Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: nodejs-Malware: FireHooker/DownloadProtect

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 04.10.2020, 21:20   #31
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Icon22

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link.
Malwarebytes erkennt jetzt(?) auch(?) den Download Protect siehe https://www.trojaner-board.de/200031...ml#post1741112
__________________
Logs bitte immer in CODE-Tags posten

Alt 04.10.2020, 21:23   #32
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Die Adware im FF-Profil erkennt MBAM schon länger, den Task und alles was dazugehört allerdings noch nicht. (korrigiere mich, wenn ich falsch liege)
__________________

__________________

Alt 05.10.2020, 09:33   #33
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von Zeref
Frage mich wo ich mir den Fehler eingefangen habe..
Es muß etwas sein, was "flächendeckend" zum gleichen Zeitpunkt begonnen hat, was meist im Zusammenhang mit einem Update steht.
__________________
__________________

Alt 05.10.2020, 09:36   #34
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Frage

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von webwatcher Beitrag anzeigen
Es muß etwas sein, was "flächendeckend" zum gleichen Zeitpunkt begonnen hat, was meist im Zusammenhang mit einem Update steht.
Hat Avira nicht so einen Auto-Updater, der andere installierte Programme aktuell halten soll? Wenn ja wird vermutlich über diesen Kanal irgendein Mist reingekommen sein.

Ich finde es jedenfalls ziemlich auffällig, dass eigentlich auf allen betroffenen Rechnern Avira und Audacity installiert ist. Oder hat hier irgendein betroffener PC kein Avira bzw kein Audacity?

BTW: hab mal alle FireHooker-Beiträge in einen neuen Thread verschoben, hat ja nichts mehr mit der F.txt zu tun.
__________________
Logs bitte immer in CODE-Tags posten

Alt 05.10.2020, 12:27   #35
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von cosinus Beitrag anzeigen
Oder hat hier irgendein betroffener PC kein Avira bzw kein Audacity?
Soweit ich das bisher verfolgt hab, keine "nonavira" Meldung Die Meldungen in der Vergangenheit stammen übrigens afaik auch alle im Zusammenhang mit Avira.

Zitat:
Zitat von help1234
über die deinstallation von Eset werde ich nachdenken, aber es ist eine gekaufte Version, so dass ich dies jetzt nicht übers knie brechen möchte
Weil es Geld kostet, muß es gut sein

__________________
Glaub ja nicht, was du denkst, wer ich bin

Geändert von webwatcher (05.10.2020 um 12:33 Uhr)

Alt 05.10.2020, 13:39   #36
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Evtl. kommt die Adware beim Herunterladen der Software Audacity von Audacity.de.

So ein Mist... mit aktiviertem PUP-Schutz von Microsoft Defender wird mir der Download der Audacity.exe sofort blockiert.



Edit:
Neuen Pfad entdeckt:
Zitat:
2020-10-05 11:03 - 2020-10-05 11:04 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
2020-10-05 11:03 - 2020-10-05 11:04 - 000000000 ____D C:\Program Files (x86)\nodejs
__________________
--> nodejs-Malware: FireHooker/DownloadProtect

Geändert von M-K-D-B (05.10.2020 um 13:49 Uhr)

Alt 05.10.2020, 15:19   #37
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Hab mal ne neue Auswertung von so einem "argument" gemacht siehe https://www.virustotal.com/gui/file/...237d96/details

Stand aktuell erkennen den nur Kaspersky, Microsoft und ZoneAlarm by Check Point - wobei aber nur Microsoft den signaturbasiert erkennt, die beiden anderen nur durch eine Heuristik.
__________________
Logs bitte immer in CODE-Tags posten

Alt 05.10.2020, 15:49   #38
raman
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Vieleicht hat jemand interesse sich damit auseinander zu setzen:

https://app.any.run/tasks/b9c8829a-e25e-4fee-bb15-e884dd14a62c/

Das sollte der "run" des TR/AD.FireHooker.BU sein.
__________________
MfG Ralf

Alt 05.10.2020, 17:12   #39
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Evtl. von der Adware angelegter Uninstall-Eintrag:
Zitat:
Node.js (HKLM-x32\...\{E39954D4-8121-44FC-A3D3-DF66254DB891}) (Version: 10.22.1 - Node.js Foundation)
Lasse ich von FRST auslesen.



