|
Hinweise zu Ad/Malware Threads (bitte offen lassen)
(https://www.trojaner-board.de/196393-hinweise-ad-malware-threads-bitte-offen-lassen.html)
Zitat:
Richtig ist, dass wir propagieren, Dateien nur aus seriösen Quellen zu laden, aber Geiz ist manchmal geil. Ob die Seite seriös ist, kann ich trotz aller Bedenken (I + l) nicht bewerten. Fakt ist aber, dass die heruntergeladene EXE sauber zu sein scheint. Damit sollte sie für den TO keine Gefahr darstellen. Ob doch etwas mitgeliefert wurde, sollte man dann in den FRST-Logs sehen. Und ob die Seite morgen etwas mitliefert, sollte den TO auch nicht interessieren. Mal sehen, ob er sich überhaupt noch meldet. Bei seinem letzten Auftreten hat er die Bereinigung auch nicht bis zum Ende geführt. |
Es bleiben Zweifel: https://ad-scams.com/mario-deluxe-com Zitat:
|
Zitat:
|
Zitat:
Nur lese ich hier kaum mit, weil mir manchmal zu viel OT gepostet wird, es nicht immer relevant ist und hin und wieder grenzwertige Bemerkungen gemacht werden (und ich deshalb schon öfter überlegt habe, das Thema zu tonnieren). |
gelöscht, wg. Fehler meinerseits |
Zitat:
Achja, Matzeberlin (https://www.trojaner-board.de/member.php?u=179127) ist wieder da! https://www.trojaner-board.de/200955-malwarebytes-fund-trojan-agent-quarantaene.html Der Keygen ist uninteressant. Relevant ist das: 2021-01-30 15:54 - 2021-01-30 21:53 - 000000000 __SHD C:\Program Files\qemu 2021-01-30 15:54 - 2021-01-30 15:54 - 000000000 ____D C:\Program Files\Intel 2021-01-30 15:54 - 2019-04-17 14:31 - 000185344 _____ (Intel Corporation) C:\Windows\system32\Drivers\IntelHaxm.sys Intel® Hardware Accelerated Execution Manager (HKLM\...\{7516A945-5FC4-4563-8F5E-EECDBF61E84F}) (Version: 7.5.1 - Intel Corporation) Der Matze hat halt ein Händchen für cross-platform malware. |
Zitat:
Zitat:
|
Zitat:
Zitat:
paßt gut in diesen Thread Zitat:
|
In dem Artikel falls der denn gemeint war steht aber schon als Überschrift dick und fett: LoudMiner: Cross‑platform mining in cracked VST software Warum soll das jetzt also so egal sein mit dem Keygen, der doch nun ganz offensichtlich die Ursache ist? |
https://www.trojaner-board.de/200977...ml#post1747625 Zitat:
Zitat:
|
Auf was genau willst du denn da zugreifen? |
Der Link auf "GMER" , der darunter liegt, wird verweigert. (siehe Fehlermeldung) |
Achso, das ist eine Anleitung, die ins Helferzentrum verweist. GMER ist ein völlig veraltetes Tool und wurde wohl deswegen verschoben. |
Zitat:
Zitat:
Zitat:
Zitat:
Ich hatte diverse Samples dieser Malware-Familie auf meiner Testkiste. Konsequenterweise müsste man bei einer Bereinigung in diesem Zusammenhang auch Haxm entfernen. |
Irgendwie versteh ich dich nicht. Warum steht da dick und fett was von Ursache in gecrackter Software aber du meinst das soll ein Fehlalarm sein. Und der behandelte User hier hatte auch nen Crack/Keygen genutzt. Wie passt das jetzt bitte zusammen? Und intel HAXM selbst ist auch keine Malware --> https://software.intel.com/content/w...-emulator.html |
Update von meiner Seite zum Thema: Zitat:
