Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: nodejs-Malware: FireHooker/DownloadProtect

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 05.10.2020, 21:18   #46
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Es wirft auf jeden Fall kein gutes Licht auf Avira... ich wünschte, es käme ein Artikel auf heise security oder so raus...
Kannst ja mal einen Redakteur anmailen, dass sich da ne Story anbahnt
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.10.2020, 21:52   #47
LordSoth
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von cosinus Beitrag anzeigen
Wenn das kein Vorsatz ist, dann IMHO grobe Fahrlässigkeit falls man sich da diese Softwareupdaterkomponente von irgendwelchen anderen Firmen oder Entwicklern besorgt hat...
Aus meiner Sicht macht Vorsatz wenig Sinn: Den guten Ruf eines Produkts, das diese Jahr sowohl bei Stiftung Warentest als auch bei Chip (OK, OK, das hat wenig Gewicht) Testsieger wird, versaut man sich doch nicht mit einer illegalen Aktion. Das ist Selbstmord, das macht noch nicht mal Avira.

Grobe Fahrlässigkeit? Womöglich. Aber Avira will Geld von den Nutzern abgreifen und nicht durch mafiöse Praktiken reich werden

Im Moment stehe ich noch zu meiner These, dass Avira das Ding einfach zufällig seit einem Update entdeckt *g
__________________


Alt 05.10.2020, 21:57   #48
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Das ist Selbstmord, das macht noch nicht mal Avira.
Tjaha, glaubst du nicht was
Die haben ihren Ruf schon vor fast zehn Jahren selbst zerstört siehe https://www.trojaner-board.de/100374...iblue-ask.html
__________________
__________________

Alt 05.10.2020, 22:11   #49
LordSoth
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



*nachles* OK, das ist unterirdisch. Das erklärt aber auch, warum der Wind hier im TB so gegen Avira weht.

Vor 9 Jahren war das noch anders, da hat Avira mit MKDB wohl einen treuen Kunden verloren.

Zitat:
Ich verwende selbst Avira Free seit mehr als 13 Jahren und war bisher auch voll zufrieden.
Jetzt fliegt Avira bei allen Reinigungen die ich mitgelesen habe als allererstes runter.

Alt 05.10.2020, 22:21   #50
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Ist ja nicht nur Avira. Es folgten auch AVG, Avast und Panda. Später wurde dann AVG von Avast gekauft. Wir hatten dann eigentlich nur noch diese empfohlen

- Microsoft bzw Windows Defender
- Emsisoft
- Malwarebytes

Wovon wir immer schon abgeraten hatten: irgendwelche Suites.

Kaspersky hat sich später auch disqualifiziert, die reagierten sehr dünnhäutig nach einer Empfehlung eines Mozilla-Devs, der meinte, dass die derzeitigen Virenscanner viel mehr Schaden anrichten als dass die etwas nützen und man sie deswegen alle deinstallieren sollte - bei Kaspersky war immer das Aufbrechen von SSL/TLS-Verbindungen (also die Verschlüsselung bei HTTPS ab absurdum geführt) aktiv.

Da es überhaupt keinen Sinn mehr macht, die Kohle in Virenscanner zu stecken, rate ich auch immer öfter von jeglichen fremden AVs ab. Auch ESET und GDATA, meistens seh ich eh immer nur die depperte Suite hier in den Log. Der Microsoft bzw Windows Defender läuft wesentlich besser und reibungsloser. Malwarebytes ist da noch eine Ausnahme.
Das Geld für den gesparten AV steckt man besser in Backuphardware und wenn nötig Backupsoftware wie zB drivesnapshot.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.10.2020, 22:26   #51
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Übrigens wir hatten damals legendäre Diskussionen geführt. schrauber vs kronos-Kraktenking und purzelbär

Natürlich war auch andere in der Diskussion dabei und mussten ihren Senf dazugeben, ziehs dir rein

Avast 2016

Kostenlose Antivirensoftware

Windows 10 Virenschutz mit Defender

Freeware Virenschutz Programme von Qihoo, Baidu und Tencent
__________________
--> nodejs-Malware: FireHooker/DownloadProtect

Alt 06.10.2020, 08:05   #52
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



https://www.av-test.org/de/antivirus...ler/microsoft/


Der Kandidat hat 18 Punkte: Noch Fragen?
__________________
Glaub ja nicht, was du denkst, wer ich bin

Alt 06.10.2020, 15:32   #53
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Registry Suche:
Zitat:
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Node.js]
"InstallPath"="C:\Program Files (x86)\nodejs\"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\4D45993E1218CF443A3DFD6652D48B19]
"ProductName"="Node.js"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4D45993E1218CF443A3DFD6652D48B19\InstallProperties]
"Publisher"="Node.js Foundation"

[HKEY_USERS\.DEFAULT\Software\Node.js]

[HKEY_USERS\S-1-5-21-3995867601-392258793-4093243257-1000\SOFTWARE\Node.js]

