TR/AD.FireHooker.BU Epidemie?
In 2 Tagen 7 mal aufgeschlagen, die letzte Meldung davor stammt von Mai 2019
2015 gab es auch mehrere von Meldungen

Und alle haben Avira. Schon seltsam. Scheint eher ein Avira-Problem zu sein.

Zitat:

Zitat von stefanbecker

Und alle haben Avira. Schon seltsam. Scheint eher ein Avira-Problem zu sein.

Seit 2015 auch gehäuft und später immer auschließlich Meldung von Avira
https://www.trojaner-board.de/174101...-gefunden.html

Einen Grund mehr das nicht mehr zu nutzen.

Zitat:

Zitat von webwatcher

TR/AD.FireHooker.BU Epidemie?
In 2 Tagen 7 mal aufgeschlagen, die letzte Meldung davor stammt von Mai 2019
2015 gab es auch mehrere von Meldungen

Ist schon auffällig, dass alle mit diesem Fake-Nodejs Avira verwenden
Komischerweise erkennt Avira immer nur einen Müll in tmp, aber bisher nicht den Task-Eintrag wie zB

Code: Alles auswählenAufklappen

ATTFilter

Task: {FB9FCD3E-42B0-463A-9EED-017D9AECAEFF} - System32\Tasks\IKE- Windows Dienst => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
         

In diesem Thread gibt sich der nodejs Müll als etwas von NVIDIA aus

Code: Alles auswählenAufklappen

ATTFilter

Task: {08271906-0943-4415-BF35-68A5C1EFA5B1} - System32\Tasks\NVIDIA Shared Holographic => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
         

Mal sehen was die Auswertung sagt, welche AVs diesen Müll erkennen und welche nicht

Das Auslesen eines dieser Adware-Tasks in diesem Thema zeigt an, dass sich Argumente im "Package Cache" Ordner aufhalten:

Zitat:

<Command>"C:\Program Files (x86)\nodejs\node.exe"</Command>
<Arguments>"C:\ProgramData\Package Cache\{15B7DD91-4D1D-4D2E-B9E0-E319C6350597}\{064C03E4-DFA8-4F01-8ED8-29BE7F03A8AD}"</Arguments>

In einigen dieser Themen findet sich auch die Adware DownloadProtect, welche sich vor ein paar Jahren im deutschsprachtigen Raum ausbreitete.

Ein Beispiel von DownloadProtect unter FF in einem dieser aktuellen Themen:

Zitat:

FF HKLM\...\Firefox\Extensions: [{D0D49F23-6E93-41A8-B019-7F1162672FE6}] - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi
C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}
FF Extension: ( ) - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi [2020-10-01]
FF HKLM-x32\...\Firefox\Extensions: [{D0D49F23-6E93-41A8-B019-7F1162672FE6}] - C:\WINDOWS\Installer\{97FA320D-5BD8-4DE8-A603-BCCCBE3260AD}\{D0D49F23-6E93-41A8-B019-7F1162672FE6}.xpi

In diesem Thema verascht die Adware scheinbar das installierte Avira selbst:

Zitat:

Task: {A56AC1F8-ABED-46D0-8679-76754ABCFB79} - System32\Tasks\USB Distributed Avira => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG

Schon irgendwie peinlich für Avira... deutsche Adware wird von einem deutschen Sicherheitsunternehmen, das sich für so gut hält, nicht erkannt.

https://en.wikipedia.org/wiki/Trojan.Win32.FireHooker

Zitat:

Trojan.Win32.FireHooker or Trojan:Win32/FireHooker is the definition (from Kaspersky Labs) of a Trojan downloader, Trojan dropper, or Trojan spy created for the Windows platform. [1] Its first known detection goes back to September, 2015, according to the AVV Trend Micro.

Defender und andere AV haben dazu keine Meinung.
Das aktuelle gleichzeitige Auftreten hat vermutlich mit irgendeinem Ups was tun....

https://www.trojaner-board.de/200031...ml#post1740919

Zitat:

Zitat von rkunde

Ich habe heute mit Avira Software-Updater alles aktualisiert

false positive ....

Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.

Ich habe Möglichkeit 1 im Verdacht...

Und nur weil VT bei der .exe nichts anzeigt, heißt das nicht zwingend, dass die Datei legitim ist bzw. dass sie nicht für etwas missbraucht wird.

Der zufällige Taskname (meist ein zusammengesetzter Name von Windows-Diensten oder Teilen davon) ist absolut nicht typisch für legitime Software, sondern spricht auch für Adware/PUP... es kann sein, dass die .exe gutartig ist, aber der Task mit den Argumenten ist es definitiv nicht... daher wird das weiter gelöscht.

Edit:
Ich lass mir ab sofort auch einen Export vom Order anzeigen... evtl. gibt es noch andere Komponenten in dem Ordner, die schädlich sind... vielleicht kann man so die Schadkomponente eingrenzen.

Zitat:

Zitat von M-K-D-B

Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.

Hab heute auch eine Auswertung machen lassen siehe https://www.trojaner-board.de/200040...ml#post1741089

edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben

Auswertung bei VT ist echt mies --> https://www.virustotal.com/gui/file/...08ae51/details

Aus diesem Thema:

Zitat:

<Command>C:\Program Files (x86)\nodejs\node.exe</Command>
<Arguments>C:\WINDOWS\Installer\{8E2EC350-56EF-4F2D-9BBC-958DE58DA64F}\{CEFCDC5A-D8C1-45EB-B191-896048718E4C}</Arguments>

Dieser Pfad deutet für mich sehr start auf DownloadProtect hin...


Schau mal Arne, diese FF-Einträge von DownloadProtect sehen ähnlich aus... vergiss sie bitte nicht:

Zitat:

FF HKLM\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi [2020-10-04]
FF HKLM-x32\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi

Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link.

Zitat:

Zitat von cosinus

edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben

So ist es... die "" braucht man nur für CMD-Befehle...