Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: nodejs-Malware: FireHooker/DownloadProtect

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 03.10.2020, 17:38   #16
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



https://en.wikipedia.org/wiki/Trojan.Win32.FireHooker
Zitat:
Trojan.Win32.FireHooker or Trojan:Win32/FireHooker is the definition (from Kaspersky Labs) of a Trojan downloader, Trojan dropper, or Trojan spy created for the Windows platform. [1] Its first known detection goes back to September, 2015, according to the AVV Trend Micro.
Defender und andere AV haben dazu keine Meinung.
Das aktuelle gleichzeitige Auftreten hat vermutlich mit irgendeinem Ups was tun....

https://www.trojaner-board.de/200031...ml#post1740919
Zitat:
Zitat von rkunde
Ich habe heute mit Avira Software-Updater alles aktualisiert
false positive ....
__________________
Glaub ja nicht, was du denkst, wer ich bin

Geändert von webwatcher (03.10.2020 um 18:32 Uhr)

Alt 04.10.2020, 07:38   #17
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.

Ich habe Möglichkeit 1 im Verdacht...

Und nur weil VT bei der .exe nichts anzeigt, heißt das nicht zwingend, dass die Datei legitim ist bzw. dass sie nicht für etwas missbraucht wird.
__________________

__________________

Geändert von M-K-D-B (04.10.2020 um 11:41 Uhr)

Alt 04.10.2020, 11:13   #18
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Der zufällige Taskname (meist ein zusammengesetzter Name von Windows-Diensten oder Teilen davon) ist absolut nicht typisch für legitime Software, sondern spricht auch für Adware/PUP... es kann sein, dass die .exe gutartig ist, aber der Task mit den Argumenten ist es definitiv nicht... daher wird das weiter gelöscht.

Edit:
Ich lass mir ab sofort auch einen Export vom Order anzeigen... evtl. gibt es noch andere Komponenten in dem Ordner, die schädlich sind... vielleicht kann man so die Schadkomponente eingrenzen.
__________________
__________________

Geändert von M-K-D-B (04.10.2020 um 11:33 Uhr)

Alt 04.10.2020, 11:35   #19
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Läuft wohl unter verschiedensten Aliassen:

https://www.virustotal.com/gui/file/...ad91/detection
__________________
Glaub ja nicht, was du denkst, wer ich bin

Alt 04.10.2020, 20:51   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Icon16

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.
Hab heute auch eine Auswertung machen lassen siehe https://www.trojaner-board.de/200040...ml#post1741089

edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben

Auswertung bei VT ist echt mies --> https://www.virustotal.com/gui/file/...08ae51/details

__________________
Logs bitte immer in CODE-Tags posten

Geändert von cosinus (04.10.2020 um 20:59 Uhr)

Alt 04.10.2020, 20:56   #21
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Aus diesem Thema:

Zitat:
<Command>C:\Program Files (x86)\nodejs\node.exe</Command>
<Arguments>C:\WINDOWS\Installer\{8E2EC350-56EF-4F2D-9BBC-958DE58DA64F}\{CEFCDC5A-D8C1-45EB-B191-896048718E4C}</Arguments>
Dieser Pfad deutet für mich sehr start auf DownloadProtect hin...


Schau mal Arne, diese FF-Einträge von DownloadProtect sehen ähnlich aus... vergiss sie bitte nicht:
Zitat:
FF HKLM\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi [2020-10-04]
FF HKLM-x32\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi
__________________
--> nodejs-Malware: FireHooker/DownloadProtect

Alt 04.10.2020, 20:59   #22
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link.
__________________
Bitte bei Problemen mit Malware beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alt 04.10.2020, 21:01   #23
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Ja...ich versuch dran zu denken.....
__________________
Logs bitte immer in CODE-Tags posten

Alt 04.10.2020, 21:02   #24
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Gibt es einen Decoder für sowas?
Zitat:
/*e0JCNjUwMTNFLTRCNEMtNDQ0My04RkExLTU0NkE1OTRCMUMwQX18MS4wLjM=*/var _0x666d=['V0NX','dW5saW5rU3luYw\x3d (...)
__________________
Bitte bei Problemen mit Malware beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alt 04.10.2020, 21:08   #25
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Und in mind. jedem zweiten Thema ist die Adware DownloadProtect auf dem System... du kannst sagen, was du willst... dieser Mist gehört doch zusammen.

