Kann ich das auch direkt mit FRST über CMD ansprechen? Wenn ja, wie?

Edit:
In über 99% der Fälle ist die Software nodejs nicht von Nutzern installiert, insbesondere wenn es zeitgleich mit audacity oder WebCompanion auf den Rechner gekommen ist.
Dieser Dreck von Lavasoft nervt mich auch schon seit Monaten... AdwCleaner entfernt das Meiste von WebCompanion...

Zitat:

Zitat von M-K-D-B

Kann ich das auch direkt mit FRST über CMD ansprechen? Wenn ja, wie?

Vllt mit "cmd: " ?!

Code: Alles auswählenAufklappen

ATTFilter

cmd: "C:\Windows\SysWOW64\msiexec.exe /x {0E05CA72-D8DD-432F-A2CC-880034A48577}"
         

Zitat:

Edit:
In über 99% der Fälle ist die Software nodejs nicht von Nutzern installiert, insbesondere wenn es zeitgleich mit audacity oder WebCompanion auf den Rechner gekommen ist.
Dieser Dreck von Lavasoft nervt mich auch schon seit Monaten... AdwCleaner entfernt das Meiste von WebCompanion...

Vor 15-20 Jahren war Lavasoft Ad-Aware so ne Art malwarebytes....aber dann mutierte es zu scheiße

und weils so schön ist:

Zitat:

GIMP - Download kostenlos (deutsch)
www.gimp24.de
(Siehe auch http://www.gnu.org/licenses/lgpl.html) GIMP24.de ist nicht assoziiert mit der offiziellen Seite (https://www.gimp.org) des Projektes. Datenschutz.

Und wer ist dafür zuständig? Dreimal darf man raten: wie üblich als Bild:

Zitat:

Zitat von Impressum gimp24.de

Arne König
Eisseler Strasse 39
27383 Verden

Auf gmx als Updateangebot aufgeschlagen.

PS: Google bringt bei Suche nach gimp die echte Seite

Zitat:

Zitat von webwatcher

und weils so schön ist:

Und wer ist dafür zuständig? Dreimal darf man raten: wie üblich als Bild:

Der hat so Einiges am laufen...

Zitat:

Zitat von Yatagan

Der hat so Einiges am laufen...

Ist das eigentlich strafbar? Das Ganze produziert ja jede Menge Ärger, Kosten und und womöglich auch Schäden. Oder ist das eine Grauzone, wo rechtlich nichts zu machen ist?

Der Mensch sitzt ja in Deutschland und nicht auf Tuvalu. Oder seine Kontaktdaten werden von unbekannten Dritten missbräuchlich verwendet und er weiß nichts vorn seinem Glück

Ich habe jetzt schon mehrfach in Themen gesehen, dass durch die "Nodejs-Malware" die Adware/PUP DownloadProtect nachgeladen wird.


Beispiele:

Zitat:

Edge Extension: ( ) - C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo [2020-10-09]

FF HKLM\...\Firefox\Extensions: [{42826D79-D38A-4C50-8AAC-434BBAF96A87}] - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi [2020-10-09]
FF HKLM-x32\...\Firefox\Extensions: [{42826D79-D38A-4C50-8AAC-434BBAF96A87}] - C:\WINDOWS\Installer\{C4FD913B-5B99-4233-9C08-E3691594FD36}\{42826D79-D38A-4C50-8AAC-434BBAF96A87}.xpi

CHR Extension: ( ) - C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb [2020-10-09]

Zu den genanten Erweiterungen...

Zitat:

Edge Extension: ( ) - C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo [2020-10-09]

CHR Extension: ( ) - C:\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb [2020-10-09]

... finden sich entsprechende Einträge über einen Komplett-Suche:

Zitat:

================== Datei-Suche: "SearchAll: gameccgmdhnpgcfkcppabiengeodgaoo;badphekeihghaiffknalgfamacoedncb" =============

Datei:
========
C:\Windows\Installer\{A33A4EA1-8E7F-47F1-AD1C-20866C022FC2}\cgameccgmdhnpgcfkcppabiengeodgaoorx
[2020-10-09 21:32][2020-10-09 21:32] 000009128 _____ () 84A029181C81420F7726E228D89503B2 [Datei ist nicht signiert]

C:\Windows\Installer\{A33A4EA1-8E7F-47F1-AD1C-20866C022FC2}\xgameccgmdhnpgcfkcppabiengeodgaooml
[2020-10-09 21:32][2020-10-09 21:32] 000000329 _____ () 0AD79A9ADE8AE098C505CC46CD113CF8 [Datei ist nicht signiert]

C:\Windows\Installer\{83593F80-7803-4CEE-B8D3-024DCE10F2AD}\cbadphekeihghaiffknalgfamacoedncbrx
[2020-10-09 21:32][2020-10-09 21:32] 000009128 _____ () D52D5080B8928F1A32D02F8E6F9462B1 [Datei ist nicht signiert]

C:\Windows\Installer\{83593F80-7803-4CEE-B8D3-024DCE10F2AD}\xbadphekeihghaiffknalgfamacoedncbml
[2020-10-09 21:32][2020-10-09 21:32] 000000329 _____ () C8799FC28D8AF77E76F73DB74F23E78B [Datei ist nicht signiert]


Ordner:
========
2020-10-09 21:35 - 2020-10-09 21:35 _____ C:\Users\Lars\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gameccgmdhnpgcfkcppabiengeodgaoo
2020-10-09 21:35 - 2020-10-09 21:35 _____ C:\FRST\Quarantine\C\Users\Lars\AppData\Local\Google\Chrome\User Data\Default\Extensions\badphekeihghaiffknalgfamacoedncb

Registry:
========

===================== Suchergebnis für "gameccgmdhnpgcfkcppabiengeodgaoo" ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist]
"1"="gameccgmdhnpgcfkcppabiengeodgaoo;file:///C:/WINDOWS/Installer/%7BA33A4EA1-8E7F-47F1-AD1C-20866C022FC2%7D/xgameccgmdhnpgcfkcppabiengeodgaooml"

[HKEY_USERS\S-1-5-21-1434175282-2877166796-1715742309-1000\SOFTWARE\Microsoft\Edge\PreferenceMACs\Default\extensions.settings]
"gameccgmdhnpgcfkcppabiengeodgaoo"="2F902E002DE7EA82B3F77EA1BAAE17F3CC7659204DC89DC3A29C4ACCBD524880"


===================== Suchergebnis für "badphekeihghaiffknalgfamacoedncb" ==========


====== Ende von Suche ======

Zitat:

Zitat von LordSoth

Ist das eigentlich strafbar? Das Ganze produziert ja jede Menge Ärger, Kosten und und womöglich auch Schäden. Oder ist das eine Grauzone, wo rechtlich nichts zu machen ist?

Wenn jemand völlig überflüssige Downloads ins WWW stellt mit Irreführung von Usern durch Namensgebung und mit dieser Masche PUP/Adware/ev Malware unterjubelt, ist das für mich Betrug, wenn nicht sogar mehr. Aus Menschenfreundlichkeit geschieht das bestimmt nicht, sondern für handfeste kommerzielle Interessen. Unternehmen, die diese Masche honorieren, sind für mich Mittäter. Aber wo (bisher) kein Kläger, da kein Richter.
Erfahrene User fallen kaum darauf rein und Otto Normaluser ist froh, wenn er (zB. unter Hilfe im Board) aus dem Schlamassel mit einem blauen Auge davonkommt.