoch verehrte Herrn Frank Bohling mit (angeblicher) Tel. und Fax-Nr.
        Damit liegen die Zusammenhänge zu sm.de auf der Hand.
        Vielleicht sollten wir uns alle mal bei ihm per Tel oder Fax bedanken.
        lg
        Edwin

  9. vlc.de vs. videolan.org/vlc – des Rätsels Lösung
    Also, Freunde, Antwort im vlc-forum.de gefunden!

    Das Original = https://www.videolan.org/vlc/

    vlc.de verwendet denselben Quellcode wie das Original, verpackt es aber in ein eigenes Setup und gibt ganz offiziell und auch bei der Installation und den AGB angegeben „Werbung“ dazu – wie eben Startseite-Replace. Alle weiteren Details erspare ich mir jetzt zu beschreiben.
    Also, alles korrekt, braucht sich keiner Aufregen, wenn er von vlc.de Software installiert.
    Daher, VLC Media Player von videolan verwenden und alles sollte gut sein!

    Bitte an Henning Uhle, diese Erkenntnis ganz oben in Deinem Artikel ergänzen.
    lg
    Hans

  10. Ich finde es deshalb frech, weil dadurch der Eindruck erweckt wird, dass die von Aller Media verbreitete Version die originale Version ist und kein Repackage. Für mich wirkt das rein subjektiv so , als ob man dies gezielt macht, um Leuten zusätzlichen Mist unter zu jubeln.

    Bei mir hat es nicht gereicht, das Programm Startfenster replace zu deinstallieren. Ich musste zusätzlich noch mit adcleaner und Malwarebyte ran, bis das Zeug weg war. Was mich einiges an Zeit gekostet hat. Das ist nicht ok.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.