Echt ausgeklügelt diese Adware... aber nicht gut genug für uns.
__________________
Bitte bei Problemen mit Malware beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alt 04.10.2020, 21:08   #26
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Das sieht nach base64 aus...probier mal dort --> https://www.base64decode.org/
__________________
Logs bitte immer in CODE-Tags posten

Alt 04.10.2020, 21:12   #27
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Schon probiert... da kommt nur Müll bei mir raus...
__________________
Bitte bei Problemen mit Malware beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alt 04.10.2020, 21:14   #28
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Naja, ein paar Brocken kann ich dann entziffern wie zB

{557DCE9A-B3ED-4D13-BA7B-89F4157E75C9}|1.0.3
SArmdir outputquerystring1
npm.cmd
readFileSyncbkthGflastIndexOf1
base64utf-81֤6ִ
slice1VdDUD5$TT
__________________
Logs bitte immer in CODE-Tags posten

Alt 04.10.2020, 21:16   #29
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Ich taufe diese Adware jetzt mal für mich "DownladProtect_verwandt" (solange ich nix besseres finde)...
__________________
Bitte bei Problemen mit Malware beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alt 04.10.2020, 21:18   #30
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von cosinus Beitrag anzeigen
edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben
So ist es... die "" braucht man nur für CMD-Befehle...
__________________
Bitte bei Problemen mit Malware beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Antwort

Themen zu nodejs-Malware: FireHooker/DownloadProtect
tr/ad.firehooker.bu



Ähnliche Themen: nodejs-Malware: FireHooker/DownloadProtect


  1. Win 10 TR/AD.FireHooker.BU
    Log-Analyse und Auswertung - 14.10.2020 (36)
  2. Win 10: TR/AD Firehooker.BU
    Log-Analyse und Auswertung - 04.10.2020 (10)
  3. TR/AD.Firehooker.BU
    Log-Analyse und Auswertung - 04.10.2020 (10)
  4. TR/AD.FireHooker.B
    Log-Analyse und Auswertung - 30.05.2019 (32)
  5. Neuer 2 Fragen: Windows10 PC PUP.DownloadProtect.Heuristic / Anrufe von den Osterinseln
    Plagegeister aller Art und deren Bekämpfung - 11.07.2018 (4)
  6. Neuer 2 Fragen: Windows10 PC PUP.DownloadProtect.Heuristic / Anrufe von den Osterinseln
    Mülltonne - 07.07.2018 (1)
  7. Was ist nodejs. ?
    Log-Analyse und Auswertung - 01.04.2017 (11)
  8. FireHooker im System32 ordner
    Plagegeister aller Art und deren Bekämpfung - 17.03.2016 (12)
  9. Windows 8.1 Trojan.Win32.Firehooker.a
    Log-Analyse und Auswertung - 07.03.2016 (15)
  10. Malwarebytes findet 35x PUB.Optional DownloadProtect Malware
    Plagegeister aller Art und deren Bekämpfung - 12.02.2016 (9)
  11. Trojaner Firehooker 18.25 eingefangen
    Log-Analyse und Auswertung - 17.12.2015 (17)
  12. TR/FireHooker.1825 und DownloadProtect
    Log-Analyse und Auswertung - 08.12.2015 (6)
  13. TR/FireHooker.1825 von AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.12.2015 (14)
  14. Trojan.Win32.FireHooker.a gefunden
    Mülltonne - 28.11.2015 (1)
  15. DownloadProtect Extension Version 1.0.0.1 lasst sich nicht vom MS Internet Explorer entfernen
    Log-Analyse und Auswertung - 17.08.2015 (34)
  16. PUP.OPTIONAL.DOWNLOADPROTECT.A durch Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.08.2015 (8)
  17. DownloadProtect 2.2.1 lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 20.07.2014 (7)

Zum Thema nodejs-Malware: FireHooker/DownloadProtect - https://en.wikipedia.org/wiki/Trojan.Win32.FireHooker Zitat: Trojan.Win32.FireHooker or Trojan:Win32/FireHooker is the definition (from Kaspersky Labs) of a Trojan downloader, Trojan dropper, or Trojan spy created for the Windows platform. [1] Its first known detection - nodejs-Malware: FireHooker/DownloadProtect...
Archiv
Du betrachtest: nodejs-Malware: FireHooker/DownloadProtect auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.