Hinweise zu Ad/Malware Threads (bitte offen lassen)

cosinus · 29.02.2024, 01:44

Zitat:

Zitat von _698

Was auch immer das ist, es ist massiv aufgeblasen.

339.51 MB

In der Hoffnung, dass die Virenscanner da nicht drin scannen. Weil zu groß oder um Zeit zu gewinnen. Hab auch schon samples mit der doppelten Größe gesehen.

_698 · 04.03.2024, 23:37

Wenigstens schlägt ein Scanner wegen swollen file an.

Ich habe solche Junk Code-Malware in der letzten Zeit recht häufig gesehen, z.B. bei STOP/Djvu.

webwatcher · 30.03.2024, 22:43

kann da nicht posten:

https://www.trojaner-board.de/208995...ml#post1780678

im Bild zu sehen avmahkdhdgbv73.coreauthenticity.co.in

https://securedstatus.com/remove-cor...y-co-in-virus/

Zitat:

When your system is afflicted by Coreauthenticity.co.in pop-ups, you’ll often encounter ads presented as push notifications. These notifications can be unsettling, with fake alerts claiming your system is infected or your account has been compromised.

cosinus · 31.03.2024, 01:26

Danke für die Info, aber gibt M-K-D-B doch erstmal die Chance, was auszuwerten

_698 · 31.03.2024, 02:39

Zitat:

Zitat von cosinus

Danke für die Info

?

Außerdem ist SecuredStatus auch so ein affiliate/ad etc.-Dreck.

cosinus · 31.03.2024, 02:47

Zitat:

Zitat von _698

?

Außerdem ist SecuredStatus auch so ein affiliate/ad etc.-Dreck.

Die TOs wollen trotzdem gerne eine Auswertung. Und M-K-D-B macht die auch gerne. Win-Win-Situation sozusagen

webwatcher · 31.03.2024, 09:29

Zitat:

Zitat von cosinus

Die TOs wollen trotzdem gerne eine Auswertung. Und M-K-D-B macht die auch gerne. Win-Win-Situation sozusagen

Das war rein als Info gedacht. Will auf keinen Fall M-K-D-B arbeitslos machen

_698 · 02.04.2024, 19:42

Guten Abend,
Seiten wie SecuredStatus sind irgend etwas zwischen redundant und ärgerlich.
Dass hier auch noch jdoqocy.com, dotomi.com und emjcd.com zum Einsatz kommen, gefällt uBlock Origin so gar nicht.

Relevant sind FRST-Einträge.

Zitat:

Edge Notifications: Default -> hxxps://avmahkdhdgbv73.coreauthenticity.co.in; hxxps://co3u99u071bc73994as0.coreauthenticity.co.in

Das war jetzt keine Info an cosinus oder M-K-D-B.
Ich verwette Haus und Hof darauf, dass die das auch so finden.

_698 · 17.04.2024, 21:38

Guten Abend.

https://www.trojaner-board.de/209186-virus-trojan-malpack-generic-entfernen.html

Zitat:

seit einer Literaturrecherche im Februar (wo ich eine vermeintliche PDF heruntergeladen und geöffnet habe) habe ich einen Virus, welchen ich nicht entfernen kann.

Ähm, nein.
https://www.virustotal.com/gui/file/229e099b68390bd30f2a5ea14d58292303d09214a4ac27cc0040090b569fe48a/relations
Man beachte bundled files: f98c30f81661280a4f7444dbaf4eecf0d7dddaaa21283419f93ea94f53caca41.
KMS activators sind halt Wundertüten.
Mal bekommt man die gewünschte Software, mal trojanisiert(wie hier) oder auch nur Trojaner.

_698 · 02.05.2024, 23:28

https://www.trojaner-board.de/209296-trojan-script-wacatac-b-ml-temp-ordner.html

Gute Nacht,
es ist immer wieder ein Mysterium:
Man ballert sich die Kiste mit Warez voll und dann

Zitat:

passiert [...] ganz was komisches.

Unerklärlich, aus dem Nichts.

Persönliche Daten in Logs sind auch nicht so clever.

Yatagan · 04.05.2024, 10:52

Zitat:

Zitat von _698

https://www.trojaner-board.de/209296-trojan-script-wacatac-b-ml-temp-ordner.html

Gute Nacht,
es ist immer wieder ein Mysterium:
Man ballert sich die Kiste mit Warez voll und dann
Unerklärlich, aus dem Nichts.

Persönliche Daten in Logs sind auch nicht so clever.

Ich frag mich ja immer, ob solche Warez-Kisten wirklich (aus Geldmangel?) produktiv genutzt werden - in diesem Fall für offenbar für Musikproduktion - oder ob man sich den Kram nur draufknallt um die Kumpels zu beeindrucken?
Ob er die Cracks jetzt drauf lässt und sich drölf AV-Scanner installiert?

_698 · 04.05.2024, 23:43

Zitat:

Zitat von Yatagan

Ob er die Cracks jetzt drauf lässt und sich drölf AV-Scanner installiert?

Das wird so sein.

Man müsste sich die Kiste noch genauer anschauen, aber Luna Grabber und Akira Stealer sind hier Kandidaten.
So etwas kann böse enden.

_698 · 11.09.2024, 21:19

Zitat:

Zitat von M-K-D-B

Und ich dachte, dieses Malware wäre schon "ausgestorben"... bumbs... da ist sie wieder

https://www.trojaner-board.de/212071-gootkit-laut-telekom-lt-defender-js-malscript-a-mtb.html#post1785826

Gootkit/GootLoader taucht immer wieder auf.
Der Ausgangspunkt einer Infektion ist immer noch der gleiche: SEO poisoning in Verbindung mit kompromittierten Seiten(meist wp) wie z.B. barbaraneuhofer.com & kampfsport-rommerskirchen.de.

_698 · 01.03.2025, 00:43

https://www.trojaner-board.de/214870-trojan-misplacedlegit-autoit-windows-10-a.html

Guten Abend,
mit
Trojan.MisplacedLegit.AutoIt
liegt MBAM genau richtig.
Isoliert betrachtet, ist das Programm auch nicht schädlich, aber von alleine kommt es nicht dahin und im Zusammenhang mit den folgenden Dateien
2025-02-28 13:03 - 2025-02-28 13:03 - 000000000 _____ C:\WINDOWS\YesterdayCape
2025-02-28 13:03 - 2025-02-28 13:03 - 000000000 _____ C:\WINDOWS\ReviewLighting
2025-02-28 13:03 - 2025-02-28 13:03 - 000000000 _____ C:\WINDOWS\PoliceAz
2025-02-28 13:03 - 2025-02-28 13:03 - 000000000 _____ C:\WINDOWS\FlashingFlights
2025-02-28 13:03 - 2025-02-28 13:03 - 000000000 _____ C:\WINDOWS\EliteTerm
drängt sich Lumma Stealer auf.
Und auch der kommt nicht vom Wind auf die Kiste.
Es liegt offensichtlich kein schlüssiges Sicherheitskonzept vor.

31.03.2024, 01:26	#409
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Hinweise zu Ad/Malware Threads (bitte offen lassen) Danke für die Info, aber gibt M-K-D-B doch erstmal die Chance, was auszuwerten __________________ Logfiles bitte immer in CODE-Tags posten

Hinweise zu Ad/Malware Threads (bitte offen lassen)

Diskussionsforum: Hinweise zu Ad/Malware Threads (bitte offen lassen)