https://en.wikipedia.org/wiki/Trojan.Win32.FireHooker

Zitat:

Trojan.Win32.FireHooker or Trojan:Win32/FireHooker is the definition (from Kaspersky Labs) of a Trojan downloader, Trojan dropper, or Trojan spy created for the Windows platform. [1] Its first known detection goes back to September, 2015, according to the AVV Trend Micro.

Defender und andere AV haben dazu keine Meinung.
Das aktuelle gleichzeitige Auftreten hat vermutlich mit irgendeinem Ups was tun....

https://www.trojaner-board.de/200031...ml#post1740919

Zitat:

Zitat von rkunde

Ich habe heute mit Avira Software-Updater alles aktualisiert

false positive ....

Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.

Ich habe Möglichkeit 1 im Verdacht...

Und nur weil VT bei der .exe nichts anzeigt, heißt das nicht zwingend, dass die Datei legitim ist bzw. dass sie nicht für etwas missbraucht wird.

Der zufällige Taskname (meist ein zusammengesetzter Name von Windows-Diensten oder Teilen davon) ist absolut nicht typisch für legitime Software, sondern spricht auch für Adware/PUP... es kann sein, dass die .exe gutartig ist, aber der Task mit den Argumenten ist es definitiv nicht... daher wird das weiter gelöscht.

Edit:
Ich lass mir ab sofort auch einen Export vom Order anzeigen... evtl. gibt es noch andere Komponenten in dem Ordner, die schädlich sind... vielleicht kann man so die Schadkomponente eingrenzen.

Zitat:

Zitat von M-K-D-B

Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.

Hab heute auch eine Auswertung machen lassen siehe https://www.trojaner-board.de/200040...ml#post1741089

edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben

Auswertung bei VT ist echt mies --> https://www.virustotal.com/gui/file/...08ae51/details

Aus diesem Thema:

Zitat:

<Command>C:\Program Files (x86)\nodejs\node.exe</Command>
<Arguments>C:\WINDOWS\Installer\{8E2EC350-56EF-4F2D-9BBC-958DE58DA64F}\{CEFCDC5A-D8C1-45EB-B191-896048718E4C}</Arguments>

Dieser Pfad deutet für mich sehr start auf DownloadProtect hin...


Schau mal Arne, diese FF-Einträge von DownloadProtect sehen ähnlich aus... vergiss sie bitte nicht:

Zitat:

FF HKLM\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi [2020-10-04]
FF HKLM-x32\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi

Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link.

Zitat:

Zitat von M-K-D-B

Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link.

Malwarebytes erkennt jetzt(?) auch(?) den Download Protect siehe https://www.trojaner-board.de/200031...ml#post1741112

Die Adware im FF-Profil erkennt MBAM schon länger, den Task und alles was dazugehört allerdings noch nicht. (korrigiere mich, wenn ich falsch liege)

Zitat:

Zitat von Zeref

Frage mich wo ich mir den Fehler eingefangen habe..

Es muß etwas sein, was "flächendeckend" zum gleichen Zeitpunkt begonnen hat, was meist im Zusammenhang mit einem Update steht.

Zitat:

Zitat von cosinus

edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben

So ist es... die "" braucht man nur für CMD-Befehle...