Zitat:

Zitat von cosinus

Also jetzt kommt irgendwie alles durcheinander

Die Infektion mit nodejs und dem Argument in C:\Packages\... erfolgte ja über ein manipuliertes audacity-setup von der Arschlochseite audacity.de - da hilft ja kein Scriptblocker. Denn das Setup wird nicht vom Browser ausgeführt

Eigentlich ist das auch ein Unding, dass einfach so Software installiert wird, nur weil man mit dem Browser irgendwas ansurft. Wie soll die Malware denn nach C:\Programme und C:\Windows etwas schreiben? Das geht doch nur mit Adminrechten. Was hilft denn da ein Scriptblocker wenn der user eh alles durchwinkt?

Ja gut, dass mit Audacity ist ja eine neue Masche und ganz linke Tour.

und wer alles durchwinkt ist selber schuld.

Ja

Was aber nicht heißen soll, dass sowas wie NoScript nicht sinnvoll ist. Nur bei vielen Laien sehe ich da Probleme, mich nervt NoScript ja schon manchmal richtig...

Das mit der HTA-Datei hatte ich eben nicht mehr auf dem Schirm und da die node.js ja JavaScript ausführt, als auf der Maschine ohne dass man einen Browser dafür benötigt, hatte ich irgendwie das damit in Verbindung gebracht.

Zitat:

Zitat von cosinus

Ja

Was aber nicht heißen soll, dass sowas wie NoScript nicht sinnvoll ist. Nur bei vielen Laien sehe ich da Probleme, mich nervt NoScript ja schon manchmal richtig...

Das mit der HTA-Datei hatte ich eben nicht mehr auf dem Schirm und da die node.js ja JavaScript ausführt, als auf der Maschine ohne dass man einen Browser dafür benötigt, hatte ich irgendwie das damit in Verbindung gebracht.

Ich nutze NoScript und uBlock Origin. Das klappt gut. Meinem Vater wollte ich dass auch installieren aber mit NoScript kommt der nicht klar. uBlock ist schon nicht schlecht aber nicht ausreichend. Ein gutes Addon für Firefox, was man auch installieren kann ist Privacy Badger. Wurde bei SemperVideo vorgeschlagen und funktioniert sehr gut und ist völlig unkompliziert.

" What is Privacy Badger?
Privacy Badger is a browser add-on that stops advertisers and other third-party trackers from secretly tracking where you go and what pages you look at on the web. If an advertiser seems to be tracking you across multiple websites without your permission, Privacy Badger automatically blocks that advertiser from loading any more content in your browser. To the advertiser, it’s like you suddenly disappeared. "

Ältere Menschen und Väter sind mit NoScript nicht kompatibel!
Ich betreibe dafür bei ihm ein pihole

Google listet für"TR/AD Firehooker.BU" natürlich dieses Forum auf Platz 1.
https://bit.ly/34oQAqe

Was danach kommt, ist bis auf wenige Ausnahmen haarsträubend
und fällt unter die Rubrik "Wie macht man Windows endgültig platt"
Seltsam ist, dass sich die Anleitungen in z.T gebrochenem Deutsch sehr ähneln

Lass raten: Und meist soll Enigma Spyhunter helfen.

Einer der wenigen sinnvollen Beiträge im WWW
Delete TR/AD.FireHooker.BU | Malware Fixes

Zitat:

Moderately generally, such files are distribute on false program pages that impersonate the initial ones. Because the one of such TR/AD.FireHooker.BU samples was detected on a bogus Audacity audio app portal, quite a great deal of German people invaded by this viruses, assuming that the it’s legitimate utility installer. Thus, it is crucial to always examine the URL of the address you are getting a tool from (guaranteeing the relation is safeguarded by SSL is also vital, in spite of the fact that it does not ensure anything).

Zitat:

Zitat von stefanbecker

Lass raten: Und meist soll Enigma Spyhunter helfen.

Du darfst auch mal falsch ratenmindestens 4-5 Mal wird bei Seite 1 von Google Reimage als Entfernungsscanner genannt.

Zitat:

Zitat von M-K-D-B

Klar ist das nur die Spitze des Eisbergs... du kannst von Hunderten/Tausenden infizierten Rechnern in Deutschland ausgehen... vielleicht auch mehr.

und es hält weiter an wie man im Board sieht.

https://www.youtube.com/watch?v=s09ypcKr4q8
schade:

Zitat:

2.699 Aufrufe
•26.09.2018

Sollten mehr lesen,. aber wenn hier User aufkreuzen, die schon seit 9 Jahren angemeldet sind...