Edit:
Der Uninstall-Schlüssel verweist auf das Software-Updater Modul von Avira:

Zitat:

[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}]
"AuthorizedCDFPrefix"=""
"Comments"=""
"Contact"=""
"DisplayVersion"="10.22.1"
"HelpLink"=""
"HelpTelephone"=""
"InstallDate"="20201005"
"InstallLocation"=""
"InstallSource"="C:\ProgramData\Avira\SoftwareUpdater\TempRepository\Patches\"
"ModifyPath"="MsiExec.exe /I{E39954D4-8121-44FC-A3D3-DF66254DB891}"
"Publisher"="Node.js Foundation"
"Readme"=""
"Size"=""
"EstimatedSize"="55390"
"UninstallString"="MsiExec.exe /I{E39954D4-8121-44FC-A3D3-DF66254DB891}"
"URLInfoAbout"=""
"URLUpdateInfo"=""
"VersionMajor"="10"
"VersionMinor"="22"
"WindowsInstaller"="1"
"Version"="169213953"
"Language"="1033"
"DisplayName"="Node.js"
__________________
Bitte bei Problemen mit Malware beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Geändert von M-K-D-B (05.10.2020 um 20:34 Uhr)

Alt 05.10.2020, 17:39   #40
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Es herrscht z.Z Rätselraten vor.
https://www.2-spyware.com/remove-tra...hooker-bu.html
Zitat:
TR/AD.FireHooker.BU is the name of an unidentified adware infection that might reside in various places on a Windows system, as well as the web browser. Users reported that they began seeing pop-up messages from Avira security software, which attempted to warn about a threat. In most cases, the security program flags that a suspicious executable, such as 105c6c37-ee2a-2a76-e42c-02506c4d1be0.exe, was detected inside a Windows temp folder.
https://www.reddit.com/r/computervir...m_source=ifttt
Zitat:
Since Monday everytime I start my computer, Avira detects a trojan named "TR/AD.FireHooker.BU".
Its path is: C:\Windows\temp\b1ca503b-94fd-a0bc-e96e458119c3\105c6c37-ee2a-2a76-e42c-02506c4d1be0.exe
Is FireHooker malicious? Is it adware?
Aktuelle Meldungen kommen ansonst fast ausschließlich hier ins Board
__________________
Glaub ja nicht, was du denkst, wer ich bin

Alt 05.10.2020, 21:01   #41
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Edit:
Der Uninstall-Schlüssel verweist auf das Software-Updater Modul von Avira:
Genau den Mist hab ich vermutet. Wenn Avira hinter diese großen Verseuchungsaktion steckt, dann gehört der Laden aber endgültig in Grund und Boden geklagt!
__________________
Logs bitte immer in CODE-Tags posten

Alt 05.10.2020, 21:10   #42
LordSoth
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Hallo zusammen,

natürlich gehöre ich nicht in den erlauchten Kreis der Experten , aber mein Fall war einer der ersten in der "Neuzeit" seit 30.09., glaube ich.
https://www.trojaner-board.de/200018-win10-trojaner-avira-tr-ad-firehooker-bu-mutmasslich-manipulierte-audacity-exe-node-js-relevant.html#post1740849

Das Audacity-File, von dem meine Infektion aus meiner Sicht kommt, hatte ich schon im Mai installiert (s. Thread + Screenshots). Draufgekommen bin ich nur über den TrendMicro-Artikel, in dem sie über dieses "node_modules" im nodejs-Verzeichnis reden. Das war datumsgleich mit der audacity.exe in meinem Download-Ordner.

https://blog.trendmicro.com/trendlabs-security-intelligence/qnodeservice-node-js-trojan-spread-via-covid-19-lure/

Zitat:
The files contain an embedded “node_modules” folder with libraries for Node.js, which is extracted upon execution. Unlike the Javascript code itself, these libraries are architecture-specific, which is the reason separate files are distributed based on system architecture.
Da geht es wohl um einen anderen Trojaner, aber der Mechanismus scheint mir ähnlich zu sein. Der "böse Mist" steckt irgendwie in diesen Modules. VT hatte kein Problem mit meiner node.exe.

