Zitat:

Zitat von cosinus

Oder hat hier irgendein betroffener PC kein Avira bzw kein Audacity?

Soweit ich das bisher verfolgt hab, keine "nonavira" Meldung Die Meldungen in der Vergangenheit stammen übrigens afaik auch alle im Zusammenhang mit Avira.

Zitat:

Zitat von help1234

über die deinstallation von Eset werde ich nachdenken, aber es ist eine gekaufte Version, so dass ich dies jetzt nicht übers knie brechen möchte

Weil es Geld kostet, muß es gut sein

Evtl. kommt die Adware beim Herunterladen der Software Audacity von Audacity.de.

So ein Mist... mit aktiviertem PUP-Schutz von Microsoft Defender wird mir der Download der Audacity.exe sofort blockiert.



Edit:
Neuen Pfad entdeckt:

Zitat:

2020-10-05 11:03 - 2020-10-05 11:04 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js
2020-10-05 11:03 - 2020-10-05 11:04 - 000000000 ____D C:\Program Files (x86)\nodejs

Hab mal ne neue Auswertung von so einem "argument" gemacht siehe https://www.virustotal.com/gui/file/...237d96/details

Stand aktuell erkennen den nur Kaspersky, Microsoft und ZoneAlarm by Check Point - wobei aber nur Microsoft den signaturbasiert erkennt, die beiden anderen nur durch eine Heuristik.

Vieleicht hat jemand interesse sich damit auseinander zu setzen:

https://app.any.run/tasks/b9c8829a-e25e-4fee-bb15-e884dd14a62c/

Das sollte der "run" des TR/AD.FireHooker.BU sein.

Evtl. von der Adware angelegter Uninstall-Eintrag:

Zitat:

Node.js (HKLM-x32\...\{E39954D4-8121-44FC-A3D3-DF66254DB891}) (Version: 10.22.1 - Node.js Foundation)

Lasse ich von FRST auslesen.



Edit:
Der Uninstall-Schlüssel verweist auf das Software-Updater Modul von Avira:

Zitat:

[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E39954D4-8121-44FC-A3D3-DF66254DB891}]
"AuthorizedCDFPrefix"=""
"Comments"=""
"Contact"=""
"DisplayVersion"="10.22.1"
"HelpLink"=""
"HelpTelephone"=""
"InstallDate"="20201005"
"InstallLocation"=""
"InstallSource"="C:\ProgramData\Avira\SoftwareUpdater\TempRepository\Patches\"
"ModifyPath"="MsiExec.exe /I{E39954D4-8121-44FC-A3D3-DF66254DB891}"
"Publisher"="Node.js Foundation"
"Readme"=""
"Size"=""
"EstimatedSize"="55390"
"UninstallString"="MsiExec.exe /I{E39954D4-8121-44FC-A3D3-DF66254DB891}"
"URLInfoAbout"=""
"URLUpdateInfo"=""
"VersionMajor"="10"
"VersionMinor"="22"
"WindowsInstaller"="1"
"Version"="169213953"
"Language"="1033"
"DisplayName"="Node.js"

Zitat:

Zitat von M-K-D-B

Edit:
Der Uninstall-Schlüssel verweist auf das Software-Updater Modul von Avira:

Genau den Mist hab ich vermutet. Wenn Avira hinter diese großen Verseuchungsaktion steckt, dann gehört der Laden aber endgültig in Grund und Boden geklagt!

Da stimme ich dir zu... bei dir tippe ich auch auf die audacity.exe als Infektionsweg.

Es herrscht z.Z Rätselraten vor.
https://www.2-spyware.com/remove-tra...hooker-bu.html

Zitat:

TR/AD.FireHooker.BU is the name of an unidentified adware infection that might reside in various places on a Windows system, as well as the web browser. Users reported that they began seeing pop-up messages from Avira security software, which attempted to warn about a threat. In most cases, the security program flags that a suspicious executable, such as 105c6c37-ee2a-2a76-e42c-02506c4d1be0.exe, was detected inside a Windows temp folder.

https://www.reddit.com/r/computervir...m_source=ifttt

Zitat:

Since Monday everytime I start my computer, Avira detects a trojan named "TR/AD.FireHooker.BU".
Its path is: C:\Windows\temp\b1ca503b-94fd-a0bc-e96e458119c3\105c6c37-ee2a-2a76-e42c-02506c4d1be0.exe
Is FireHooker malicious? Is it adware?

