Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.

Ich habe Möglichkeit 1 im Verdacht...

Und nur weil VT bei der .exe nichts anzeigt, heißt das nicht zwingend, dass die Datei legitim ist bzw. dass sie nicht für etwas missbraucht wird.

Der zufällige Taskname (meist ein zusammengesetzter Name von Windows-Diensten oder Teilen davon) ist absolut nicht typisch für legitime Software, sondern spricht auch für Adware/PUP... es kann sein, dass die .exe gutartig ist, aber der Task mit den Argumenten ist es definitiv nicht... daher wird das weiter gelöscht.

Edit:
Ich lass mir ab sofort auch einen Export vom Order anzeigen... evtl. gibt es noch andere Komponenten in dem Ordner, die schädlich sind... vielleicht kann man so die Schadkomponente eingrenzen.

Zitat:

Zitat von M-K-D-B

Ich habe eine dieser {GUID}-Dateien bei VT überprüfen lassen.

Hab heute auch eine Auswertung machen lassen siehe https://www.trojaner-board.de/200040...ml#post1741089

edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben

Auswertung bei VT ist echt mies --> https://www.virustotal.com/gui/file/...08ae51/details

Aus diesem Thema:

Zitat:

<Command>C:\Program Files (x86)\nodejs\node.exe</Command>
<Arguments>C:\WINDOWS\Installer\{8E2EC350-56EF-4F2D-9BBC-958DE58DA64F}\{CEFCDC5A-D8C1-45EB-B191-896048718E4C}</Arguments>

Dieser Pfad deutet für mich sehr start auf DownloadProtect hin...


Schau mal Arne, diese FF-Einträge von DownloadProtect sehen ähnlich aus... vergiss sie bitte nicht:

Zitat:

FF HKLM\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi
FF Extension: ( ) - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi [2020-10-04]
FF HKLM-x32\...\Firefox\Extensions: [{21AAF3C3-8175-4C8D-87FD-39850D93AED5}] - C:\WINDOWS\Installer\{C194A732-C141-47B1-927A-2408A8446784}\{21AAF3C3-8175-4C8D-87FD-39850D93AED5}.xpi

Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link.

Zitat:

Zitat von M-K-D-B

Ich habe die hochgeladene Datei erneut bei VT analysieren lassen, Microsoft schlägt jetzt auch an, Link.

Malwarebytes erkennt jetzt(?) auch(?) den Download Protect siehe https://www.trojaner-board.de/200031...ml#post1741112

Die Adware im FF-Profil erkennt MBAM schon länger, den Task und alles was dazugehört allerdings noch nicht. (korrigiere mich, wenn ich falsch liege)

Zitat:

Zitat von Zeref

Frage mich wo ich mir den Fehler eingefangen habe..

Es muß etwas sein, was "flächendeckend" zum gleichen Zeitpunkt begonnen hat, was meist im Zusammenhang mit einem Update steht.

Zitat:

Zitat von webwatcher

Es muß etwas sein, was "flächendeckend" zum gleichen Zeitpunkt begonnen hat, was meist im Zusammenhang mit einem Update steht.

Hat Avira nicht so einen Auto-Updater, der andere installierte Programme aktuell halten soll? Wenn ja wird vermutlich über diesen Kanal irgendein Mist reingekommen sein.

Ich finde es jedenfalls ziemlich auffällig, dass eigentlich auf allen betroffenen Rechnern Avira und Audacity installiert ist. Oder hat hier irgendein betroffener PC kein Avira bzw kein Audacity?

BTW: hab mal alle FireHooker-Beiträge in einen neuen Thread verschoben, hat ja nichts mehr mit der F.txt zu tun.

Zitat:

Zitat von cosinus

edit: hatte da wohl einen Syntaxfehler drin, im FRST-Fix, beim Kommando 'Virustotal:' darf man anscheinend die Dateiangabe nicht in "" angeben

So ist es... die "" braucht man nur für CMD-Befehle...