Zu https://www.trojaner-board.de/199414...ml#post1737921
Antwort im Malwarebytes-Forum https://forums.malwarebytes.com/topi...l-bocking-icu/

Das Posting hatte ich auch bei der Suche nach siturban-facred.icu gefunden.
Ist 6 Tage her.
Der Thread wurde vom Admin geschlossen und mit der der lapidaren Antwort:

Zitat:

The domain in your log is blocked for Riskware/Adware.

Ob jetzt nur die Domain oder die gesamte Toplevel geblockt ist, ist offen.
*.icu ist eine beliebte Toplevel Domain von Spammern.
https://domain-recht.de/domain-regis...-zu-67139.html
Die IP der Adresse ist 34.231.10.22 aber nicht registriert.

Zitat:

Zitat von Citro

Zu https://www.trojaner-board.de/199414...ml#post1737921
Antwort im Malwarebytes-Forum https://forums.malwarebytes.com/topi...l-bocking-icu/

Ne wirklich tolle Antwort ist das aber nicht.

Ja, leider nicht, nur z.Z. die einzige die ich fand. Es ist noch nicht einmal konkret auf die Fragestellung eingegangen worden

Eine Whois-Abfrage hat mir gesagt, dass das ein Amazonserver ist. https://whois.domaintools.com/siturban-facred.icu

Etwas komisch.

whois centralops.net liefert eine völlig andere IP und keinen Betreiber

Zitat:

Address lookup
canonical name siturban-facred.icu.
aliases
addresses 34.231.10.22

siturban-facred.icu

Zitat:

404 Not Found
nginx

https://www.ipaddress.com/ipv4/34.231.10.22
mit der IP laufen auch andere Server

Hinweis zu diesem Kollegen hier: https://www.trojaner-board.de/199574...ngefangen.html

Er hat CDBurnerXP installiert.

https://forum.cdburnerxp.se/topic/10...tains-malware/

Das Zeug kommt serienmäßig mit InstallCore. Wenn man den nimmt, muss man auf der Homepage unter Downloads unbedingt auf "More download options" gehen. Dort gibt es dann eine Variante ohne Installcore.

Hat der Kollege hier bestimmt nicht gemacht, so meine Vermutung.

Zitat:

Zitat von stefanbecker

Hat der Kollege hier bestimmt nicht gemacht, so meine Vermutung.

Aber dann löscht man den Installer nach Gebrauch und Ruhe ist. Oder etwa nicht?

Werde ich mal in einer VM testen, interessiert mich. Wobei glaube ich da eine Neuinstallation bei den geschilderten Problemen eh am besten wäre. Aber mach mal.

Also meine Idee war ein Fehlalarm. Weder AdwCleaner noch MBAM finden irgendwas nach Neuinstallation von CDBurnerXP.

Zitat:

Zitat von stefanbecker

Werde ich mal in einer VM testen, interessiert mich. Wobei glaube ich da eine Neuinstallation bei den geschilderten Problemen eh am besten wäre. Aber mach mal.

Also meine Idee war ein Fehlalarm. Weder AdwCleaner noch MBAM finden irgendwas nach Neuinstallation von CDBurnerXP.

Müssen wir mal sehen. Ich habe nicht ohne Grund jedem TO zu choco geraten.

Aus aktuellem Anlass verweise ich auf:
https://www.trojaner-board.de/196393-hinweise-ad-malware-threads-bitte-offen-lassen-10.html#post1737183

Nicht überraschend, weswegen der diesbezügliche Thread
https://www.trojaner-board.de/199279-virus-programme-installiert.html#post1737292
geschlossen wurde.

In den unvollständigen FRST-Logs hier
https://www.trojaner-board.de/199655-windows-10-chrome-oeffnet-selbstaendig-tabs-werbung-av-findet-nichts.html#post1739168
finden sich auch diese Einträge:
127.0.0.1 www.r2rdownload.net
127.0.0.1 www.r2rdownload.com
127.0.0.1 www.elephantafiles.com

Team V.R(siehe installierte Programme) ist darüberhinaus kein Hersteller von Videosoftware.

"Ich bin echt ratlos wo der Mist herkommt."
Tja, kann man nix machen.

Okay, mal sehen was der TO dazu sagt

Zu https://www.trojaner-board.de/200414...ml#post1743834
Dort schreibt der Themenersteller und postet dazu Screenshots

Zitat:

4364 Dateien, die vom Zeitpunkt 2019 sind, aber immernoch auf dem System sind, und das alleine im System32 Ordner...

Man sollte ihm vielleicht mal sagen, dass das völlig normal ist mit dem Datum. Es erscheint dort nie das Datum der Installation, sondern das Datum von der entsprechenden Iso, wann sie von Microsoft erstellt wurde.

Außerdem schreibt er und postet ein Bild

Zitat:

Es ist auf der SSD Speicherplatz hinterlegt, der nicht! zugreifbar ist und nicht mit gewhiped wurde. Habe noch keinen Weg gefunden zu diesem Speicher auf der SSD zu gelangen.

Auch die beiden Partitonen rechts und links von C sind normal. Das sind Partitionen, die bei einem Clean Install von Windows erstellt werden (EFI-Systempartition und Wiederherstellungspartiton)

Wenn solche grundlegenden Dinge den User schon verunsichern und er dahinter Manipulationen vermutet wird, bin ich geneigt, auch andere aufgeführten Dinge in das Reich der Hysterie zu verorten.

Das das dort alles normal ist, wissen wir alle
Und dass da immer mal irgendwelche Leute posten, die hier irgendwelche unlogische und technisch nicht beweisbare Phänome darstellen, halte ich der Langeweile in der Coronakrise geschuldet.
Auch kommt jetzt mancher Verschwörungstheorethiker um die Ecke.
warum meldet sich der Typ gerade jetzt, nach ca. einem Jahr
Das Thema ist tonniert und warum? Mit Recht

Hallo,
alle Team V.R-Programme in diesem Thread
https://www.trojaner-board.de/200435-alle-3-minuten-rundll-fehlermeldung-problem-beim-starten-falscher-parameter.html
sind Warez.

2016-07-16 12:47 - 2020-04-03 23:01 - 000000988 _____ C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 crs.rvslabs.io
127.0.0.1 ids.rvslabs.io
127.0.0.1 crs.rvslabs.io
127.0.0.1 ids.rvslabs.io
127.0.0.1 crs.rvslabs.io
127.0.0.1 ids.rvslabs.io

kommt auch daher.
https://forum.malekal.com/viewtopic.php?t=62331

EDIT: Ergänzung

Ich habe mir mal die MBAM-Meldung



in dem Thread genauer angeschaut und jetzt wird die Geschichte richtig interessant.
https://www.welivesecurity.com/2019/06/20/loudminer-mining-cracked-vst-software/

Dass eine solche Kiste hier munter bereinigt wird, ist meiner Meinung nach...

...nicht zielführend.