Hinweise zu Ad/Malware Threads (bitte offen lassen)

Citro · 07.04.2021, 19:40

Kann ich bestätigen, aber wird wahrscheinlich leider nur vorübergehend sein. Fehler 521 ist eine für Cloudflare spezifische Fehlermeldung.
Man kann übrigens auch damit prüfen
https://downforeveryoneorjustme.com/audacity.de
https://www.isitdownrightnow.com/audacity.de.html

stefanbecker · 07.04.2021, 19:42

War das https://www.audacity.de/?

Da bekomme ich "Error 521 Web server is down".

webwatcher · 07.04.2021, 19:58

Ob die Seite wirklich weg ist, ist (noch?) nicht sicher.

Zitat:

Zitat von Citro

https://www.isitdownrightnow.com/audacity.de.html

Zitat:

Down For: more than a week

M-K-D-B · 08.04.2021, 10:37

Hoffentlich für immer...

Auf Hilfe von Google kann man sich bei sowas jedenfalls nicht verlassen:
Ich hatte vor einigen Wochen ja mal einen E-Mail-Anfrage wegen dieser Scam-Seite an den Google-Support Deutschland geschrieben.
Eine Antwort kam dann von "Google Ireland Limited", dass sie in Europa da nichts machen können und mich nur auf diese Seite verwiesen.

Darauf habe ich geschrieben, dass ich diese Seite dort schon mehrmals gemeldet habe, aber es scheinbar nicht registriert wurde und nachgefragt, ob es Google eigentlich vollkommen egal ist, wenn offensichtlich Malware verbreitet wird... und hatte gebeten, es an jemanden in Nordamerika weiterzuleiten, der dafür zuständig ist.

Als Antwort bekam ich sinngemäß nur, dass es kein Team zur Bearbeitung meiner Anfrage in Europa gibt.

cosinus · 08.04.2021, 10:45

Zitat:

Zitat von M-K-D-B

Als Antwort bekam ich sinngemäß nur, dass es kein Team zur Bearbeitung meiner Anfrage in Europa gibt.

Wie beknackt ist das denn. Als Internetunternehmen ist man also im weltweiten Netz ohne Grenzen tätig und verdient auch weltweit mit Werbung seine Kohle, aber Supportanfragen blockt man ab wenn diese aus einer bestimmten Region kommen

Hättest dich ja als deutscher User, der in den USA lebt, ausgeben können. Hätte Google dann seinen Hintern in Bewegung gesetzt?

Citro · 08.04.2021, 16:23

und wie bereits vermutet, wieder online

webwatcher · 08.04.2021, 16:41

Wenigstens liefert Google als Treffer für audacity ( z.Z. ) die richtige Seite zuerst, was viele
DAUs nicht davon abhalten wird, voll in die Sch.. zu packen.

Citro · 08.04.2021, 17:38

kommt halt immer drauf an was man sucht. Sucht man nach
audacity download
oder
audacity deutsch
kommt als erstes chip und als zweites diese Sch*** Seite.

webwatcher · 09.04.2021, 07:16

Ich versuche immer den Ursprung von Infektionen/PUA/PUP zu finden. Die Betroffenen
wissen es meist nicht oder schweigen sich aus, wo sich den Mist eingefangen haben.
PUA:Win32/presenoker taucht schon Anfang 2018 auf.
Eine mögliche Quelle ist:
https://www.windows-10-forum.com/thr...enoker.139552/

Zitat:

Presenoker Virus?: Ich habe mir vorhin Nicehash zum minen vom Bitcoins heruntergeladen, weil ich es mal ausprobieren wollte. Als ich es gestartet habe, hat der Windows Defender Eine schädliche Dartei erkannt: Presenoker.

Ist eine typische Software die goldene Berge verspricht und Gier auslöst, die das Gehirn vernebelt
h**ps://www.youtube.com/watch?v=U84YrOKHd04

M-K-D-B · 14.04.2021, 14:12

Habe eine interessante, (für mich) neue Malware entdeckt.

Link zum Thema

Infektion per E-Mail:

Zitat:

Nun war heute im Anhang einer Email ein word Dokument, das als .zip Datei mit Passwort (stand i.d. Absendermail) versehen war.

