Zitat:

Zitat von M-K-D-B

Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link.

Malwarebytes erkennt jetzt(?) auch(?) den Download Protect siehe https://www.trojaner-board.de/200031...ml#post1741112

Die Adware im FF-Profil erkennt MBAM schon länger, den Task und alles was dazugehört allerdings noch nicht. (korrigiere mich, wenn ich falsch liege)

Zitat:

Zitat von Zeref

Frage mich wo ich mir den Fehler eingefangen habe..

Es muß etwas sein, was "flächendeckend" zum gleichen Zeitpunkt begonnen hat, was meist im Zusammenhang mit einem Update steht.

Zitat:

Zitat von webwatcher

Es muß etwas sein, was "flächendeckend" zum gleichen Zeitpunkt begonnen hat, was meist im Zusammenhang mit einem Update steht.

Hat Avira nicht so einen Auto-Updater, der andere installierte Programme aktuell halten soll? Wenn ja wird vermutlich über diesen Kanal irgendein Mist reingekommen sein.

Ich finde es jedenfalls ziemlich auffällig, dass eigentlich auf allen betroffenen Rechnern Avira und Audacity installiert ist. Oder hat hier irgendein betroffener PC kein Avira bzw kein Audacity?

BTW: hab mal alle FireHooker-Beiträge in einen neuen Thread verschoben, hat ja nichts mehr mit der F.txt zu tun.

Zitat:

Zitat von cosinus

Oder hat hier irgendein betroffener PC kein Avira bzw kein Audacity?

Soweit ich das bisher verfolgt hab, keine "nonavira" Meldung Die Meldungen in der Vergangenheit stammen übrigens afaik auch alle im Zusammenhang mit Avira.

Zitat:

Zitat von help1234

über die deinstallation von Eset werde ich nachdenken, aber es ist eine gekaufte Version, so dass ich dies jetzt nicht übers knie brechen möchte

Weil es Geld kostet, muß es gut sein

Evtl. kommt die Adware beim Herunterladen der Software Audacity von Audacity.de.

So ein Mist... mit aktiviertem PUP-Schutz von Microsoft Defender wird mir der Download der Audacity.exe sofort blockiert.



Edit:
Neuen Pfad entdeckt:

Zitat:

2020-10-05 11:03 - 2020-10-05 11:04 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
2020-10-05 11:03 - 2020-10-05 11:04 - 000000000 ____D C:\Program Files (x86)\nodejs

Hab mal ne neue Auswertung von so einem "argument" gemacht siehe https://www.virustotal.com/gui/file/...237d96/details

Stand aktuell erkennen den nur Kaspersky, Microsoft und ZoneAlarm by Check Point - wobei aber nur Microsoft den signaturbasiert erkennt, die beiden anderen nur durch eine Heuristik.

Vieleicht hat jemand interesse sich damit auseinander zu setzen:

https://app.any.run/tasks/b9c8829a-e25e-4fee-bb15-e884dd14a62c/

Das sollte der "run" des TR/AD.FireHooker.BU sein.

Evtl. von der Adware angelegter Uninstall-Eintrag:

Zitat:

Node.js (HKLM-x32\...\{E39954D4-8121-44FC-A3D3-DF66254DB891}) (Version: 10.22.1 - Node.js Foundation)

Lasse ich von FRST auslesen.



Edit:
Der Uninstall-Schlüssel verweist auf das Software-Updater Modul von Avira:

Zitat:

[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}]
"AuthorizedCDFPrefix"=""
"Comments"=""
"Contact"=""
"DisplayVersion"="10.22.1"
"HelpLink"=""
"HelpTelephone"=""
"InstallDate"="20201005"
"InstallLocation"=""
"InstallSource"="C:\ProgramData\Avira\SoftwareUpdater\TempRepository\Patches\"
"ModifyPath"="MsiExec.exe /I{E39954D4-8121-44FC-A3D3-DF66254DB891}"
"Publisher"="Node.js Foundation"
"Readme"=""
"Size"=""
"EstimatedSize"="55390"
"UninstallString"="MsiExec.exe /I{E39954D4-8121-44FC-A3D3-DF66254DB891}"
"URLInfoAbout"=""
"URLUpdateInfo"=""
"VersionMajor"="10"
"VersionMinor"="22"
"WindowsInstaller"="1"
"Version"="169213953"
"Language"="1033"
"DisplayName"="Node.js"

