Win10: Trojaner (Avira: "TR/AD.FireHooker.BU"). Mutmaßlich durch manipulierte audacity.exe. Node.js relevant.
 

Hallo zusammen,

vorgestern (30.09.2020) bekam ich erstmalig Meldungen über einen Trojanerbefall (Avira: "TR/AD.FireHooker.BU"). Es wurden immer .exe Files in Windows\temp gefunden und gelöscht. Ursache aber nicht behoben. Log habe ich leider nicht mehr, da Avira gelöscht und MBAM installiert. MBAM: Keine Funde bis hierhin (auch im abgesicherten Modus nicht).

ESET Online: Keine Funde, kein Log abgelegt.
AdwCleaner hat vorinstallierte HP-Ware gelöscht (Log s.u.).

Der Versuch den MS Win Defender auf C:\ laufen zu lassen scheiterte, weil C:\ komplett als Ausschluss deklariert war. Der Eintrag konnte nicht gelöscht werden.

Folgende Auffälligkeiten nach Web-Recherche (z.B.: TrendMicro "QNodeService: Node.js Trojan Spread via Covid-19 Lure" vom 14.05.2020.
"Mein" Trojaner scheint auch Node.js (node.exe) zu nutzen. Im nodejs-Verzeichnis (C:\Program Files (x86)\nodejs) liegt ein Ordner "node_modules" mit Datum 21.05.2020. In unserem Downloadverzeichnis habe ich für den 21.05. genau eine Datei gefunden: audacity.exe. Beim Kurzen Check mit VirusTotal gingen gleich alle Ampeln auf rot (s. Anhang). MBAM blockiert auch die Seite "audacity.de". Das Programm selbst hat seither aber gut funktioniert. Folglich war der Trojaner wohl mehr als drei Monate unbemerkt auf dem Rechner aktiv und unentdeckt. Trotz einiger Maßnahmen (Surfen nie als Admin, Win 10 aktuell und Avira aktiv, ScriptSafe in Opera,...). Der Fehler saß wohl auch hier vor dem Rechner.

Ein MalwareBytes Scan und die Echtzeitüberwachung heute brachte erstmals Funde (Logs s.u.).

Jetzt brauche ich Hilfe, den unerwünschten Kollegen wieder los zu werden.

Danke schonmal!

P.S.: Die Logs passen leider nicht in einen Beitrag, Addition, AdwCleaner Log und den aktuellen MBAM Scan muss ich wohl oder übel anhängen, sry.

Logs:
FRST Teil 1 (wir nutzen nur Opera, auch wenn hier Edge als Standard-Browser steht):

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

Wir kennen diese Adware schon länger... :D
Keine Angst, das bekommen wir wieder hin... ist auch nicht schlimm.

Avira hast du bereits deinstalliert, oder? Es stört nämlich die Bereinigung und muss vorher weg!





Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
VirusTotal: C:\Program Files (x86)\nodejs\node.exe
Task: {667785F6-A029-42EE-829E-E8F0F8EBADD3} - System32\Tasks\Windows-Prozessaktivierungsdienst Peernetzwerkidentitäts-Manager USB => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
Task: {707BB486-E267-4C29-893D-E6E180FA0989} - System32\Tasks\BitLocker-LaufwerkverschlüsselungsdienstfürAnwendungsinformationen => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
C:\Program Files (x86)\nodejs
FF HKLM\...\Firefox\Extensions: [{6A1ED113-8D42-4B2B-A0C7-BCF0D42CC1CF}] - C:\WINDOWS\Installer\{889E2F63-AE92-4861-8061-EC6D0C998799}\{6A1ED113-8D42-4B2B-A0C7-BCF0D42CC1CF}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{889E2F63-AE92-4861-8061-EC6D0C998799}\{6A1ED113-8D42-4B2B-A0C7-BCF0D42CC1CF}.xpi [2020-10-01]
FF HKLM-x32\...\Firefox\Extensions: [{6A1ED113-8D42-4B2B-A0C7-BCF0D42CC1CF}] - C:\WINDOWS\Installer\{889E2F63-AE92-4861-8061-EC6D0C998799}\{6A1ED113-8D42-4B2B-A0C7-BCF0D42CC1CF}.xpi
C:\WINDOWS\Installer\{889E2F63-AE92-4861-8061-EC6D0C998799}
C:\WINDOWS\INSTALLER\{48C74DF7-FD4F-429C-AF2C-B8D1142EF93A}
C:\WINDOWS\INSTALLER\{FC6EDFCE-FA2A-41A9-9C32-17652EBF15FC}
C:\DOCUMENTS AND SETTINGS\ALL USERS\NTUSER.POL
C:\PROGRAMDATA\NTUSER.POL
C:\WINDOWS\SYSTEM32\GROUPPOLICY\MACHINE\REGISTRY.POL
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-3071035200-3841086704-2466470248-1002\...\Run: [] => [X]
GroupPolicy: Beschränkung - Chrome <==== ACHTUNG
CHR HKLM\SOFTWARE\Policies\Google: Beschränkung <==== ACHTUNG
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
Hosts:
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• eine Rückmeldung bezüglich der Deinstallation von Avira
• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von MBAM
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Update + Fixit.txt
 

Hallo Matthias, danke dass Du Dich kümmerst!

