Das einzige Tool, das diese Malware seit Beginn des neuen "Ausbruchs" auflistet, ist FRST.
Ich hatte den Task damals (Anfang 2019) gemeldet, als es mir aufgefallen war.
Ich muss mal farbar ansprechen, ob er uns die Argument-Zeile aus dem Task auch noch auslesen kann...

Andererseits will ich mir gar nicht ausmalen, wie viele Hunderte/Tausende deutsche Nutzer sich mit dieser infizierten audacity.exe Malware auf den PC geholt haben und bis jetzt nichts davon wissen...

Könnt ihr mir bitte mal mit der Begrifflichkeit Adware vs. Malware helfen, so wie ihr das hier verwendet.

Bisher definiere ich so:
Adware: lästig, aber im Grunde harmlos
Malwäre: Lange unauffällig aber dann echt gefährlich/teuer/schmerzhaft

Der Thread heißt aber schon:

Zitat:

nodejs-Malware: FireHooker/DownloadProtect

Das aktuelle Thema mit Firehooker nennt ihr hier aber oft "Adware".

Während ich mit MKDB an meinem Rechner dran war und sicher auch zwischendurch mal kein AV aktiv war (Avira deinstalliert, MSD "gehemmt"), hat der Firehooker scheinbar weitere scheduled tasks bei mir eingehängt. "Bitlocker" ist hier vermutlich nur Tarnung, oder?

Zitat:

Task: {667785F6-A029-42EE-829E-E8F0F8EBADD3} - System32\Tasks\Windows-Prozessaktivierungsdienst Peernetzwerkidentitäts-Manager USB => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG
Task: {707BB486-E267-4C29-893D-E6E180FA0989} - System32\Tasks\BitLocker-LaufwerkverschlüsselungsdienstfürAnwendungsinformationen => C:\Program Files (x86)\nodejs\node.exe [15017624 2017-05-02] (Node.js Foundation -> Node.js) <==== ACHTUNG

Wenn man AD.Firehooker.BU weiter werkeln lassen würde, wäre das dann nur "lästig" oder eher "gefährlich"? Was könnte diese ?Adware? denn schlimmstenfalls anstellen? Malware nachladen? Der Mechanismus selbst scheint ja gemäß des bereits zitierten Trendmicro Blogs zu mehr zu taugen.

Nachtrag:
Wenn die jeweilige AV-Engine außer Gefecht gesetzt wird, wird es zumindest indirekt sozusagen als Kollateralschaden gefährlich. Auch wenn die "Adware" selbst nur lästig ist.

Zitat:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG

Bei mir scannte der MSD bei manuell gestartetem Scan gerade mal 9 Files, weil C:\ komplett ausgeschlossen war.

Zitat:

Zitat von LordSoth

Bisher definiere ich so:
Adware: lästig, aber im Grunde harmlos
Malwäre: Lange unauffällig aber dann echt gefährlich/teuer/schmerzhaft

Die Abgrenzung ist unscharf. Nicht immer ist auf Anhieb zu erkennen zu welcher
Kategorie es genau gehört. Es ist mir auch nicht klar, ob es 2015-2019 ( mit demselben Namen) derselbe Type ist.
https://www.trojaner-board.de/174101...-gefunden.html

https://www.2-spyware.com/remove-tra...hooker-bu.html

Zitat:

TR/AD.FireHooker.BU is the name of an unidentified adware infection that might reside in various places on a Windows system, as well as the web browser.

https://en.wikipedia.org/wiki/Trojan.Win32.FireHooker

Zitat:

Trojan.Win32.FireHooker or Trojan:Win32/FireHooker is the definition (from Kaspersky Labs) of a Trojan downloader, Trojan dropper, or Trojan spy created for the Windows platform. [1] Its first known detection goes back to September, 2015, according to the AVV Trend Micro.

und wieder einer, mal sehen wie lang das geht:
https://www.trojaner-board.de/200086...ml#post1741517

Zitat:

Zitat von MathiGEO

Avira meldet seit dem 30.09 jeden Tag um 16:00 Uhr den Fund von "TR/AD.FireHooker.BU". Ich habe einige Tage zuvor OBS, Audacity, DaVinci Resolve und GIMP installiert.

Zitat:

Zitat von LordSoth

Könnt ihr mir bitte mal mit der Begrifflichkeit Adware vs. Malware helfen, so wie ihr das hier verwendet.

Bisher definiere ich so:
Adware: lästig, aber im Grunde harmlos
Malwäre: Lange unauffällig aber dann echt gefährlich/teuer/schmerzhaft

Malware ist der Überbegriff für jegliche Art von Schadsoftware und beinhaltet alles... von harmloser Adware, über Spyware, Trojaner, Keylogger, Würmer, Viren, etc. bis zum sehr gefährlichen Rootkit.

PUP/PUA (Potentially Unwanted programs/Potentially Unwanted Application) gibt es auch noch... für mich ist das eine "abgeschwächte Form" der Adware, die oft über Drittanbieter-Software ungewollt mit auf dem Rechner kommt, das System verlangsamen und selbst weitere PUP/PUA nachladen kann.


Die "Nodejs-Malware" lädt weitere Adware/PUP nach, z. B. DownloadProtect.
Was es sonst noch macht, kann ich dir nicht sagen... daher ist auch eine genaue Eingruppierung schwer.

Ok, die Beiträge waren definitiv aufschlussreich. Ich verstehe jetzt immerhin etwas besser worum es geht. Werde logischerweise trotzdem nix selbst verändern weil ich offenkundig überhaupt keine Ahnung habe was ich mache.
Hätte mir in Retrospektive allerdings auch selbst denken müssen das der Download von Audacity nicht auf einer deutschen Website angeboten wird.

h**ps://www.audacity.de/
Kontakt=Impressum dieser Verseuchungsseite ist ein Bild.
für Google abgetippt:

Zitat:

iWeb Media Ltd.

CEO: Marco Mercieca
International House, Mdina Road
BRK 3000 Birkirka
Malta

Email: info@iweb-media.net
Phone: +356 222 632 20

Dank DENIC ist der Registrant de facto anonym

https://protipps24.com/de/impressum/

Zitat:

Ads Optimizer Pro Ltd
International House, Mdina Road, Mriehel
BKR
3000 Birkirkara

Handelsregister: C62366
Registergericht: Amtsgericht Valetta

Vertreten durch die Geschäftsführer:
Marco Mercieca

und weiter gehts https://aop-ltd.com/imprint/

Müssen wir eigentlicher unebdingt die nodejs Ordner und Registryobjekte mit FRST aus dem System kloppen? Die nodejs selbst ist ja keine Malware und nach meinem gestrigen Test hab ich im Startmenu sogar einen uninstall Eintrag für nodejs gefunden

Zitat:

Zitat von cosinus

Müssen wir eigentlicher unebdingt die nodejs Ordner und Registryobjekte mit FRST aus dem System kloppen? Die nodejs selbst ist ja keine Malware und nach meinem gestrigen Test hab ich im Startmenu sogar einen uninstall Eintrag für nodejs gefunden

Den Uninstall-Eintrag findet man aber nicht in jedem Thema... eher fast nirgends.
Ich hau alles weg, weil es für mich PUP ist.

Mal eine kommerzielle Frage: Auf welchem Weg/wie profitieren/kassieren diese Typen?

Die machen das doch nicht für lau.

Zitat:

Zitat von webwatcher

Mal eine kommerzielle Frage: Auf welchem Weg/wie profitieren/kassieren diese Typen?

Die machen das doch nicht für lau.

Kommt drauf an, was die mit dieser malware überhaupt erreichen wollen. Erpressungsversuche durch Verschlüsselungen scheinen es ja noch nicht bisher zu sein.

Zitat:

Zitat von M-K-D-B

Den Uninstall-Eintrag findet man aber nicht in jedem Thema... eher fast nirgends.
Ich hau alles weg, weil es für mich PUP ist.

Manche haben aber nodejs drauf, weil sie es wirklich brauchen. Zerkloppt man dann nicht deren legitime Installation?

Zitat:

Zitat von cosinus

Manche haben aber nodejs drauf, weil sie es wirklich brauchen. Zerkloppt man dann nicht deren legitime Installation?

Bei mir war nodejs auch erst nach der audacity.exe Installation da. Das scheint der wahrscheinlichste Fall zu sein, wenn man dem bereits öfters zitierten TrendMicro Blog Glauben schenken darf.

Zitat:

The use of Node.js is an unusual choice for malware authors writing commodity malware, as it is primarily designed for web server development, and would not be pre-installed on machines likely to be targeted. However, the use of an uncommon platform may have helped evade detection by antivirus software.

Mann könnte ja abfragen, ob jemand die node.exe kennt und braucht. Wenn die Antwort "Was brauch ich?" lautet, kann's weg.

Zitat:

Zitat von LordSoth

Mann könnte ja abfragen, ob jemand die node.exe kennt und braucht. Wenn die Antwort "Was brauch ich?" lautet, kann's weg.

Glaube kaum, dass die jemand braucht
http://deinstallierenvonspyware.blog...einfachen.html

Zitat:

Was wissen Sie über Node.exe Miner?
In diesen Computertechnologien wächst die Virusinfektion schnell. Unter allen Systeminfektionen, Node.exe Miner Ist eine der häufigsten Infektionen, die von der Anzahl der Computer-Nutzer Opfer wurde. Speziell wurde es von einem Team von Cyber-Hackern entworfen und erstellt, zusammen mit der alleinigen Absicht, Online-Einnahmen aus dem unschuldigen Benutzer zu verdienen. Um Online-Gewinn zu verdienen, führt sein Autor eine Reihe von bösartigen Aktivitäten durch. Es ist in der Lage, fast alle Web-Browser zu infizieren und System Das läuft auf Windows-basiertes Betriebssystem.

Zitat:

Zitat von M-K-D-B

Den Uninstall-Eintrag findet man aber nicht in jedem Thema... eher fast nirgends.
Ich hau alles weg, weil es für mich PUP ist.

Ich konnte folgenden uninstall string aus der Verknüpfung abgreifen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\SysWOW64\msiexec.exe /x {0E05CA72-D8DD-432F-A2CC-880034A48577}
         

Wenn der immer gleich ist, könnte man darüber das ungewollte (und btw auch stark veraltete!) node.js deinstallieren!

Kann ich das auch direkt mit FRST über CMD ansprechen? Wenn ja, wie?

Edit:
In über 99% der Fälle ist die Software nodejs nicht von Nutzern installiert, insbesondere wenn es zeitgleich mit audacity oder WebCompanion auf den Rechner gekommen ist.
Dieser Dreck von Lavasoft nervt mich auch schon seit Monaten... AdwCleaner entfernt das Meiste von WebCompanion...