Die Cracker scheinen vermehrt jetzt diesen indirekten Weg zu gehen. Siehe auch die Malware, die über node.js läuft. Der Keygen ist in diesem Fall ohne Schadcode aber halt eben das Setup nicht. Ich hab das vorher völlig falsch verstanden, eben dass keine gecrackte Software die Ursache sei. Ist sie aber, die Leute laden ja naiv auf irgendwelchen Schundseiten oder über torrent den crack samt Software herunter. Und haben dann coinminer oder sonstwas in Mini-VMs. Oder laden schrottige Setups von audacity und haben dann Malware, die über node.js werkelt. Da ich in den verwandten Fällen mit node.js das olle node.js jaauch entferne, hätte man hier auch Intel HAXM entfernen sollen. Sooo wahnsinnig schlimm ist das aber jetzt nicht, weil wie gesagt, das selbst keine Malware ist. |
Danke für das Update. Hast du auch Links zu den Themen? |
Es ging um matzeberlin. Der wurde ja auch mit nem Crack erwischt. |
Zitat:
|
Derzeit gibt es scheinbar nur zwei verschiedene Arten von Malware... entweder "Gootkit" oder "Audacity-Adware". :lach: Wengistens sind die einfach zu :kloppen: :kloppen: :kloppen: :D |
Zitat:
|
Zitat:
Ich hab aber auch echt kein Verständnis mehr dafür, dass diese Seiten nicht schon lange down sind. Wie oft hab ich die als Betrug im Firefox gemeldet :pfui: |
Zitat:
Da müsste man mal direkt beim Second- oder Thrid-Level-Support anrufen und mit einem sprechen, der sich auskennt. Das könnte mehr bringen, als x-mal die Seite zu melden. Hat Google Telefon-Support for sowas? :D Ich habe nur die Support-Mail-Adresse gefunden. Die werde ich jetzt mal anschreiben, wobei ich nicht glaube, dass ich eine zufriedenstellende Antwort erhalten werde. Update: Zumindest ist meine Mail angekommen: Zitat:
|
Warum Third Party Virenscanner S... sind Beim Surfen gefunden: https://www.youtube.com/watch?v=OVrmwIfluKk https://www.youtube.com/watch?v=d_zYy4f2XFc Gibt noch mehr Videos auf youtube, die vor Third Party VS warnen |
Häng das mal hier dran: Flash ist zwar unmittelbar keine Malware sollte aber entfernt werden, was aber insbesondere auf updatet PC oft nicht durchgeführt wird. Microsoft hat das daher wohl selbst in die Hand genommen. Aktuell wurde dieses Update installiert: https://support.microsoft.com/de-de/...f-ff3d5da047d5 Zitat:
|
Hast Du mal gesehen von wann das Update ist, das Du verlinkt hast? Und dann ist das auch 'nur' für v1903 abwärts. |
Das Update wurde heute morgen "zwangsweise" installiert auf einem PC der von W7 auf W10 upgraded wurde und den ich zu Testzwecken am Leben erhalte. Es geht hier nicht darum, wie alt das Upgrade ist, sondern dass es von M$ auch älteren Installationen aufs Auge gedrückt wird und nicht rückgängig gemacht werden kann. Der Link ist von M$ hinterlassen worden. |
So ganz versteh ich den Nutzen dieser Information nicht. Wer lässt denn absichtlich ein uraltes W10-Release so stehen? Und selbst wenn, was ist daran überraschend, dass Microsoft auch da den Flash Player rausnimmt? Dieses "Update" sorgt doch nur dafür, dass die Deinstallation durchgeführt wird. |
Warum Malware niemals aussterben wird... |
https://www.trojaner-board.de/201271...-loeschen.html Zitat:
Einige Ratschläge zur Entfernung gehen in Richtung in der Registry zu fummeln. Taucht übrigends hier auch in der Registry auf https://www.trojaner-board.de/201267...ml#post1749594 Zitat:
h**ps://junkremovallincoln.org/journal/c52f02-ch-title Zitat:
|
Dann schauen wir uns den Spaß mal an. Bin gespannt. |
Nicht zu vergessen ist die verwandte Adware dazu... ;) Zitat:
|
|
Ich verstehe es nicht: Seit Jahren wird vor dem Chip Installer gewarnt und der Laden macht ungerührt und ungehindert weiter. :pfui: 2017 im M$ Forum https://answers.microsoft.com/de-de/...8-a9b966adaf86 Zitat:
1: Ohne fühlt man sich "nackt". ( Vom Defender haben viele noch nie was gehört.) 2: Doppelt genäht hält besser. (alte Volksweisheit ) 3: Gekauft (daher muß es besser sein und der Kaufpreis kann/darf nicht verschwendet werden) 4: War vorinstalliert (daher muß es gut sein ) 5: .... |
5. Microsoft vertraut man nicht. Ist ja wie den Bock zum Gärtner zu machen. (komischerweise hat man kein Problem damit, Windows zu verwenden :rofl:) Wer hat weitere Ausreden? :D |
Zitat:
Pausenlos Viren/Trojaner gekillt? |
Zitat:
|
Zitat:
|
7. felix kuschelt immer mit seinem purzelbär und meint dabei immer: niemals WD verwenden :rofl: |
Windows Defender hat sogar schon angeschlagen, aber leider habe ich die Installation trotzdem zugelassen Wieso sollte man auch auf das "hören", was der WD sagt... :D |
Ist doch dasselbe mit uBlock. Da verwenden manche das und ignorieren trotzdem alle Warnungen :balla: :stirn: |
Zitat:
|
Zitat:
|
Sorry, hab die Ironietags vergessen... ( das Smilie war nicht deutlich genug ) |
Zitat:
|
Nachdem MBAM Gootkit vollständig entfernt und ich die Audacity-Adware an das Research Team gemeldet habe, ist im Malwarebereich ja fast totale Stille eingekehrt... :D |
https://www.trojaner-board.de/201331...ngefangen.html Man sollte den TO noch darauf hinweisen, dass er besser LibreOffice statt OpenOffice verwenden sollte. |
Zitat:
|
Der Trojaner GetX64BTIT.exe taucht im Forum zwar schon einmal in 2019 auf, wird erst ab Ende 2000 mit zunehmender Häufigkeit gemeldet. Neugierig hab ich im WWW nach dazu angebotenen Ratschlägen gegoogelt. Das Resultat ist ernüchternd, um es vorsichtig auszudrücken. Es wird wie fast immer rumgebastelt, dass einem die Haare zu Berge stehen und in den meisten Fällen bleiben die Betroffenen im Regen stehen. Wenn die Entfernung glückt, ist es meist trial and error. Eine der Seiten, auf der am wenigsten rumgekaspert wird, aber auch kein klares Konzept existiert: h**ps://malware-remove.com/de/entfernen-getx64btit-exe-trojaner-vom-pc Aber auch dort findet man Ratschläge wie z.B. die Empfehlung für Spyhunter, der hochgejubelt wird. Fazit: Das Trojanerboard ist die einzige Stelle, an der eine systematische Fehleranalyse und Bereinigung mit Erfolg stattfindet, da Anweisungen /Skripte auf jahrzehntelangem gesammelten Wissen und Erfahrung basieren. :daumenhoc :daumenhoc :daumenhoc |
Zitat:
https://www.trojaner-board.de/201393-icon-updatepush-com-desktop.html#post1750355 Zitat:
Zitat:
|
Habs gerade selber ausprobiert... der Installer wurde mir erst nach dem Deaktivieren von uBlock origin angeboten. :D MBAM und WD erkennen den Installer als PUP/PUA. All-Clean-Baustein aktualisiert. :abklatsch: |
CRaaccon scheint ziemlich neu zu sein. Taucht hier zum zweiten Mal auf. h**ps://www.pcrisk.de/ratgeber-zum-entfernen/9339-racoon-stealer-spyware Zitat:
