Zu https://www.trojaner-board.de/199414...ml#post1737921
Antwort im Malwarebytes-Forum https://forums.malwarebytes.com/topi...l-bocking-icu/

Das Posting hatte ich auch bei der Suche nach siturban-facred.icu gefunden.
Ist 6 Tage her.
Der Thread wurde vom Admin geschlossen und mit der der lapidaren Antwort:
Ob jetzt nur die Domain oder die gesamte Toplevel geblockt ist, ist offen.
*.icu ist eine beliebte Toplevel Domain von Spammern.
https://domain-recht.de/domain-regis...-zu-67139.html
Die IP der Adresse ist 34.231.10.22 aber nicht registriert.

Ne wirklich tolle Antwort ist das aber nicht.

Ja, leider nicht, nur z.Z. die einzige die ich fand. Es ist noch nicht einmal konkret auf die Fragestellung eingegangen worden

Eine Whois-Abfrage hat mir gesagt, dass das ein Amazonserver ist. :confused:https://whois.domaintools.com/siturban-facred.icu

Etwas komisch.:abklatsch:

whois centralops.net liefert eine völlig andere IP und keinen Betreiber
siturban-facred.icu
https://www.ipaddress.com/ipv4/34.231.10.22
mit der IP laufen auch andere Server

Hinweis zu diesem Kollegen hier: https://www.trojaner-board.de/199574...ngefangen.html

Er hat CDBurnerXP installiert.

https://forum.cdburnerxp.se/topic/10...tains-malware/

Das Zeug kommt serienmäßig mit InstallCore. Wenn man den nimmt, muss man auf der Homepage unter Downloads unbedingt auf "More download options" gehen. Dort gibt es dann eine Variante ohne Installcore.

Hat der Kollege hier bestimmt nicht gemacht, so meine Vermutung.

Aber dann löscht man den Installer nach Gebrauch und Ruhe ist. Oder etwa nicht?

Werde ich mal in einer VM testen, interessiert mich. Wobei glaube ich da eine Neuinstallation bei den geschilderten Problemen eh am besten wäre. Aber mach mal.

Also meine Idee war ein Fehlalarm. Weder AdwCleaner noch MBAM finden irgendwas nach Neuinstallation von CDBurnerXP.

Müssen wir mal sehen. Ich habe nicht ohne Grund jedem TO zu choco geraten.

echt ratlos
 

Aus aktuellem Anlass verweise ich auf:
https://www.trojaner-board.de/196393-hinweise-ad-malware-threads-bitte-offen-lassen-10.html#post1737183

Nicht überraschend, weswegen der diesbezügliche Thread
https://www.trojaner-board.de/199279-virus-programme-installiert.html#post1737292
geschlossen wurde.

In den unvollständigen FRST-Logs hier
https://www.trojaner-board.de/199655-windows-10-chrome-oeffnet-selbstaendig-tabs-werbung-av-findet-nichts.html#post1739168
finden sich auch diese Einträge:
127.0.0.1 www.r2rdownload.net
127.0.0.1 www.r2rdownload.com
127.0.0.1 www.elephantafiles.com

Team V.R(siehe installierte Programme) ist darüberhinaus kein Hersteller von Videosoftware.

"Ich bin echt ratlos wo der Mist herkommt."
Tja, kann man nix machen.

Okay, mal sehen was der TO dazu sagt :pfeiff:

Zu https://www.trojaner-board.de/200414...ml#post1743834
Dort schreibt der Themenersteller und postet dazu Screenshots
Man sollte ihm vielleicht mal sagen, dass das völlig normal ist mit dem Datum. Es erscheint dort nie das Datum der Installation, sondern das Datum von der entsprechenden Iso, wann sie von Microsoft erstellt wurde.

Außerdem schreibt er und postet ein Bild
Auch die beiden Partitonen rechts und links von C sind normal. Das sind Partitionen, die bei einem Clean Install von Windows erstellt werden (EFI-Systempartition und Wiederherstellungspartiton)

Wenn solche grundlegenden Dinge den User schon verunsichern und er dahinter Manipulationen vermutet wird, bin ich geneigt, auch andere aufgeführten Dinge in das Reich der Hysterie zu verorten.

Das das dort alles normal ist, wissen wir alle:rolleyes::applaus:
Und dass da immer mal irgendwelche Leute posten, die hier irgendwelche unlogische und technisch nicht beweisbare Phänome darstellen, halte ich der Langeweile in der Coronakrise geschuldet.
Auch kommt jetzt mancher Verschwörungstheorethiker um die Ecke.
warum meldet sich der Typ gerade jetzt, nach ca. einem Jahr:rolleyes:
Das Thema ist tonniert und warum? Mit Recht:applaus:

Hallo,
alle Team V.R-Programme in diesem Thread
https://www.trojaner-board.de/200435-alle-3-minuten-rundll-fehlermeldung-problem-beim-starten-falscher-parameter.html
sind Warez.

2016-07-16 12:47 - 2020-04-03 23:01 - 000000988 _____ C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 crs.rvslabs.io
127.0.0.1 ids.rvslabs.io
127.0.0.1 crs.rvslabs.io
127.0.0.1 ids.rvslabs.io
127.0.0.1 crs.rvslabs.io
127.0.0.1 ids.rvslabs.io

kommt auch daher.
https://forum.malekal.com/viewtopic.php?t=62331

EDIT: Ergänzung

Ich habe mir mal die MBAM-Meldung

https://www.trojaner-board.de/attach...es-meldung.png

in dem Thread genauer angeschaut und jetzt wird die Geschichte richtig interessant.
https://www.welivesecurity.com/2019/06/20/loudminer-mining-cracked-vst-software/

Dass eine solche Kiste hier munter bereinigt wird, ist meiner Meinung nach...

...nicht zielführend.