FRST Einträge:

Zitat:

HKU\S-1-5-21-3625877240-3343899472-1711248771-1001\...\Run: [bicmmc] => cmd /c start C:\Users\Jules\bicmmc.lnk -ep unrestricted -file C:\Users\Jules\D3d1kmgr.ps1
2021-04-13 14:37 - 2021-04-13 14:37 - 000000838 _____ C:\Users\Jules\bicmmc.lnk
2021-04-13 14:34 - 2021-04-13 14:34 - 000003005 _____ C:\ProgramData\deleteMainMain.hta

VT: hta-Datei
VT: ps1-Datei

Der Code der .ps1 Datei zeigt in die Registry:

Code:

ATTFilter

iex ([System.Text.Encoding]::ASCII.GetString(( gp "HKCU:\Software\AppDataLow\Software\Microsoft\FD33C532-3865-3767-2A81-EC5BFE45E0BF").Authdeui))

Lasse den Schlüssel mit dem letzten Schritt noch auslesen und dann löschen.

M-K-D-B · 15.04.2021, 14:38

Zitat:

Zitat von M-K-D-B

Lasse den Schlüssel mit dem letzten Schritt noch auslesen und dann löschen.

Hat leider nicht geklappt, da die fixlog bereits gelöscht wurde.

webwatcher · 21.04.2021, 10:42

https://www.trojaner-board.de/201646...elmaessig.html

https://whois.domaintools.com/exsalut.com
exsalut.com hat irgendwas mit amazon zu tun

Zitat:

Whois Record for ExSalut.com
Registrant Org Whois Privacy Service
Registrant Country us
Registrar Amazon Registrar, Inc.
IANA ID: 468
IP Address 18.156.21.98 is hosted on a dedicated server
URL: https://registrar.amazon.com,http://...rar.amazon.com
Whois Server: whois.registrar.amazon.com
Dates 338 days old
Created on 2020-05-18
Expires on 2022-05-18
Updated on 2021-04-13

https://stuffgate.com/exsalut.com

Zitat:

Exsalut.com is ranked #13,629 in the world according to the one-month Alexa traffic rankings. The site was founded 11 months ago. Exsalut.com has the potential to earn $31,446 USD in advertisement revenue per year. If the site was up for sale, it would be worth approximately $220,119 USD.
Exsalut.com is rated 5.0 out of 5.0 by StuffGate.

Ist m.E. eine Schnüffelseite

PS: wird hier auch genannt: https://www.trojaner-board.de/200551...x-chronik.html

Zitat:

Manchmal steht Exsalut hinter jedem einzelnen Seitenaufruf und manchmal rufe ich 20 verschiedene Seiten nacheinander auf, ohne dass das kommt.

In zwei anderen Foren (kein crossposting) wurde auch danach gefragt aber
außer der Verbindung zu Amazon nichts erkannt.

Nachtrag: Die meisten User wissen vermutlich nichts davon, weil sie nicht in die Chronik schauen.
und die Seite selber leer ist.

M-K-D-B · 21.04.2021, 13:02

Auch in dem von dir verlinkten Thema findet sich die gleiche PUP/Adware wie hier in diesem Thema.

Zitat:

HKU\S-1-5-21-2752837909-2800631316-633405880-1001\...\Run: [QScan System-Check] => C:\Users\gerar\AppData\Roaming\QScan System-Check\QScan.exe [10566624 2020-10-22] (Ingenium AI Solutions LTD -> System-Check) <==== ACHTUNG
Startup: C:\Users\gerar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\QScan System-Check.lnk [2020-10-22] <==== ACHTUNG
ShortcutTarget: QScan System-Check.lnk -> C:\Users\gerar\AppData\Roaming\QScan System-Check\QScan.exe (Ingenium AI Solutions LTD -> System-Check) <==== ACHTUNG
QScan System-Check (HKU\S-1-5-21-2752837909-2800631316-633405880-1001\...\QScan System-Check) (Version: 1.0.0 - QScan System-Check Services) <==== ACHTUNG

Zufall? Wer weiß...

webwatcher · 21.04.2021, 15:12

https://www.winfuture-forum.de/index.php?showtopic=222160

Zitat:

heute habe ich mir mit dem Chip Installer ein Etikettenprogramm von Avery installiert. Danach fiel mir ein Programm namens QScan auf.

ach was...
Die Laus exitert schon seit XP

M-K-D-B · 21.04.2021, 17:06

Immer wieder dieser Müll Chip-Installer...

21.04.2021, 17:06	#270
M-K-D-B /// TB-Ausbilder	Hinweise zu Ad/Malware Threads (bitte offen lassen) Immer wieder dieser Müll Chip-Installer...

Hinweise zu Ad/Malware Threads (bitte offen lassen)

Diskussionsforum: Hinweise zu Ad/Malware Threads (bitte offen lassen)