Zitat:

Ich habe es allerdings gerade getestet und ja, es wird blockiert. Ich gehe davon aus, dass ich die Warnung ignoriert und die Seite dennoch geöffnet habe.

Die Seite ist ziemlich frisch: 10/26/2020
https://docs.microsoft.com/en-us/win...nder-antivirus

Zitat:

By default in Windows 10 (version 2004 and later), Microsoft Defender Antivirus blocks apps that are considered PUA, for Enterprise (E5) devices.

...Configure PUA protection in Microsoft Defender Antivirus

You can enable PUA protection with Microsoft Intune, Microsoft Endpoint Configuration Manager, Group Policy, or via PowerShell cmdlets.

You can also use the PUA audit mode to detect PUAs without blocking them. The detections will be captured in the Windows event log.

Gibt es Erfahrungen dazu?

Zitat:

Zitat von webwatcher

https://www.youtube.com/watch?v=s09ypcKr4q8
schade:
Sollten mehr lesen,. aber wenn hier User aufkreuzen, die schon seit 9 Jahren angemeldet sind...

Vielen Dank für den Link.

Zitat:

Zitat von webwatcher

Die Seite ist ziemlich frisch: 10/26/2020
https://docs.microsoft.com/en-us/win...nder-antivirus

Gibt es Erfahrungen dazu?

Ich kenne dieses Dokument schon länger. Das ist lediglich eine aktualisierte Version bzw. eine neue Version.

Was genau meinst du mit Erfahrungen?

Seit Version 2004 empfehlen wir die Aktivierung des PUA-Schutzes, daher steht es auch in unseren Empfehlungen (Punkt 2.1).

Der PUA-Schutz von Microsoft Defender hat einen echten Mehrwert und blockiert diverse Installer, z. B. von chip oder audacity.

Zitat:

Zitat von M-K-D-B

Der PUA-Schutz von Microsoft Defender hat einen echten Mehrwert und blockiert diverse Installer, z. B. von chip oder audacity.

Wann und wo blockiert er? Hab den PUA enabled und mit audacity getestet.
Aufruf der Seite mit Chrom bis zum Installer wird nicht "kommentiert" bzw geblockt wie bei beim FF Ublock Origin.
Den Download des Installers hab mir erstmal verkniffen. Wo und wie kommt eine Meldung?

Zitat:

Zitat von webwatcher

Wann und wo blockiert er? Hab den PUA enabled und mit audacity getestet.
Aufruf der Seite mit Chrom bis zum Installer wird nicht "kommentiert" bzw geblockt wie bei beim FF Ublock Origin.
Den Download des Installers hab mir erstmal verkniffen. Wo und wie kommt eine Meldung?

Sobald der Download des Installers abgeschlossen ist, schlägt der Echtzeitschutz des Microsoft Defender an und empfiehlt die Löschung der Datei.

Mein Schutzverlauf (siehe Anhang) bestätigt dies.

Zitat:

Zitat von M-K-D-B

Sobald der Download des Installers abgeschlossen ist, schlägt der Echtzeitschutz des Microsoft Defender an und empfiehlt die Löschung der Datei.

So ist es

beim Aufruf von https://www.audacityteam.org/

Zitat:

Error 1020 Ray ID: 5ebcc4ed0dde219f • 2020-11-02 09:18:37 UTC
Access denied
What happened?
This website is using a security service to protect itself from online attacks.

Hat mit Defender nichts zu tun. Zugang mit Smartphone über mobil geht,
über WLAN nicht.

Link zum Thema

Auch Windows Defender kommt jetzt langsam mal in die Gänge... es erkennt zumindest schon mal die .exe im Temp-Ordner:

Zitat:

Name: PUA:Win32/Presenoker
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Windows\Temp\1a17fb08-3ca5-2982-f210-7426d11cf0e1\b537826a-feb0-c0b0-3346-585094983a3a.exe; file:_C:\Windows\Temp\ba53b144-f5c1-21a0-5979-2fbb1e3c1592\132498cc-bfaf-3997-5afa-6e5c7a9fb5bc.exe
Prozessname: C:\Program Files (x86)\nodejs\node.exe

Aber die Tasks sowie die Browser-Extensions werden nicht entdeckt.