Malwarebytes erkennt jetzt(?) auch(?) den Download Protect siehe https://www.trojaner-board.de/200031...ml#post1741112

Die Adware im FF-Profil erkennt MBAM schon länger, den Task und alles was dazugehört allerdings noch nicht. (korrigiere mich, wenn ich falsch liege)

Es muß etwas sein, was "flächendeckend" zum gleichen Zeitpunkt begonnen hat, was meist im Zusammenhang mit einem Update steht.

Hat Avira nicht so einen Auto-Updater, der andere installierte Programme aktuell halten soll? Wenn ja wird vermutlich über diesen Kanal irgendein Mist reingekommen sein.

Ich finde es jedenfalls ziemlich auffällig, dass eigentlich auf allen betroffenen Rechnern Avira und Audacity installiert ist. Oder hat hier irgendein betroffener PC kein Avira bzw kein Audacity?

BTW: hab mal alle FireHooker-Beiträge in einen neuen Thread verschoben, hat ja nichts mehr mit der F.txt zu tun.

Soweit ich das bisher verfolgt hab, keine "nonavira" Meldung Die Meldungen in der Vergangenheit stammen übrigens afaik auch alle im Zusammenhang mit Avira.

Weil es Geld kostet, muß es gut sein :crazy:

Evtl. kommt die Adware beim Herunterladen der Software Audacity von Audacity.de.

So ein Mist... :rofl: mit aktiviertem PUP-Schutz von Microsoft Defender wird mir der Download der Audacity.exe sofort blockiert. :D



Edit:
Neuen Pfad entdeckt:

Zitat:

2020-10-05 11:03 - 2020-10-05 11:04 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js 2020-10-05 11:03 - 2020-10-05 11:04 - 000000000 ____D C:\Program Files (x86)\nodejs

Hab mal ne neue Auswertung von so einem "argument" gemacht siehe https://www.virustotal.com/gui/file/...237d96/details

Stand aktuell erkennen den nur Kaspersky, Microsoft und ZoneAlarm by Check Point - wobei aber nur Microsoft den signaturbasiert erkennt, die beiden anderen nur durch eine Heuristik.

Vieleicht hat jemand interesse sich damit auseinander zu setzen:

https://app.any.run/tasks/b9c8829a-e25e-4fee-bb15-e884dd14a62c/

Das sollte der "run" des TR/AD.FireHooker.BU sein.

Evtl. von der Adware angelegter Uninstall-Eintrag:
Lasse ich von FRST auslesen.



Edit:
Der Uninstall-Schlüssel verweist auf das Software-Updater Modul von Avira:

Es herrscht z.Z Rätselraten vor.
https://www.2-spyware.com/remove-tra...hooker-bu.htmlhttps://www.reddit.com/r/computervir...m_source=ifttt
Aktuelle Meldungen kommen ansonst fast ausschließlich hier ins Board

Genau den Mist hab ich vermutet. Wenn Avira hinter diese großen Verseuchungsaktion steckt, dann gehört der Laden aber endgültig in Grund und Boden geklagt! :kloppen:

Hallo zusammen,

natürlich gehöre ich nicht in den erlauchten Kreis der Experten :), aber mein Fall war einer der ersten in der "Neuzeit" seit 30.09., glaube ich.
https://www.trojaner-board.de/200018-win10-trojaner-avira-tr-ad-firehooker-bu-mutmasslich-manipulierte-audacity-exe-node-js-relevant.html#post1740849

Das Audacity-File, von dem meine Infektion aus meiner Sicht kommt, hatte ich schon im Mai installiert (s. Thread + Screenshots). Draufgekommen bin ich nur über den TrendMicro-Artikel, in dem sie über dieses "node_modules" im nodejs-Verzeichnis reden. Das war datumsgleich mit der audacity.exe in meinem Download-Ordner.

https://blog.trendmicro.com/trendlabs-security-intelligence/qnodeservice-node-js-trojan-spread-via-covid-19-lure/

Da geht es wohl um einen anderen Trojaner, aber der Mechanismus scheint mir ähnlich zu sein. Der "böse Mist" steckt irgendwie in diesen Modules. VT hatte kein Problem mit meiner node.exe.

Wenn ihr mich fragt, war das nicht ein SW-Updater von Avira. Den hatte ich nicht drauf (zumindest nicht absichtlich). Das sieht so aus, als wäre Ende September ein Update der Scan-Engine gekommen, das dann die dummen .exe-Files im Windows Temp-Ordner erkennt.

Von einem Tag auf den anderen hatte sich auch die komplette Avira-Tool-Oberfläche hinter dem Systray-Icon verändert.

Nicht schlagen, vielleicht täusche ich mich auch :)

Da stimme ich dir zu... bei dir tippe ich auch auf die audacity.exe als Infektionsweg. :)

Das ist aber nunmal ein klarer Hinweis dafür, dass hier eine Komponente von Avira Schuld an der Adware hat. Wenn das kein Vorsatz ist, dann IMHO grobe Fahrlässigkeit falls man sich da diese Softwareupdaterkomponente von irgendwelchen anderen Firmen oder Entwicklern besorgt hat...

Es wirft auf jeden Fall kein gutes Licht auf Avira... ich wünschte, es käme ein Artikel auf heise security oder so raus... :D