Alt 07.10.2020, 10:14   #54
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Ich glaube, ich konnte soeben den Übeltäter identifizieren: Müllsetup von audacity.de

Dreimal dürft ihr raten, was ich für eine Infektion hatte, nachdem audacity über die audacity2-4-2.exe von audacity installiert wurde:

https://www.virustotal.com/gui/file/...d9c0/detection
https://www.virustotal.com/gui/file/...0479/detection

Code:
ATTFilter
Task: {14480E7D-8E43-4515-AAAB-1FC06555DEA7} - System32\Tasks\Windows Offlinedateien Redirector-Treiber => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
Task: {8B0FB464-2415-44DF-8CC6-509A58D85044} - System32\Tasks\AutomatischeKonfigurationAnwendungsinformationen => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
         
Code:
ATTFilter
 Verzeichnis von C:\Program Files (x86)\nodejs

07.10.2020  10:38    <DIR>          .
07.10.2020  10:38    <DIR>          ..
02.05.2017  16:07        15.017.624 node.exe
22.12.2016  18:01               702 nodevars.bat
02.05.2017  15:54             9.009 node_etw_provider.man
07.10.2020  10:36    <DIR>          node_modules
22.12.2016  18:01             4.974 node_perfctr_provider.man
16.11.2016  19:45               867 npm
16.11.2016  19:45               483 npm.cmd
               6 Datei(en),     15.033.659 Bytes
         


Code:
ATTFilter
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Author>root</Author>
    <Description>Verarbeitet Anwendungskompatibilitäts-Cacheanforderungen beim Start von Anwendungen.</Description>
  </RegistrationInfo>
  <Triggers>
    <BootTrigger>
      <StartBoundary>2020-10-07T10:49:01</StartBoundary>
      <Enabled>true</Enabled>
      <Delay>PT3M</Delay>
    </BootTrigger>
    <CalendarTrigger>
      <StartBoundary>2020-10-07T10:49:01</StartBoundary>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>HighestAvailable</RunLevel>
      <LogonType>InteractiveToken</LogonType>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>true</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>true</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>true</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
    <RestartOnFailure>
      <Interval>PT3M</Interval>
      <Count>5</Count>
    </RestartOnFailure>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>"C:\Program Files (x86)\nodejs\node.exe"</Command>
      <Arguments>"C:\ProgramData\Package Cache\{91C45BC0-5946-438D-A032-C7B98109067C}\{48AC82DE-1374-4BA0-81F4-0422B6969F55}"</Arguments>
    </Exec>
  </Actions>
</Task>
         
Code:
ATTFilter
<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Author>SYSTEM</Author>
    <Description>Der Diagnoserichtliniendienst ermöglicht die Problemerkennung,  Problembehandlung und Lösung für Windows-Komponenten. Wenn dieser Dienst beendet wird, funktioniert die Diagnose nicht mehr.</Description>
  </RegistrationInfo>
  <Triggers>
    <BootTrigger>
      <StartBoundary>2020-10-07T10:49:26</StartBoundary>
      <Enabled>true</Enabled>
      <Delay>PT3M</Delay>
    </BootTrigger>
    <CalendarTrigger>
      <StartBoundary>2020-10-07T10:49:26</StartBoundary>
      <Enabled>true</Enabled>
      <ScheduleByDay>
        <DaysInterval>1</DaysInterval>
      </ScheduleByDay>
    </CalendarTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">
      <RunLevel>HighestAvailable</RunLevel>
      <UserId>SYSTEM</UserId>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>true</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>true</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>true</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
    <RestartOnFailure>
      <Interval>PT1M</Interval>
      <Count>5</Count>
    </RestartOnFailure>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>C:\Program Files (x86)\nodejs\node.exe</Command>
      <Arguments>C:\Windows\Installer\{BF342F7F-DB67-4B9B-88D1-D5880C8C075F}\{AED9FBB5-78A6-4F5A-B9D5-64515310E7E7}</Arguments>
    </Exec>
  </Actions>
</Task>
         
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.10.2020, 10:22   #55
schlawack
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Bei mir lässt der Virenschutz den Download von audacity auf deren Homepage nicht zu:
__________________
Windows 10 64 Pro 22H2

Alt 07.10.2020, 10:26   #56
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Dafür braucht man aber keinen Bloat von F-Secure. Das Firefox Addon uBlock Origin blockt sowas wie vlc.de und audacity auch
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.10.2020, 10:28   #57
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Dafür braucht´s kein Virenverhüterli:
Zitat:
uBlock Origin hat das Laden der folgenden Seite verhindert:

h**ps://www.audacity.de/
PS: @cosinus warst schneller
__________________
Glaub ja nicht, was du denkst, wer ich bin

Alt 07.10.2020, 13:30   #58
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Zitat:
Zitat von cosinus Beitrag anzeigen
Dafür braucht man aber keinen Bloat von F-Secure. Das Firefox Addon uBlock Origin blockt sowas wie vlc.de und audacity auch
F-Secure ist nun wirklich nicht notwendig.

uBlock origin genügt, um nicht auf die Seite zu kommen. Nicht umsonst empfehlen wir dieses Add-on schon länger.

Der Microsoft Defender (Windows Defender) mit aktiviertem PUP-Schutz schnappt sich auch die Installationsdatei, sobald man sie heruntergeladen hat.
Also auch wenn jemand nicht uBlock origin nutzt, wird er durch Microsoft Defender (Windows Defender) geschützt.



MBAM reagiert nun auch langsam:
Zitat:
-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, C:\Program Files (x86)\nodejs\node.exe, Blockiert, -1, -1, 0.0.0, ,

-Website-Daten-
Kategorie: Trojaner
Domäne: de.mynodejs.net
IP-Adresse: 104.18.42.96
Port: 80
Typ: Ausgehend
Datei: C:\Program Files (x86)\nodejs\node.exe

Geändert von M-K-D-B (07.10.2020 um 13:40 Uhr)

Alt 07.10.2020, 15:32   #59
webwatcher
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



https://www.2-spyware.com/remove-tra...hooker-bu.html
Zitat:
Since the one of the TR/AD.FireHooker.BU samples was found on a fake Audacity audio app website, many German users infected with this malware, believing that the it is legitimate program installer.
__________________
Glaub ja nicht, was du denkst, wer ich bin

Alt 07.10.2020, 16:17   #60
M-K-D-B
/// TB-Ausbilder
 
nodejs-Malware: FireHooker/DownloadProtect - Standard

nodejs-Malware: FireHooker/DownloadProtect



Das einzige Tool, das diese Malware seit Beginn des neuen "Ausbruchs" auflistet, ist FRST.
Ich hatte den Task damals (Anfang 2019) gemeldet, als es mir aufgefallen war.
Ich muss mal farbar ansprechen, ob er uns die Argument-Zeile aus dem Task auch noch auslesen kann...

Andererseits will ich mir gar nicht ausmalen, wie viele Hunderte/Tausende deutsche Nutzer sich mit dieser infizierten audacity.exe Malware auf den PC geholt haben und bis jetzt nichts davon wissen...

Antwort

Themen zu nodejs-Malware: FireHooker/DownloadProtect
tr/ad.firehooker.bu



Ähnliche Themen: nodejs-Malware: FireHooker/DownloadProtect


  1. Win 10 TR/AD.FireHooker.BU
    Log-Analyse und Auswertung - 14.10.2020 (36)
  2. Win 10: TR/AD Firehooker.BU
    Log-Analyse und Auswertung - 04.10.2020 (10)
  3. TR/AD.Firehooker.BU
    Log-Analyse und Auswertung - 04.10.2020 (10)
  4. TR/AD.FireHooker.B
    Log-Analyse und Auswertung - 30.05.2019 (32)
  5. Neuer 2 Fragen: Windows10 PC PUP.DownloadProtect.Heuristic / Anrufe von den Osterinseln
    Plagegeister aller Art und deren Bekämpfung - 11.07.2018 (4)
  6. Neuer 2 Fragen: Windows10 PC PUP.DownloadProtect.Heuristic / Anrufe von den Osterinseln
    Mülltonne - 07.07.2018 (1)
  7. Was ist nodejs. ?
    Log-Analyse und Auswertung - 01.04.2017 (11)
  8. FireHooker im System32 ordner
    Plagegeister aller Art und deren Bekämpfung - 17.03.2016 (12)
  9. Windows 8.1 Trojan.Win32.Firehooker.a
    Log-Analyse und Auswertung - 07.03.2016 (15)
  10. Malwarebytes findet 35x PUB.Optional DownloadProtect Malware
    Plagegeister aller Art und deren Bekämpfung - 12.02.2016 (9)
  11. Trojaner Firehooker 18.25 eingefangen
    Log-Analyse und Auswertung - 17.12.2015 (17)
  12. TR/FireHooker.1825 und DownloadProtect
    Log-Analyse und Auswertung - 08.12.2015 (6)
  13. TR/FireHooker.1825 von AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.12.2015 (14)
  14. Trojan.Win32.FireHooker.a gefunden
    Mülltonne - 28.11.2015 (1)
  15. DownloadProtect Extension Version 1.0.0.1 lasst sich nicht vom MS Internet Explorer entfernen
    Log-Analyse und Auswertung - 17.08.2015 (34)
  16. PUP.OPTIONAL.DOWNLOADPROTECT.A durch Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.08.2015 (8)
  17. DownloadProtect 2.2.1 lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 20.07.2014 (7)

Zum Thema nodejs-Malware: FireHooker/DownloadProtect - Zitat: Zitat von M-K-D-B Es wirft auf jeden Fall kein gutes Licht auf Avira... ich wünschte, es käme ein Artikel auf heise security oder so raus... Kannst ja mal einen - nodejs-Malware: FireHooker/DownloadProtect...
Archiv
Du betrachtest: nodejs-Malware: FireHooker/DownloadProtect auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.