|
Zitat:
Ansonsten muss ich halt nachhelfen und sammeln... :D Edit: Kam seit Januar diesen Jahres sechs mal vor. Das ärgert mich jetzt grad etwas, weil ich es schon mal vor ein paar Wochen auf dem Schirm hatte und wieder vergessen hab. |
https://www.trojaner-board.de/201511...riptvirus.html 'HTML/Crypted.Gen' in dem Zusmmenhang false alarm von Avira es sei denn es wäre eine gehackte Version? https://de.wikipedia.org/wiki/Pale_Moon https://www.palemoon.org/ https://www.ghacks.net/2019/07/11/pa...pread-malware/ Zitat:
|
Seit heute kann ich die Fake-Seite von Audacity nicht mehr erreichen. :D Kann das jemand mal bitte bestätigen... kann das gar nicht so recht glauben... :wtf: :uglyhammer: |
Kann ich bestätigen, aber wird wahrscheinlich leider nur vorübergehend sein. Fehler 521 ist eine für Cloudflare spezifische Fehlermeldung. Man kann übrigens auch damit prüfen https://downforeveryoneorjustme.com/audacity.de https://www.isitdownrightnow.com/audacity.de.html |
|
Ob die Seite wirklich weg ist, ist (noch?) nicht sicher. Zitat:
Zitat:
|
Hoffentlich für immer... :abklatsch: Auf Hilfe von Google kann man sich bei sowas jedenfalls nicht verlassen: Ich hatte vor einigen Wochen ja mal einen E-Mail-Anfrage wegen dieser Scam-Seite an den Google-Support Deutschland geschrieben. Eine Antwort kam dann von "Google Ireland Limited", dass sie in Europa da nichts machen können und mich nur auf diese Seite verwiesen. Darauf habe ich geschrieben, dass ich diese Seite dort schon mehrmals gemeldet habe, aber es scheinbar nicht registriert wurde und nachgefragt, ob es Google eigentlich vollkommen egal ist, wenn offensichtlich Malware verbreitet wird... und hatte gebeten, es an jemanden in Nordamerika weiterzuleiten, der dafür zuständig ist. Als Antwort bekam ich sinngemäß nur, dass es kein Team zur Bearbeitung meiner Anfrage in Europa gibt. :headbang: :balla: |
Zitat:
Hättest dich ja als deutscher User, der in den USA lebt, ausgeben können. Hätte Google dann seinen Hintern in Bewegung gesetzt? :glaskugel: |
und wie bereits vermutet, wieder online :lmaa: |
Wenigstens liefert Google als Treffer für audacity ( z.Z. ) die richtige Seite zuerst, was viele DAUs nicht davon abhalten wird, voll in die Sch.. zu packen. :headbang: |
kommt halt immer drauf an was man sucht. Sucht man nach audacity download oder audacity deutsch kommt als erstes chip und als zweites diese Sch*** Seite. |
Ich versuche immer den Ursprung von Infektionen/PUA/PUP zu finden. Die Betroffenen wissen es meist nicht oder schweigen sich aus, wo sich den Mist eingefangen haben. PUA:Win32/presenoker taucht schon Anfang 2018 auf. Eine mögliche Quelle ist: https://www.windows-10-forum.com/thr...enoker.139552/ Zitat:
h**ps://www.youtube.com/watch?v=U84YrOKHd04 |
Habe eine interessante, (für mich) neue Malware entdeckt. :) Link zum Thema Infektion per E-Mail: Zitat:
FRST Einträge: Zitat:
VT: ps1-Datei Der Code der .ps1 Datei zeigt in die Registry: Code: iex ([System.Text.Encoding]::ASCII.GetString(( gp "HKCU:\Software\AppDataLow\Software\Microsoft\FD33C532-3865-3767-2A81-EC5BFE45E0BF").Authdeui))Lasse den Schlüssel mit dem letzten Schritt noch auslesen und dann löschen. |