Es herrscht z.Z Rätselraten vor.
https://www.2-spyware.com/remove-tra...hooker-bu.html

Zitat:

TR/AD.FireHooker.BU is the name of an unidentified adware infection that might reside in various places on a Windows system, as well as the web browser. Users reported that they began seeing pop-up messages from Avira security software, which attempted to warn about a threat. In most cases, the security program flags that a suspicious executable, such as 105c6c37-ee2a-2a76-e42c-02506c4d1be0.exe, was detected inside a Windows temp folder.

https://www.reddit.com/r/computervir...m_source=ifttt

Zitat:

Since Monday everytime I start my computer, Avira detects a trojan named "TR/AD.FireHooker.BU".
Its path is: C:\Windows\temp\b1ca503b-94fd-a0bc-e96e458119c3\105c6c37-ee2a-2a76-e42c-02506c4d1be0.exe
Is FireHooker malicious? Is it adware?

Aktuelle Meldungen kommen ansonst fast ausschließlich hier ins Board

Zitat:

Zitat von M-K-D-B

Edit:
Der Uninstall-Schlüssel verweist auf das Software-Updater Modul von Avira:

Genau den Mist hab ich vermutet. Wenn Avira hinter diese großen Verseuchungsaktion steckt, dann gehört der Laden aber endgültig in Grund und Boden geklagt!

Hallo zusammen,

natürlich gehöre ich nicht in den erlauchten Kreis der Experten , aber mein Fall war einer der ersten in der "Neuzeit" seit 30.09., glaube ich.
https://www.trojaner-board.de/200018-win10-trojaner-avira-tr-ad-firehooker-bu-mutmasslich-manipulierte-audacity-exe-node-js-relevant.html#post1740849

Das Audacity-File, von dem meine Infektion aus meiner Sicht kommt, hatte ich schon im Mai installiert (s. Thread + Screenshots). Draufgekommen bin ich nur über den TrendMicro-Artikel, in dem sie über dieses "node_modules" im nodejs-Verzeichnis reden. Das war datumsgleich mit der audacity.exe in meinem Download-Ordner.

https://blog.trendmicro.com/trendlabs-security-intelligence/qnodeservice-node-js-trojan-spread-via-covid-19-lure/

Zitat:

The files contain an embedded “node_modules” folder with libraries for Node.js, which is extracted upon execution. Unlike the Javascript code itself, these libraries are architecture-specific, which is the reason separate files are distributed based on system architecture.

Da geht es wohl um einen anderen Trojaner, aber der Mechanismus scheint mir ähnlich zu sein. Der "böse Mist" steckt irgendwie in diesen Modules. VT hatte kein Problem mit meiner node.exe.

Wenn ihr mich fragt, war das nicht ein SW-Updater von Avira. Den hatte ich nicht drauf (zumindest nicht absichtlich). Das sieht so aus, als wäre Ende September ein Update der Scan-Engine gekommen, das dann die dummen .exe-Files im Windows Temp-Ordner erkennt.

Von einem Tag auf den anderen hatte sich auch die komplette Avira-Tool-Oberfläche hinter dem Systray-Icon verändert.

Nicht schlagen, vielleicht täusche ich mich auch

Da stimme ich dir zu... bei dir tippe ich auch auf die audacity.exe als Infektionsweg.

Das ist aber nunmal ein klarer Hinweis dafür, dass hier eine Komponente von Avira Schuld an der Adware hat. Wenn das kein Vorsatz ist, dann IMHO grobe Fahrlässigkeit falls man sich da diese Softwareupdaterkomponente von irgendwelchen anderen Firmen oder Entwicklern besorgt hat...

Es wirft auf jeden Fall kein gutes Licht auf Avira... ich wünschte, es käme ein Artikel auf heise security oder so raus...