Ja, leider nicht, nur z.Z. die einzige die ich fand. Es ist noch nicht einmal konkret auf die Fragestellung eingegangen worden

Eine Whois-Abfrage hat mir gesagt, dass das ein Amazonserver ist. https://whois.domaintools.com/siturban-facred.icu

Etwas komisch.

whois centralops.net liefert eine völlig andere IP und keinen Betreiber

Zitat:

Address lookup
canonical name siturban-facred.icu.
aliases
addresses 34.231.10.22

siturban-facred.icu

Zitat:

404 Not Found
nginx

https://www.ipaddress.com/ipv4/34.231.10.22
mit der IP laufen auch andere Server

Hinweis zu diesem Kollegen hier: https://www.trojaner-board.de/199574...ngefangen.html

Er hat CDBurnerXP installiert.

https://forum.cdburnerxp.se/topic/10...tains-malware/

Das Zeug kommt serienmäßig mit InstallCore. Wenn man den nimmt, muss man auf der Homepage unter Downloads unbedingt auf "More download options" gehen. Dort gibt es dann eine Variante ohne Installcore.

Hat der Kollege hier bestimmt nicht gemacht, so meine Vermutung.

Zitat:

Zitat von stefanbecker

Hat der Kollege hier bestimmt nicht gemacht, so meine Vermutung.

Aber dann löscht man den Installer nach Gebrauch und Ruhe ist. Oder etwa nicht?

Werde ich mal in einer VM testen, interessiert mich. Wobei glaube ich da eine Neuinstallation bei den geschilderten Problemen eh am besten wäre. Aber mach mal.

Also meine Idee war ein Fehlalarm. Weder AdwCleaner noch MBAM finden irgendwas nach Neuinstallation von CDBurnerXP.

Zitat:

Zitat von stefanbecker

Werde ich mal in einer VM testen, interessiert mich. Wobei glaube ich da eine Neuinstallation bei den geschilderten Problemen eh am besten wäre. Aber mach mal.

Also meine Idee war ein Fehlalarm. Weder AdwCleaner noch MBAM finden irgendwas nach Neuinstallation von CDBurnerXP.

Müssen wir mal sehen. Ich habe nicht ohne Grund jedem TO zu choco geraten.

Aus aktuellem Anlass verweise ich auf:
https://www.trojaner-board.de/196393-hinweise-ad-malware-threads-bitte-offen-lassen-10.html#post1737183

Nicht überraschend, weswegen der diesbezügliche Thread
https://www.trojaner-board.de/199279-virus-programme-installiert.html#post1737292
geschlossen wurde.

In den unvollständigen FRST-Logs hier
https://www.trojaner-board.de/199655-windows-10-chrome-oeffnet-selbstaendig-tabs-werbung-av-findet-nichts.html#post1739168
finden sich auch diese Einträge:
127.0.0.1 www.r2rdownload.net
127.0.0.1 www.r2rdownload.com
127.0.0.1 www.elephantafiles.com

Team V.R(siehe installierte Programme) ist darüberhinaus kein Hersteller von Videosoftware.

"Ich bin echt ratlos wo der Mist herkommt."
Tja, kann man nix machen.

Okay, mal sehen was der TO dazu sagt

Zu https://www.trojaner-board.de/200414...ml#post1743834
Dort schreibt der Themenersteller und postet dazu Screenshots

Zitat:

4364 Dateien, die vom Zeitpunkt 2019 sind, aber immernoch auf dem System sind, und das alleine im System32 Ordner...

Man sollte ihm vielleicht mal sagen, dass das völlig normal ist mit dem Datum. Es erscheint dort nie das Datum der Installation, sondern das Datum von der entsprechenden Iso, wann sie von Microsoft erstellt wurde.

Außerdem schreibt er und postet ein Bild

Zitat:

Es ist auf der SSD Speicherplatz hinterlegt, der nicht! zugreifbar ist und nicht mit gewhiped wurde. Habe noch keinen Weg gefunden zu diesem Speicher auf der SSD zu gelangen.

Auch die beiden Partitonen rechts und links von C sind normal. Das sind Partitionen, die bei einem Clean Install von Windows erstellt werden (EFI-Systempartition und Wiederherstellungspartiton)

Wenn solche grundlegenden Dinge den User schon verunsichern und er dahinter Manipulationen vermutet wird, bin ich geneigt, auch andere aufgeführten Dinge in das Reich der Hysterie zu verorten.