Zitat:
|
https://www.trojaner-board.de/201646...elmaessig.html https://whois.domaintools.com/exsalut.com exsalut.com hat irgendwas mit amazon zu tun Zitat:
Zitat:
PS: wird hier auch genannt: https://www.trojaner-board.de/200551...x-chronik.html Zitat:
außer der Verbindung zu Amazon nichts erkannt. Nachtrag: Die meisten User wissen vermutlich nichts davon, weil sie nicht in die Chronik schauen. und die Seite selber leer ist. |
Auch in dem von dir verlinkten Thema findet sich die gleiche PUP/Adware wie hier in diesem Thema. Zitat:
|
https://www.winfuture-forum.de/index.php?showtopic=222160 Zitat:
Die Laus exitert schon seit XP |
Immer wieder dieser Müll Chip-Installer... :pfui: |
Zitat:
|
(Nachtrag zu https://www.trojaner-board.de/201648...ml ) Zitat:
Wenn da irgendein malwarecode drin ist, kann das nur ein Malwareingenieur/Softwareentwickler entziffern. Bei reinen Binärdateien ist das noch schwieriger, da ja dann kein Quell- sondern nur Maschinencode vorliegt. |
Hier wird immer von allen third-party VS abgeraten. Der Defender wird den Usern als nicht ausreichend angesehen. Auf der Suche nach dem ultimativen Bedrohungsschutz ist mir von mehreren Stellen dieses Supertool empfohlen worden. Einschalten des Denkorgans (sofern vorhanden) ist nicht mehr nötig bzw contraproduktiv :crazy: |
Laut aktueller Nachrichtenlage sogar zu 100 % verfügbar: https://www.der-postillon.com/2018/0...irft-hirn.html Außer bei Querdenkern, die mit Regenschirm dagegen demonstrierten. |
Zitat:
|
Bei manchen "Hilfesuchenden" kann man nur noch den Kopf schütteln... :stirn: Emotet ist ja quasi schon tot. ;) |
https://www.trojaner-board.de/201707...geloescht.html Google liefert als ersten Treffer: Download Protect entfernen - Anleitungen handelt es sich um diese Variante und gilt die Anleitung aus 2015 noch? Eins gilt auf jeden Fall: Zitat:
|
Steht alles hier. ;) |
https://www.bundesnetzagentur.de/Sha...429_PopUp.html Zitat:
https://www.telespiegel.de/news/21/fake-pop-up-fenster/ Zitat:
PS: bin mal gespannt wann die ersten hier auftauchen um pöse Trojaner entfernen zu lassen... :pfeiff: |
Zitat:
Ohne gewisse Grundkompetenzen (z. B. Lesen von simplen Texten, Ausführen einfacher Anleitungen, Beachtung von Regeln) wird das nämlich nichts... und wir wissen beide, dass diese Kompetenzen nicht alle Hilfesuchenden erfüllen können/wollen. ;) Dagegen muss man weniger Kompetenzen vorweisen, um z. B. auf alles zu klicken, was nicht bei drei wieder weg ist. :) |
Zitat:
|
Lesestoff für Interessierte: New Moriya rootkit used in the wild to backdoor Windows systems |
Lesenswerter Artikel zum sattsam bekannten Thema chip.de. Ist von 2018 aber nach wie vor aktuell http://www.successdenied.com/2018/08...ckige-spyware/ Zitat:
Zitat:
|
Der 1. Link gefällt mir. :abklatsch: |
https://www.trojaner-board.de/201761...et-selbst.html Zitat:
https://www.trojaner-board.de/201766...illgelegt.html Zitat:
PS>: Wird aber teuer wenn nicht :rofl: |
https://www.trojaner-board.de/201937...ngefangen.html Ich bin mir noch nicht ganz sicher, ob dem TO schon bewusst ist, dass CHIP generell keine verlässliche Downloadquelle ist. Alternativ zu LibreOffice wäre FreeOffice zu empfehlen, welches etwas bessere Kompatibilität zum .doc-Format bieten könnte, wenn das so wichtig für den TO ist. |
