nodejs-Malware: FireHooker/DownloadProtect

cosinus · 08.10.2020, 16:32

Müssen wir eigentlicher unebdingt die nodejs Ordner und Registryobjekte mit FRST aus dem System kloppen? Die nodejs selbst ist ja keine Malware und nach meinem gestrigen Test hab ich im Startmenu sogar einen uninstall Eintrag für nodejs gefunden

M-K-D-B · 08.10.2020, 16:39

Zitat:

Zitat von cosinus

Müssen wir eigentlicher unebdingt die nodejs Ordner und Registryobjekte mit FRST aus dem System kloppen? Die nodejs selbst ist ja keine Malware und nach meinem gestrigen Test hab ich im Startmenu sogar einen uninstall Eintrag für nodejs gefunden

Den Uninstall-Eintrag findet man aber nicht in jedem Thema... eher fast nirgends.
Ich hau alles weg, weil es für mich PUP ist.

webwatcher · 08.10.2020, 16:50

Mal eine kommerzielle Frage: Auf welchem Weg/wie profitieren/kassieren diese Typen?

Die machen das doch nicht für lau.

cosinus · 08.10.2020, 16:56

Zitat:

Zitat von webwatcher

Mal eine kommerzielle Frage: Auf welchem Weg/wie profitieren/kassieren diese Typen?

Die machen das doch nicht für lau.

Kommt drauf an, was die mit dieser malware überhaupt erreichen wollen. Erpressungsversuche durch Verschlüsselungen scheinen es ja noch nicht bisher zu sein.

cosinus · 08.10.2020, 17:10

Zitat:

Zitat von M-K-D-B

Den Uninstall-Eintrag findet man aber nicht in jedem Thema... eher fast nirgends.
Ich hau alles weg, weil es für mich PUP ist.

Manche haben aber nodejs drauf, weil sie es wirklich brauchen. Zerkloppt man dann nicht deren legitime Installation?

LordSoth · 08.10.2020, 18:05

Zitat:

Zitat von cosinus

Manche haben aber nodejs drauf, weil sie es wirklich brauchen. Zerkloppt man dann nicht deren legitime Installation?

Bei mir war nodejs auch erst nach der audacity.exe Installation da. Das scheint der wahrscheinlichste Fall zu sein, wenn man dem bereits öfters zitierten TrendMicro Blog Glauben schenken darf.

Zitat:

The use of Node.js is an unusual choice for malware authors writing commodity malware, as it is primarily designed for web server development, and would not be pre-installed on machines likely to be targeted. However, the use of an uncommon platform may have helped evade detection by antivirus software.

Mann könnte ja abfragen, ob jemand die node.exe kennt und braucht. Wenn die Antwort "Was brauch ich?" lautet, kann's weg.

webwatcher · 08.10.2020, 18:09

Zitat:

Zitat von LordSoth

Mann könnte ja abfragen, ob jemand die node.exe kennt und braucht. Wenn die Antwort "Was brauch ich?" lautet, kann's weg.

Glaube kaum, dass die jemand braucht
http://deinstallierenvonspyware.blog...einfachen.html

Zitat:

Was wissen Sie über Node.exe Miner?
In diesen Computertechnologien wächst die Virusinfektion schnell. Unter allen Systeminfektionen, Node.exe Miner Ist eine der häufigsten Infektionen, die von der Anzahl der Computer-Nutzer Opfer wurde. Speziell wurde es von einem Team von Cyber-Hackern entworfen und erstellt, zusammen mit der alleinigen Absicht, Online-Einnahmen aus dem unschuldigen Benutzer zu verdienen. Um Online-Gewinn zu verdienen, führt sein Autor eine Reihe von bösartigen Aktivitäten durch. Es ist in der Lage, fast alle Web-Browser zu infizieren und System Das läuft auf Windows-basiertes Betriebssystem.

cosinus · 08.10.2020, 18:36

Zitat:

Zitat von M-K-D-B

Den Uninstall-Eintrag findet man aber nicht in jedem Thema... eher fast nirgends.
Ich hau alles weg, weil es für mich PUP ist.

Ich konnte folgenden uninstall string aus der Verknüpfung abgreifen:

Code:

ATTFilter

C:\Windows\SysWOW64\msiexec.exe /x {0E05CA72-D8DD-432F-A2CC-880034A48577}

Wenn der immer gleich ist, könnte man darüber das ungewollte (und btw auch stark veraltete!) node.js deinstallieren!

M-K-D-B · 08.10.2020, 21:13

Kann ich das auch direkt mit FRST über CMD ansprechen? Wenn ja, wie?

Edit:
In über 99% der Fälle ist die Software nodejs nicht von Nutzern installiert, insbesondere wenn es zeitgleich mit audacity oder WebCompanion auf den Rechner gekommen ist.
Dieser Dreck von Lavasoft nervt mich auch schon seit Monaten... AdwCleaner entfernt das Meiste von WebCompanion...

cosinus · 08.10.2020, 21:35

Zitat:

Zitat von M-K-D-B

Kann ich das auch direkt mit FRST über CMD ansprechen? Wenn ja, wie?

Vllt mit "cmd: " ?!

Code:

ATTFilter

cmd: "C:\Windows\SysWOW64\msiexec.exe /x {0E05CA72-D8DD-432F-A2CC-880034A48577}"

Zitat:

Edit:
In über 99% der Fälle ist die Software nodejs nicht von Nutzern installiert, insbesondere wenn es zeitgleich mit audacity oder WebCompanion auf den Rechner gekommen ist.
Dieser Dreck von Lavasoft nervt mich auch schon seit Monaten... AdwCleaner entfernt das Meiste von WebCompanion...

Vor 15-20 Jahren war Lavasoft Ad-Aware so ne Art malwarebytes....aber dann mutierte es zu scheiße

webwatcher · 09.10.2020, 11:29

und weils so schön ist:

Zitat:

GIMP - Download kostenlos (deutsch)
www.gimp24.de
(Siehe auch http://www.gnu.org/licenses/lgpl.html) GIMP24.de ist nicht assoziiert mit der offiziellen Seite (https://www.gimp.org) des Projektes. Datenschutz.

Und wer ist dafür zuständig? Dreimal darf man raten: wie üblich als Bild:

Zitat:

Zitat von Impressum gimp24.de

Arne König
Eisseler Strasse 39
27383 Verden

Auf gmx als Updateangebot aufgeschlagen.

PS: Google bringt bei Suche nach gimp die echte Seite

Yatagan · 09.10.2020, 13:53

Zitat:

Zitat von webwatcher

und weils so schön ist:

Und wer ist dafür zuständig? Dreimal darf man raten: wie üblich als Bild:

Der hat so Einiges am laufen...

08.10.2020, 16:32	#1
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	nodejs-Malware: FireHooker/DownloadProtect Müssen wir eigentlicher unebdingt die nodejs Ordner und Registryobjekte mit FRST aus dem System kloppen? Die nodejs selbst ist ja keine Malware und nach meinem gestrigen Test hab ich im Startmenu sogar einen uninstall Eintrag für nodejs gefunden __________________ Logfiles bitte immer in CODE-Tags posten

nodejs-Malware: FireHooker/DownloadProtect

Diskussionsforum: nodejs-Malware: FireHooker/DownloadProtect