Wenn ihr mich fragt, war das nicht ein SW-Updater von Avira. Den hatte ich nicht drauf (zumindest nicht absichtlich). Das sieht so aus, als wäre Ende September ein Update der Scan-Engine gekommen, das dann die dummen .exe-Files im Windows Temp-Ordner erkennt.

Von einem Tag auf den anderen hatte sich auch die komplette Avira-Tool-Oberfläche hinter dem Systray-Icon verändert.

Nicht schlagen, vielleicht täusche ich mich auch

Geändert von LordSoth (05.10.2020 um 21:14 Uhr) Grund: Präzisierung.

Alt 05.10.2020, 21:10   #43
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Da stimme ich dir zu... bei dir tippe ich auch auf die audacity.exe als Infektionsweg.
__________________
Bitte bei Problemen mit Malware beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alt 05.10.2020, 21:12   #44
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Das ist aber nunmal ein klarer Hinweis dafür, dass hier eine Komponente von Avira Schuld an der Adware hat. Wenn das kein Vorsatz ist, dann IMHO grobe Fahrlässigkeit falls man sich da diese Softwareupdaterkomponente von irgendwelchen anderen Firmen oder Entwicklern besorgt hat...
__________________
Logs bitte immer in CODE-Tags posten

Alt 05.10.2020, 21:16   #45
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Es wirft auf jeden Fall kein gutes Licht auf Avira... ich wünschte, es käme ein Artikel auf heise security oder so raus...
__________________
Bitte bei Problemen mit Malware beachten:
Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Antwort

Themen zu nodejs-Malware: FireHooker/DownloadProtect
tr/ad.firehooker.bu



Ähnliche Themen: nodejs-Malware: FireHooker/DownloadProtect


  1. Win 10 TR/AD.FireHooker.BU
    Log-Analyse und Auswertung - 14.10.2020 (36)
  2. Win 10: TR/AD Firehooker.BU
    Log-Analyse und Auswertung - 04.10.2020 (10)
  3. TR/AD.Firehooker.BU
    Log-Analyse und Auswertung - 04.10.2020 (10)
  4. TR/AD.FireHooker.B
    Log-Analyse und Auswertung - 30.05.2019 (32)
  5. Neuer 2 Fragen: Windows10 PC PUP.DownloadProtect.Heuristic / Anrufe von den Osterinseln
    Plagegeister aller Art und deren Bekämpfung - 11.07.2018 (4)
  6. Neuer 2 Fragen: Windows10 PC PUP.DownloadProtect.Heuristic / Anrufe von den Osterinseln
    Mülltonne - 07.07.2018 (1)
  7. Was ist nodejs. ?
    Log-Analyse und Auswertung - 01.04.2017 (11)
  8. FireHooker im System32 ordner
    Plagegeister aller Art und deren Bekämpfung - 17.03.2016 (12)
  9. Windows 8.1 Trojan.Win32.Firehooker.a
    Log-Analyse und Auswertung - 07.03.2016 (15)
  10. Malwarebytes findet 35x PUB.Optional DownloadProtect Malware
    Plagegeister aller Art und deren Bekämpfung - 12.02.2016 (9)
  11. Trojaner Firehooker 18.25 eingefangen
    Log-Analyse und Auswertung - 17.12.2015 (17)
  12. TR/FireHooker.1825 und DownloadProtect
    Log-Analyse und Auswertung - 08.12.2015 (6)
  13. TR/FireHooker.1825 von AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.12.2015 (14)
  14. Trojan.Win32.FireHooker.a gefunden
    Mülltonne - 28.11.2015 (1)
  15. DownloadProtect Extension Version 1.0.0.1 lasst sich nicht vom MS Internet Explorer entfernen
    Log-Analyse und Auswertung - 17.08.2015 (34)
  16. PUP.OPTIONAL.DOWNLOADPROTECT.A durch Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.08.2015 (8)
  17. DownloadProtect 2.2.1 lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 20.07.2014 (7)

Zum Thema nodejs-Malware: FireHooker/DownloadProtect - Zitat: Zitat von M-K-D-B Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link . Malwarebytes erkennt jetzt(?) auch(?) den Download Protect siehe https://www.trojaner-board.de/200031...ml#post1741112 - nodejs-Malware: FireHooker/DownloadProtect...
Archiv
Du betrachtest: nodejs-Malware: FireHooker/DownloadProtect auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.