Ein neuer Stern am Trojanerhimmel > craccoon.com? Wird vermutlich durch diesen dubiosen Laden untergejubelt: https://www.craccoon.com/ Wie ist noch nicht bekannt. https://blog.malwarebytes.com/detect...onal-craccoon/ Zitat:
existiert erst seit ca einem halben Jahr |
Hier habt ihr aber den wahren Grund noch nicht gefunden: https://www.trojaner-board.de/201962...tomatisch.html Dabei ist es so einfach: https://www.der-postillon.com/2017/0...he-hacker.html :zzwhip: *SCNR* |
https://www.trojaner-board.de/201985...bild-mehr.html Zitat:
zu "QUEENSCREEK" hab ich nichts relevantes gefunden https://www.file.net/prozess/task.vbs.html Zitat:
https://www.file.net/prozess/esrv_svc.exe.html Zitat:
|
Prognosen aus der Vergangenheit https://www.trojaner-board.de/1849-z...html#post16352 Zitat:
Zitat:
|
https://www.trojaner-board.de/202038...rokajaner.html " Trokajaner" :lach: Zitat:
false positiv nach dem Motto "kenne ich nicht und ist verdächtig, also böser Trojaner". Ist bei heuristischen Methoden immer möglich. |
Zitat:
|
Hab mir die Seite angesehn von der das zip file zum download angeboten wird. Sieht bei direktem Aufruf mit korrektem Impressum usw. unverdächtig aus und es gibt auch keinen Hinweise auf unredliches Verhalten. Es gibt sie praktisch unverändert seit 2008. Weiß natürlich nicht, auf welchem Weg sie auf die Seite gestoßen ist. Hab den Betreiber der Seite über das Ergebnis informiert und ihn um Stellungnahme gebeten, da er im eigenen Interesse an einer Klärung interessiert sein sollte, da die Anfrage hier immer weiter in Google nach oben rutscht. Google hat sich die Adresse gemerkt... Zitat:
|
Zitat:
Für gewöhnlich sollte man seine Programme vorab auf Seiten wie z. B. VT prüfen lassen, bevor man sie freigibt. |
Weiß nicht wielange das File so unverändert im WWW steht, und ob und wann es verändert wurde. Es ist zumindest merkwürdig, dass das File in der Vergangenheit d.h über mehr als ein Jahrzehnt nicht beanstandet wurde und dass bei den bisherigen Downloads die AV nicht angeschlagen haben. |
Kann mal bitte irgendwer den VT-Link posten. Ich weiß überhaupt nicht wovon ihr da redet, von welcher Seite das sein soll! :wtf: :balla: |
Unter dem Siegel der Verschwiegenheit: :heilig: ligafaktur.de dort steht der Link auf den Download Die Antwort des Betreibers Zitat:
Zitat:
https://support.avira.com/hc/de/arti...are-Erkennung- Zitat:
PS: Ich würde vorschlagen im Thread mit der "Trokajaner" Meldung eine entsprechende Info zu geben. |
Zitat:
Aber sowas scheint die Entwickler in diesem Fall wenig zu interessieren... naja, mir ist es ja egal. :D |
Bei so einem Unsinn wie "HEUR" hätte ich einen Fehlalarm auch als viel wahrscheinlicher gehalten. |
Hab mal weiter getestet . Das zip file wird bei mir vom Defender nicht beanstandet aber die exe und versenkt sie sofort. https://www.microsoft.com/en-us/wdsi...tID=2147771502 Worm:Win32/Aicat.A!ml basiert IMHO nicht auf heuristischer Erkennung werde dem Betreiber das mailen und empfehlen sich an M$ zu wenden. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board