Zitat:

Zitat von M-K-D-B

Kann ich das auch direkt mit FRST über CMD ansprechen? Wenn ja, wie?

Vllt mit "cmd: " ?!

Code: Alles auswählenAufklappen

ATTFilter

cmd: "C:\Windows\SysWOW64\msiexec.exe /x {0E05CA72-D8DD-432F-A2CC-880034A48577}"
         

Zitat:

Edit:
In über 99% der Fälle ist die Software nodejs nicht von Nutzern installiert, insbesondere wenn es zeitgleich mit audacity oder WebCompanion auf den Rechner gekommen ist.
Dieser Dreck von Lavasoft nervt mich auch schon seit Monaten... AdwCleaner entfernt das Meiste von WebCompanion...

Vor 15-20 Jahren war Lavasoft Ad-Aware so ne Art malwarebytes....aber dann mutierte es zu scheiße

Nochmal: node.js an sich ist legit siehe https://de.wikipedia.org/wiki/Node.js

Node.js ist eine plattformübergreifende Open-Source-JavaScript-Laufzeitumgebung, die JavaScript-Code außerhalb eines Webbrowsers ausführen kann. Damit kann zum Beispiel ein Webserver betrieben werden. Node.js wird in der JavaScript-Laufzeitumgebung „V8“ ausgeführt, die ursprünglich für Google Chrome entwickelt wurde, und bietet eine ressourcensparende Architektur, die eine besonders große Anzahl gleichzeitig bestehender Netzwerkverbindungen ermöglicht.

Zitat:

Zitat von cosinus

Nochmal: node.js an sich ist legit siehe https://de.wikipedia.org/wiki/Node.js

Das bestreitet ja auch keiner. Was ich mit dem Zitat sagen wollte, ist dass es auf Rechnern normaler User offenkundig eher selten vorkommt. Das (der normale User) dürfte doch hier auf dem Board der am häufigsten anzutreffende Fall sein.

Hab eben nochmal meine Windows8-VM mit dem Audcity von audacity.de infiziert. Es kommt neben dem Müll (Javascript-Malware), die nodejs benötigt auch Schwachsinn von Lavasoft rein. Hier mal eine Datei und Regsuche mit FRST nach der Infektion:

Code: Alles auswählenAufklappen

ATTFilter

================== Datei-Suche: "Findfolder: nodejs;lavasoft;webcompanion
nodejs;lavasoft;webcompanion;node.exe" =============

2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\Users\root\AppData\Roaming\Lavasoft
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\Users\root\AppData\Local\Lavasoft
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\ProgramData\Lavasoft
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\ProgramData\Lavasoft\Web Companion\Logs\Webcompanion
2020-10-08 18:54 - 2020-10-08 18:54 _____ C:\Program Files (x86)\Lavasoft
2020-10-08 18:54 - 2020-10-08 18:55 _____ C:\Program Files (x86)\nodejs

====== Ende von Suche ======
         

Code: Alles auswählenAufklappen

ATTFilter

===================== Suchergebnis für "lavasoft" ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\ARP]
"1"="Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
{06b277c4-f364-4096-9b06-eac13192309c}
C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe --uninstall"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Lavasoft]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"Publisher"="Lavasoft"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"DisplayIcon"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionIcon.ico"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"URLInfoAbout"="http://www.lavasoft.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"Contact"="support@lavasoft.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"UninstallString"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe --uninstall"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WCAssistantService]
"ImagePath"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe"

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Lavasoft]

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"FaviconPath"="C:\ProgramData\Lavasoft\Web Companion\Icons\bing.ico"

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"Web Companion"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize "

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\UFH\SHC]
"0"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk
C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe
--startmenu"


===================== Suchergebnis für "webcompanion" ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\ARP]
"1"="Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
{06b277c4-f364-4096-9b06-eac13192309c}
C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe --uninstall"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanionInstaller_RASAPI32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanionInstaller_RASMANCS]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanion_RASAPI32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Tracing\WebCompanion_RASMANCS]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"DisplayIcon"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionIcon.ico"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{06b277c4-f364-4096-9b06-eac13192309c}]
"UninstallString"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe --uninstall"

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com]

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"Web Companion"="C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize "

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\UFH\SHC]
"0"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk
C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe
--startmenu"


===================== Suchergebnis für "node.exe" ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\246E4976B601AE8598C1F02B985905ED]
"27AC50E0DD8DF2342ACC8800434A5877"="C:\Program Files (x86)\nodejs\node.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}]
"ResourceFileName"="C:\Program Files (x86)\nodejs\node.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\{77754e9b-264b-4d8d-b981-e4135c1ecb0c}]
"MessageFileName"="C:\Program Files (x86)\nodejs\node.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}]
"ApplicationIdentity"="C:\Program Files (x86)\nodejs\node.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Perflib\_V2Providers\{793c9b44-3d6b-4f57-b5d7-4ff80adcf9a2}]
"ApplicationIdentity"="C:\Program Files (x86)\nodejs\node.exe"

[HKEY_USERS\S-1-5-21-3617739728-3715507493-3568001795-1004\Software\Microsoft\Windows\CurrentVersion\UFH\SHC]
"2"="C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Node.js\Node.js.lnk
C:\Program Files (x86)\nodejs\node.exe
"

====== Ende von Suche ======
         

Laut virustotal läuft er bei M$ unter dem Alias Trojan:Win32/Occamy.AB

https://www.microsoft.com/en-us/wdsi...tID=2147755095

Zitat:

published May 15, 2020 | Updated
Trojan:Win32/Occamy.AB
Detected by Microsoft Defender Antivirus
Windows Defender Antivirus detects and removes this threat.
This threat can perform a number of actions of a malicious hacker's choice on your PC.