Aktuelle Meldungen kommen ansonst fast ausschließlich hier ins Board

Hallo zusammen,

natürlich gehöre ich nicht in den erlauchten Kreis der Experten , aber mein Fall war einer der ersten in der "Neuzeit" seit 30.09., glaube ich.
https://www.trojaner-board.de/200018-win10-trojaner-avira-tr-ad-firehooker-bu-mutmasslich-manipulierte-audacity-exe-node-js-relevant.html#post1740849

Das Audacity-File, von dem meine Infektion aus meiner Sicht kommt, hatte ich schon im Mai installiert (s. Thread + Screenshots). Draufgekommen bin ich nur über den TrendMicro-Artikel, in dem sie über dieses "node_modules" im nodejs-Verzeichnis reden. Das war datumsgleich mit der audacity.exe in meinem Download-Ordner.

https://blog.trendmicro.com/trendlabs-security-intelligence/qnodeservice-node-js-trojan-spread-via-covid-19-lure/

Zitat:

The files contain an embedded “node_modules” folder with libraries for Node.js, which is extracted upon execution. Unlike the Javascript code itself, these libraries are architecture-specific, which is the reason separate files are distributed based on system architecture.

Da geht es wohl um einen anderen Trojaner, aber der Mechanismus scheint mir ähnlich zu sein. Der "böse Mist" steckt irgendwie in diesen Modules. VT hatte kein Problem mit meiner node.exe.

Wenn ihr mich fragt, war das nicht ein SW-Updater von Avira. Den hatte ich nicht drauf (zumindest nicht absichtlich). Das sieht so aus, als wäre Ende September ein Update der Scan-Engine gekommen, das dann die dummen .exe-Files im Windows Temp-Ordner erkennt.

Von einem Tag auf den anderen hatte sich auch die komplette Avira-Tool-Oberfläche hinter dem Systray-Icon verändert.

Nicht schlagen, vielleicht täusche ich mich auch

Das ist aber nunmal ein klarer Hinweis dafür, dass hier eine Komponente von Avira Schuld an der Adware hat. Wenn das kein Vorsatz ist, dann IMHO grobe Fahrlässigkeit falls man sich da diese Softwareupdaterkomponente von irgendwelchen anderen Firmen oder Entwicklern besorgt hat...

Es wirft auf jeden Fall kein gutes Licht auf Avira... ich wünschte, es käme ein Artikel auf heise security oder so raus...

Zitat:

Zitat von M-K-D-B

Es wirft auf jeden Fall kein gutes Licht auf Avira... ich wünschte, es käme ein Artikel auf heise security oder so raus...

Kannst ja mal einen Redakteur anmailen, dass sich da ne Story anbahnt

Zitat:

Zitat von cosinus

Wenn das kein Vorsatz ist, dann IMHO grobe Fahrlässigkeit falls man sich da diese Softwareupdaterkomponente von irgendwelchen anderen Firmen oder Entwicklern besorgt hat...

Aus meiner Sicht macht Vorsatz wenig Sinn: Den guten Ruf eines Produkts, das diese Jahr sowohl bei Stiftung Warentest als auch bei Chip (OK, OK, das hat wenig Gewicht) Testsieger wird, versaut man sich doch nicht mit einer illegalen Aktion. Das ist Selbstmord, das macht noch nicht mal Avira.

Grobe Fahrlässigkeit? Womöglich. Aber Avira will Geld von den Nutzern abgreifen und nicht durch mafiöse Praktiken reich werden

Im Moment stehe ich noch zu meiner These, dass Avira das Ding einfach zufällig seit einem Update entdeckt *g

Zitat:

Das ist Selbstmord, das macht noch nicht mal Avira.

Tjaha, glaubst du nicht was
Die haben ihren Ruf schon vor fast zehn Jahren selbst zerstört siehe https://www.trojaner-board.de/100374...iblue-ask.html

*nachles* OK, das ist unterirdisch. Das erklärt aber auch, warum der Wind hier im TB so gegen Avira weht.

Vor 9 Jahren war das noch anders, da hat Avira mit MKDB wohl einen treuen Kunden verloren.

Zitat:

Ich verwende selbst Avira Free seit mehr als 13 Jahren und war bisher auch voll zufrieden.

Jetzt fliegt Avira bei allen Reinigungen die ich mitgelesen habe als allererstes runter.