Avira war schon deinstalliert (und bleibt es).
Fragen:
Ist es ein Problem, wenn MBAM im Echtzeitmode läuft (Premium Testversion)?
Überschreibt FRST jeweils das FRST.txt und Addition.txt mit den neuesten Ergebnissen oder muss ich die "alten"vorher löschen?

MBAM Log und neuer FRST-Output kommt in den folgenden Posts.

Dummerweise habe ich den Fixit-Lauf ohne Admin-Rechte gestartet :-(

Fixit-log:

FRST.txt
 

FRST.txt ohne "Ein Monat geänderte", vollständig im Anhang:

Addition.txt
 

Addition.txt:

MBAM Meldung nach FRST Fixit
 

Nach FRST Fixit-Lauf und Neustart kam nochmals eine Trojanerwarnung von MBAM (s. Anhang). Problem?

Zukünftig bitte FRST als Admin ausführen, sonst müssen wir ständig die Schritte wiederholen.
Die fixlog.txt von FRST hast du unvollständig gepostet. Bitte zukünftig immer die Logdateien komplett posten.
MBAM Premium kann laufen, es stört nicht.






Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
Task: {29B1CD89-DF04-4575-AFCE-2B0B42FBA3B0} - System32\Tasks\AviraSystemSpeedupUpdate => C:\ProgramData\Avira\SystemSpeedup\Update\avira_speedup_setup_update.exe
C:\ProgramData\Avira
Task: {47EDD8AF-3EE5-49E7-BFDE-4E4F4DD83D80} - System32\Tasks\Avira_Antivirus_Systray => C:\Program Files (x86)\Avira\Antivirus\avgnt.exe
C:\Program Files (x86)\Avira
S2 AntivirProtectedService; "C:\Program Files (x86)\Avira\Antivirus\ProtectedService.exe" [X]
S4 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S4 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
S2 GamesAppIntegrationService; "C:\Program Files (x86)\WildTangent Games\App\GamesAppIntegrationService.exe" [X]
S3 GamesAppService; "C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe" [X]
S2 HP Comm Recover; "C:\Program Files\HPCommRecovery\HPCommRecovery.exe" [X]
S2 HPJumpStartBridge; "C:\Program Files (x86)\HP\HP JumpStart Bridge\HPJumpStartBridge.exe" [X]
C:\Program Files (x86)\WildTangent Games
C:\Users\Surfen & Arbeiten\AppData\Local\Avira
AV: Avira Antivirus (Enabled - Up to date) {88AE6B46-DC3C-455A-A21B-085F285A3546}
AS: Avira Antivirus (Enabled - Up to date) {33CF8AA2-FA06-4AD4-98AB-332D53DD7FFB}
C:\WINDOWS\system32\Tasks\BitLocker-LaufwerkverschlüsselungsdienstfürAnwendungsinformationen
Folder: C:\WINDOWS\system32\Tasks
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: Bitsadmin /Reset /Allusers
RemoveProxy:
SystemRestore: On
EmptyTemp:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Fixlog.txt
 

Hm, es gab zwei Fixlogs. Eines vor und eines nach dem Reboot. Hatte nur das zweite geposted. Sry.

Hier jetzt vollständig unter Admin:

FRST.txt
 

Wieder ohne "Ein Monat (geänderte)" und komplett als .zip.

Addition.txt
 

Gut gemacht! :)
Wir entfernen die letzten Reste und kontrollieren mit RogueKiller.
Wie läuft der Rechner nach diesen beiden Schritten? Gibt es noch Probleme?






Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CMD: type "C:\WINDOWS\system32\Tasks\Windows-Prozessaktivierungsdienst Peernetzwerkidentitäts-Manager USB"
C:\WINDOWS\system32\Tasks\Windows-Prozessaktivierungsdienst Peernetzwerkidentitäts-Manager USB
C:\WINDOWS\system32\Tasks\Avira
C:\WINDOWS\system32\Tasks\McAfee
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Führe RogueKiller Anti-Malware gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:

• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei von RogueKiller

fixlog.txt
 

Hallo.
Alles grün aus User-Sicht:
Das W10 Sicherheits-Center ist zufrieden.
Die Scan-Beschränkung auf C:\ ist weg.
MBAM Echtzeit hat seit dem FRST Fix als Admin auch keine Funde mehr reported.
Gestern Abend hat WUpdate noch Zicken gemacht und wollte das aktuelle Update nicht laden. Hab leider keinen Screenshot gemacht aber heute liefert es auch ein grüne Ampel.

Dank und ganz großes Lob!!! (mehr ! gehen nicht, weil Satzzeichen keine Rudeltiere sind).

Als ich bei den scheduled Tasks (im FRST Log) den Bitlocker neu entdeckt hatte ging mir doch kurz die Muffe.

Servus,


mit dem letzten Fix von FRST habe ich einen weiteren Pfad erhalten, an dem sich Teile der Schadsoftware verstecken könnten.

Daher bitte ich dich, FRST nochmal auszuführen.



Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
Folder: C:\ProgramData\Package Cache
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Fixlog.txt
 

Also dann los. Ich bleibe so lange dabei, bis wir durch sind und Du mir ein Thumbsup gibst.


FRST.txt Teil 1: