Da mein erster Thread https://www.trojaner-board.de/196220-hinweise-ad-malware-threads.html geschlossen wurde und mir geraten wurde einen Neuen zu eröffnen, mache ich dies hiermit.

In der Hoffnung, dass dieser offen bleibt und vielleicht auch nicht so sehr offtopic wird

Zum Thema:
Zum Thread https://www.trojaner-board.de/196392-programm-ohne-namen-zeichenfolgen-verhindern-herunterfahren.html

Das scheint an Adobe Creative Cloud zu liegen, da gibts in letzter Zeit einige Meldungen dazu
https://community.kaspersky.com/kaspersky-internet-security-13/strange-coresync-application-prevents-shutdown-3249

https://linustechtips.com/main/topic/1100301-idk-whats-going-on/

https://forums.adobe.com/thread/2650942
hier auch mit möglicher Lösung https://forums.adobe.com/message/11247870#11247870

Das soll wie gesagt nur ein Hinweis sein, und ich will in keiner Weise damit verhindern, dass nicht die üblichen "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?" Standards wie Systemscan mit FRST usw. nicht gemacht werden sollten

Danke erneut für deinen Hinweis.

Der TO scheint aber zunächst mal eine Analyse zu wünschen. Und dann sehen wir weiter.

Gern geschehen. Klar, Analyse ist auf jeden Fall wichtig
BTW: ist es irgendwie möglich mit die per PN zu schreiben? oder lehnst du das generell ab? Ich wollte manche Dinge vorerst nicht öffentlich posten. (später vielleicht schon)

PNs hab ich nicht so gerne. Schreib es doch einfach hier rein.

werde ich machen, wenns an der Zeit ist. Wie gesagt, wollte ich mich vorher nicht öffentlich austauschen.

Cosinus schrieb hier: https://www.trojaner-board.de/196220-hinweise-ad-malware-threads-2.html#post1721870

Zitat:

Und der Download von gimp24 lieferte mir 90038ea1895b2fe2a63fe6f69fc2115161b9af6a509e96ee08371138260de45e (gimp-2.10.12-setup-3.exe)

Heute nicht mehr, jetzt bekommt man eine andere Datei mit Namen "gimp-2.10.12.3-setup_x86_x64.exe"

https://www.virustotal.com/gui/file/7fee2f8a3ded3b5e50dcb7128c0222cee0a8b285dfe201b2c08e58f8c93608ad/detection

leider erkennt kein AV Programm diesen Schrott und unter Details->Signers sieht man den bekannten Namen.

Habe ich mal installiert und sah zunächst unter AppData\Roaming\GIMP Updater\Updater.exe https://www.virustotal.com/gui/file/d601ee6fa1181d90a54ae17c0b3472c85ccef209a216efef4ee630ef917cd379/detection

Es öffnet sich dann die bekannte Seite /download_ok.php

Nach einem Rechnerneustart wird wahrscheinlich etwas entpackt (schwarzes Konsolenfenster ging kurz auf)
Danach 3 Dateien in dem Ordner
gimp.ico
uninst.exe
Updater.exe (gleicher hash wie vorherige Updater.exe)

die unsinst.exe https://www.virustotal.com/gui/file/461e2589605377fc6d67d0db2a0a61284ae8ce5343194c9d111b3de4c6f1bfb6/detection

Ich habe noch alles auf dem Rechner in der VM falls weitere Angaben erwünscht sind.

Eine Veränderung beim Start von Browsern oder bei der Suche ist mir nicht aufgefallen. (obwohl ich zusätzlich noch viel anderen Mist da installiert habe)

Leider gibt es einiges extrem Schädliches, was sich Nutzer durch Software installieren und was von keinem AV Programm erkannt wird. Teilweise sind es auch Dateien, die großen Schaden anrichten können, aber an sich legale Dateien sind und somit auch nicht erkannt werden.

Meist fängt man sich solche Dinger ein durch Downloads wie zb. bei Chip.de durch den Installer ein, wenn man dort die Sponsored "Angebote" nicht explizit verweigert.

Ich will mal konkret werden: Ich installiere zb. so etwas (versehentlich) mit. Im besten Fall merke ich es, weil ich in zb. Firefox eine Erweiterung habe, die vorher nicht da war. (Es muss aber gar nicht unbedingt eine Erweiterung installiert worden sein) Nun könnte man meinen, ok, dann deinstalliere ich eben das Programm wieder und lösche die Erweiterung über about:addons. Leider weit gefehlt. Bei der Installation wird nämlich der Selbstschutz von Firefox ausgehebelt (evtl. auch andere Browser, aber das habe ich nicht genauer untersucht) und genau das ist das Problem.

Die interne blocklist URL wird geändert, sodass von mozilla geblockte Erweiterungen weiterhin ausgeführt werden. Auch so Sachen wie Telemetrie werden an falsche Server geschickt.

Dies geschieht durch kurzfristige angelegte user.js oder eine Invalidprefs.js, die die prefs.js ändert und somit die Werte in about:config ändert. Diese js. Dateien sind ganz normale gültige Dateien und somit werden sie auch nie als schädlich eingestuft werden.
(Ich nutze selbst eine user.js, allerdings habe ich diese selbst händisch angelegt und weiß was ich mache)

Fazit: bei jedem Ad/Malware Befall würde ich dazu raten, danach seine Lesezeichen zu sichern und dann sowohl den Browser komplett zu deinstallieren
Danach nachsehen ob auch in
C:\Program Files
C:\Program Files (x86)
der Ordner "Mozilla Firefox" völlig weg ist
Danach
C:\Users\xxx\AppData\Roaming komplett den Ordner "Mozilla" löschen
C:\Users\xxx\AppData\Local komplett den Ordner "Mozilla" löschen
(xxx steht für den Benutzernamen)

Auch %temp% zu löschen wäre anzuraten.

Nachtrag: übrigens, warum ich in solchen Fällen nicht empfehle "nur" Firefox zurück zu setzen sondern wirklich alles zu löschen ist, dass oberhalb des Profilverzeichnises durchaus auch Daten sein können, welche weiterhin nachgeladen werden können.

@Citro
Würde es auch ausreichen, wenn ich eines meiner vielen mit MozBackup erstellten Firefox Backup einspiele?

NEIN! siehe auch meinen Nachtrag. Außerdem ist MozBackup heillos veraltet und die Entwicklung wurde eingestellt.
Wenn man Profile sichert, dann händisch. Ich erstelle einfach immer ein Zip vom Profilordner
Ist ja nicht so schwer einfach die Win Taste zu drücken %appdata%\Mozilla\Firefox\ eingeben und nen .zip zu erstellen (mit Datum versehen)

Zitat:

Zitat von schlawack

@Citro
Würde es auch ausreichen, wenn ich eines meiner vielen mit MozBackup erstellten Firefox Backup einspiele?

MozBackup sichert doch nur das Profil oder nicht?
Es geht doch darum, dass man nicht nur das Profil löscht und neu macht (oder eben aus einem Backup wiederherstellt) sondern eben auch, das Programmverzeichnis vom Firefox zu löschen und den Firefox dann neu zu installieren.

Zitat:

Zitat von Citro

Ist ja nicht so schwer einfach die Win Taste zu drücken %appdata%\Mozilla\Firefox\ eingeben und nen .zip zu erstellen (mit Datum versehen)

Das kann man auch wunderbar selbst scripten...7z und winrar haben ja ein exe dafür, also ein CLI Tool

Danke, das wollte ich nur wissen, dann müsste ich also Firefox mit Geek Uninstaller deinstallieren, danach noch vorhandene Ordner von Firefox und Mozilla löschen, danach Firefox neu installieren und dann ein Backup mit MozBackup einspielen. Übrigens: auch wenn MozBackup veraltet ist und nicht mehr weiterentwickelt wird, es funktioniert immernoch problemlos, damit Firefox Profile als Backup zu erstellen und diese einzuspielen.

Zu https://www.trojaner-board.de/196986-norton-zeigt-trojaner-bitcoin-miner-angriff-speicherplatz-verschwindet-hoher-datenverkehr.html#post1725888

Unabhängig vom Rat von Win7 auf Win10 zu wechseln: man sehe sich mal die hosts Datei an

Ob sein "ziemlich wichtiges Projekt" wohl mit einem gecrackten Adobe-Produkt zu tun hat? Kein Wunder dass der TO kein Windows 10 installieren will. Da müsste man ja alles neu cracken.

Zitat:

Zitat von Citro

Zu https://www.trojaner-board.de/196986-norton-zeigt-trojaner-bitcoin-miner-angriff-speicherplatz-verschwindet-hoher-datenverkehr.html#post1725888

Unabhängig vom Rat von Win7 auf Win10 zu wechseln: man sehe sich mal die hosts Datei an

Jo, das hab auch gesehen. Ich wollte aber erstmal den generellen Grund darlegen

bezüglich https://www.trojaner-board.de/197402-weiterleitung-http-pointclouds-org-andere-seite-trojaner.html#post1728226
ist das gleiche wie https://www.trojaner-board.de/195227-klick-suchergebnis-oeffnet-ploetzlich-nur-einmal-omnioesen-spam-link.html#post1714137
und ich kann es auch reproduzieren wenn ich erstmalig von google ausgehend
https://www.google.de/search?q=pointclouds.org
oder
https://www.google.de/search?q=knorkator.de
auf das Suchergebnis klicke.
Die Frage ist nur: kommt das von google oder von der Webseite, die man von google aus ansurft?

Klappt übrigens nur die ersten Male, bis man wieder eine neue IP hat (und evtl. auch Cookies usw. gelöscht hat?)