Es könnte sein. dass die User, die nur auf Defender setzen, gar nichts oder nur wenig davon gemerkt haben.

Vielleicht ist es auch genau die Malware, die hier beschrieben wird:
Nodersok: Microsoft warnt vor neuer Malware, die Web-App-Technologie nutzt

Und scheinbar wars das dann auch schon wieder mit Themen diesbezüglich...
Vielleicht haben die Malware-Autoren eine kleine Änderung vorgenommen und die Antivirenprogramme finden nichts mehr... wirklich viel haben sie ja sowieso nicht gefunden.
Dann kann die Malware wieder weiter unbemerkt im Hintergrund arbeiten.

Zitat:

Zitat von M-K-D-B

Dann kann die Malware wieder weiter unbemerkt im Hintergrund arbeiten.

Naja, der Trick mit der node.exe als Task ist ja entlarvt. Fragt sich was die sich noch ausdenken bzw was noch alles lauffähig ist ohne node.exe bzw wenn man diesen ominösen Ordner in %windir%\installer oder %windir%\packages löscht.

Zitat:

Zitat von cosinus

Naja, der Trick mit der node.exe als Task ist ja entlarvt. Fragt sich was die sich noch ausdenken bzw was noch alles lauffähig ist ohne node.exe bzw wenn man diesen ominösen Ordner in %windir%\installer oder %windir%\packages löscht.

Und du denkst, nur weil wir diesen Trick entlarvt haben, hören die damit auf? Es ist unwahrscheinlich, dass die Malware-Autoren in Foren mitlesen und merken... oh, die haben unsere Malware enttarnt, wir müssen was ändern. Die interessieren sich nur dafür, ob ihre Malware von AV-Programmen erkannt werden, weil sie genau wissen, dass sich fast alle Menschen blind auf diese Tools verlassen.

Die meisten/fast alle/falle AV-Hersteller haben diese Malware doch gar nicht auf dem Schirm. Wer erkennt denn diese Malware richtig/vollständig, sobald sie auf einem System ist?

Das Thema Firehooker scheint ausgestanden zu sein. Vielleicht noch ein paar Nachzügler.

Mal sehen, ob das ein neuer Kandidat ist: Misleading:Win32/Lodi Virus

in diesem Zusammenhang hab ich mal bei M$ gestöbert:
https://www.microsoft.com/en-us/wdsi...hreatID=268893

Zitat:

Misleading:Win32/Lodi!MTB
Detected by Microsoft Defender Antivirus

https://support.microsoft.com/en-us/...infect-your-pc

Zitat:

How malware can infect your PC
Applies to: SecurityWindows
These are some of the most common ways that your devices can get infected with malware.

https://support.microsoft.com/en-us/help/4562299

Zitat:

Protect your PC from potentially unwanted applications

Zitat:

Um die potenziell unerwünschte App-Blockierung zu aktivieren, gehen Sie zu Start> Einstellungen> Update & Sicherheit> Windows-Sicherheit> App- und Browsersteuerung> Zuverlässigkeitsbasierter > Schutz > Potentiell unerwünschte Apps werden blockiert

Gibt es Erfahrungen über Handhabung und Zuverlässigkeit? nach welchen Kriterien wird blockiert?

So, nochmal nachgeschaut, was mit der der Datei (siehe Beitrag #20), die zuerst am 4. Oktober ausgewertet wurde, nun erkennen 19 Scanner da was

Aber was nützt wenn dieser JavaScript auf jeder Maschine anders verschleiert ist...

Das Fazit ist wiedermal. Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker.....

Zitat:

Zitat von Darklord666

Das Fazit ist wiedermal. Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker.....

Ublock origin warnt vor audacity.de. Wer nichts dergleichen nutzt, dem fehlt dieser erste proaktive Schutz, genau.
Nicht umsonst empfehlen wir dieses Add-on schon länger. Es hat sich schon mehrfach gezeigt, dass "ublock origin" dem Add-on "Adblock Plus" überlegen ist.

Zitat:

Zitat von Darklord666

Das Fazit ist wiedermal. Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker,Nutzt Skriptblocker.....

Das hat doch nichts damit zun, JavaScript oder anderen Krempel im Browser zu blockieren. Diese JavaScript-Malware wird nicht im Browser ausgeführt, was meinst du wohl wofür die node.exe da ist

Zitat:

Zitat von cosinus

Das hat doch nichts damit zun, JavaScript oder anderen Krempel im Browser zu blockieren. Diese JavaScript-Malware wird nicht im Browser ausgeführt, was meinst du wohl wofür die node.exe da ist

HÄ? Steht doch in dem Beitrag das Ad-/Skriptblocker nutzen.

"Ausgangspunkt der Infektion soll dabei eine HTA-Datei, also eine ausführbare HTML-Datei, sein, die Nutzer etwa per Klick auf einer entsprechend präparierten Website herunterladen oder über eine Schadwerbung eingespielt bekommen. Diese beinhaltet verschlüsselte Skripte, die auf der Powershell, mit VBA und mit JavaScript arbeiten. Auf der Ebene der Powershell, also auf der Kommandozeile, versucht das Skript zunächst, den Windows Defender abzuschalten, um die weiteren Schritte ungestört gehen zu können."