https://en.wikipedia.org/wiki/Trojan.Win32.FireHooker

Zitat:

Trojan.Win32.FireHooker or Trojan:Win32/FireHooker is the definition (from Kaspersky Labs) of a Trojan downloader, Trojan dropper, or Trojan spy created for the Windows platform. [1] Its first known detection goes back to September, 2015, according to the AVV Trend Micro.

Defender und andere AV haben dazu keine Meinung.
Das aktuelle gleichzeitige Auftreten hat vermutlich mit irgendeinem Ups was tun....

https://www.trojaner-board.de/200031...ml#post1740919

Zitat:

Zitat von rkunde

Ich habe heute mit Avira Software-Updater alles aktualisiert

false positive ....

Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.

Ich habe Möglichkeit 1 im Verdacht...

Und nur weil VT bei der .exe nichts anzeigt, heißt das nicht zwingend, dass die Datei legitim ist bzw. dass sie nicht für etwas missbraucht wird.

Der zufällige Taskname (meist ein zusammengesetzter Name von Windows-Diensten oder Teilen davon) ist absolut nicht typisch für legitime Software, sondern spricht auch für Adware/PUP... es kann sein, dass die .exe gutartig ist, aber der Task mit den Argumenten ist es definitiv nicht... daher wird das weiter gelöscht.

Edit:
Ich lass mir ab sofort auch einen Export vom Order anzeigen... evtl. gibt es noch andere Komponenten in dem Ordner, die schädlich sind... vielleicht kann man so die Schadkomponente eingrenzen.

Läuft wohl unter verschiedensten Aliassen:

https://www.virustotal.com/gui/file/...ad91/detection

Zitat:

Zitat von M-K-D-B

Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.

Hab heute auch eine Auswertung machen lassen siehe https://www.trojaner-board.de/200040...ml#post1741089

edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben

Auswertung bei VT ist echt mies --> https://www.virustotal.com/gui/file/...08ae51/details

Aus diesem Thema:

Zitat:

<Command>C:\Program Files (x86)\nodejs\node.exe</Command>
<Arguments>C:\WINDOWS\Installer\{8E2EC350-56EF-4F2D-9BBC-958DE58DA64F}\{CEFCDC5A-D8C1-45EB-B191-896048718E4C}</Arguments>

Dieser Pfad deutet für mich sehr start auf DownloadProtect hin...


Schau mal Arne, diese FF-Einträge von DownloadProtect sehen ähnlich aus... vergiss sie bitte nicht:

Zitat:

FF HKLM\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi [2020-10-04]
FF HKLM-x32\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi

Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link.

Ja...ich versuch dran zu denken.....

Gibt es einen Decoder für sowas?

Zitat:

/*e0JCNjUwMTNFLTRCNEMtNDQ0My04RkExLTU0NkE1OTRCMUMwQX18MS4wLjM=*/var _0x666d=['V0NX','dW5saW5rU3luYw\x3d (...)

Und in mind. jedem zweiten Thema ist die Adware DownloadProtect auf dem System... du kannst sagen, was du willst... dieser Mist gehört doch zusammen.

Echt ausgeklügelt diese Adware... aber nicht gut genug für uns.

Das sieht nach base64 aus...probier mal dort --> https://www.base64decode.org/

Schon probiert... da kommt nur Müll bei mir raus...

Naja, ein paar Brocken kann ich dann entziffern wie zB

{557DCE9A-B3ED-4D13-BA7B-89F4157E75C9}|1.0.3
SArmdir outputquerystring1
npm.cmd
readFileSyncbkthGflastIndexOf1
base64utf-81֤6ִ
slice1VdDUD5$TT

Ich taufe diese Adware jetzt mal für mich "DownladProtect_verwandt" (solange ich nix besseres finde)...

Zitat:

Zitat von cosinus

edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben

So ist es... die "" braucht man nur für CMD-Befehle...