Das das dort alles normal ist, wissen wir alle
Und dass da immer mal irgendwelche Leute posten, die hier irgendwelche unlogische und technisch nicht beweisbare Phänome darstellen, halte ich der Langeweile in der Coronakrise geschuldet.
Auch kommt jetzt mancher Verschwörungstheorethiker um die Ecke.
warum meldet sich der Typ gerade jetzt, nach ca. einem Jahr
Das Thema ist tonniert und warum? Mit Recht

Hallo,
alle Team V.R-Programme in diesem Thread
https://www.trojaner-board.de/200435-alle-3-minuten-rundll-fehlermeldung-problem-beim-starten-falscher-parameter.html
sind Warez.

2016-07-16 12:47 - 2020-04-03 23:01 - 000000988 _____ C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 crs.rvslabs.io
127.0.0.1 ids.rvslabs.io
127.0.0.1 crs.rvslabs.io
127.0.0.1 ids.rvslabs.io
127.0.0.1 crs.rvslabs.io
127.0.0.1 ids.rvslabs.io

kommt auch daher.
https://forum.malekal.com/viewtopic.php?t=62331

EDIT: Ergänzung

Ich habe mir mal die MBAM-Meldung



in dem Thread genauer angeschaut und jetzt wird die Geschichte richtig interessant.
https://www.welivesecurity.com/2019/06/20/loudminer-mining-cracked-vst-software/

Dass eine solche Kiste hier munter bereinigt wird, ist meiner Meinung nach...

...nicht zielführend.

Zitat:

Zitat von _698

Dass eine solche Kiste hier munter bereinigt wird, ist meiner Meinung nach...

...nicht zielführend.

Wir bereinigen garantiert nicht absichtlich irgendwelche Kisten mit gecrackter Software!
Im Gegenteil, wir haben eine strenge Richtlinie und viele mit offensichtlich gecrackter Software sind hier mit ihren sinnlosen Diskussionen schon stark angeeckt weil wir konsequent die Hilfe verweigern, wenn illegales Zeugs gesehen wird!


Soll ich dir mal sagen warum die Kiste bereinigt wurde? Es wurde schlicht und ergreifend übersehen. Übrigens: in dubio pro reo

Zitat:

127.0.0.1 crs.rvslabs.io

Dazu und zu dem auf localhost geerdeten Schrott wie elephantafiles hätte ich auch gerne mal ne Antwort, was das genau mit Cracks zu tun hat.

Zitat:

Zitat von cosinus

Wir bereinigen garantiert nicht absichtlich irgendwelche Kisten mit gecrackter Software!

Ja, meine Wortwahl war unglücklich, aber die Team V.R-Thematik ist eben nicht neu.

Solche Warez lassen sich auch in diesem Thread
https://www.trojaner-board.de/200448-win-10-avira-findet-tr-patched-gen.html
finden.

Was auch hier auffällt, ist der Einsatz der Virtualisierungssoftware(vgl. den welivesecurity-Artikel).

Als Ansatz kann man das
2020-10-28 01:33 - 2020-10-26 12:33 - 000000000 ____D C:\Users\Mathias\AppData\Roaming\Polyverse
2020-10-28 01:33 - 2019-09-04 16:26 - 000000000 __SHD C:\Program Files\qemu
nehmen.

Genau solche trojanisierten Warez findet man z.B. hier:
vstcrack[.]com, vstcrackofficial[.]com bzw. vscrackofficial[.]com, vst-crack[.]com

Zitat:

Zitat von cosinus

Dazu und zu dem auf localhost geerdeten Schrott wie elephantafiles hätte ich auch gerne mal ne Antwort, was das genau mit Cracks zu tun hat.

Zu R2R/elephantafiles habe ich genug Hinweise gegeben.

Zu rvslabs.io habe ich folgenden Link https://forum.malekal.com/viewtopic.php?t=62331 bereits gepostet.
Jetzt einfach mit der Addition.txt hier
https://www.trojaner-board.de/200435-alle-3-minuten-rundll-fehlermeldung-problem-beim-starten-falscher-parameter.html#post1743915
abgleichen, et voilà!
Roland Legendary & AIRA Series (HKLM\...\Roland Legendary & AIRA Series_is1) (Version: 2019.3 - Roland VS & Team V.R)

Zitat:

Zitat von _698

Hallo,
alle Team V.R-Programme in diesem Thread
https://www.trojaner-board.de/200435-alle-3-minuten-rundll-fehlermeldung-problem-beim-starten-falscher-parameter.html
sind Warez.

Danke für den Hinweis. Werde es mir merken.