Lametta ohne Ende

https://www.av-comparatives.org/de/t...y-report-2023/

https://www.trojaner-board.de/208657...ml#post1779857
Vermutlich so seriös wie der hier
https://www.test.de/Antivirenprogram...93310-tabelle/

https://www.trojaner-board.de/208668-memorybuffer-heur-agen-1326623-a.html

Guten Abend/Gute Nacht,
es gibt noch einen Ordner, der von der Schadsoftware angelegt wurde:
2024-02-19 22:00 - 2024-02-19 22:00 - 000000000 ____D C:\Users\asch8\AppData\Roaming\forskruede

Da besteht ein zeitlicher Zusammenhang mit VEGAS Pro.

Das ist uns auch aufgefallen. Ich möchte aber ohne direkten Beweise wie Keygen oder Crack im Log direkt sowas nicht unterstellen. Wenn ich sowas wie VEGAS in den installierten Programmen sehe, werde ich allein schon deswegen misstrauisch. Das wird sehr häufig gecrackt genutzt. Warum eigentlich?

Ich habe einige Threads gesehen, die ähnlich gelagert waren, leider waren dort die wirklich relevanten Logs gelöscht/nicht zugänglich.

Der Malware-Autor hat offensichtlich ein Faible für Skandinavien oder will uns das vorgaukeln.

https://1drv.ms/t/c/2f4161ba36a0cadc/EeNwhaQflNdKn7tZOVFD4IkBw76kIgrJ8g298fLaaBZt8Q?e=PYkG3m
https://answers.microsoft.com/en-us/windows/forum/all/trojanwin32mptamperbulkexclh/5821131c-f1b1-4f7c-91ab-dcd497111971
https://www.virustotal.com/gui/file/052c9aae401e82127b2fb373f63ece67cb34f0308b63ac780595bf2d37501bbe/detection
Was auch immer das ist, es ist massiv aufgeblasen.

339.51 MB

In der Hoffnung, dass die Virenscanner da nicht drin scannen. Weil zu groß oder um Zeit zu gewinnen. Hab auch schon samples mit der doppelten Größe gesehen.

Wenigstens schlägt ein Scanner wegen swollen file an.

Ich habe solche Junk Code-Malware in der letzten Zeit recht häufig gesehen, z.B. bei STOP/Djvu.

coreauthenticity.co.in fakealarm
 

kann da nicht posten:

https://www.trojaner-board.de/208995...ml#post1780678

im Bild zu sehen avmahkdhdgbv73.coreauthenticity.co.in

https://securedstatus.com/remove-cor...y-co-in-virus/

Danke für die Info, aber gibt M-K-D-B doch erstmal die Chance, was auszuwerten :wtf:

?

Außerdem ist SecuredStatus auch so ein affiliate/ad etc.-Dreck.

Die TOs wollen trotzdem gerne eine Auswertung. Und M-K-D-B macht die auch gerne. Win-Win-Situation sozusagen :applaus:

Das war rein als Info gedacht. Will auf keinen Fall M-K-D-B arbeitslos machen :rolleyes:

Guten Abend,
Seiten wie SecuredStatus sind irgend etwas zwischen redundant und ärgerlich.
Dass hier auch noch jdoqocy.com, dotomi.com und emjcd.com zum Einsatz kommen, gefällt uBlock Origin so gar nicht.

Relevant sind FRST-Einträge.
Das war jetzt keine Info an cosinus oder M-K-D-B.
Ich verwette Haus und Hof darauf, dass die das auch so finden.

Guten Abend.

https://www.trojaner-board.de/209186-virus-trojan-malpack-generic-entfernen.html
Ähm, nein.
https://www.virustotal.com/gui/file/229e099b68390bd30f2a5ea14d58292303d09214a4ac27cc0040090b569fe48a/relations
Man beachte bundled files: f98c30f81661280a4f7444dbaf4eecf0d7dddaaa21283419f93ea94f53caca41.
KMS activators sind halt Wundertüten.
Mal bekommt man die gewünschte Software, mal trojanisiert(wie hier) oder auch nur Trojaner.

https://www.trojaner-board.de/209296-trojan-script-wacatac-b-ml-temp-ordner.html

Gute Nacht,
es ist immer wieder ein Mysterium:
Man ballert sich die Kiste mit Warez voll und dann Unerklärlich, aus dem Nichts.

Persönliche Daten in Logs sind auch nicht so clever.

Ich frag mich ja immer, ob solche Warez-Kisten wirklich (aus Geldmangel?) produktiv genutzt werden - in diesem Fall für offenbar für Musikproduktion - oder ob man sich den Kram nur draufknallt um die Kumpels zu beeindrucken?
Ob er die Cracks jetzt drauf lässt und sich drölf AV-Scanner installiert? :confused:

Das wird so sein.

Man müsste sich die Kiste noch genauer anschauen, aber Luna Grabber und Akira Stealer sind hier Kandidaten.
So etwas kann böse enden.

https://www.trojaner-board.de/212071-gootkit-laut-telekom-lt-defender-js-malscript-a-mtb.html#post1785826

Gootkit/GootLoader taucht immer wieder auf.
Der Ausgangspunkt einer Infektion ist immer noch der gleiche: SEO poisoning in Verbindung mit kompromittierten Seiten(meist wp) wie z.B. barbaraneuhofer.com & kampfsport-rommerskirchen.de.

https://www.trojaner-board.de/214870-trojan-misplacedlegit-autoit-windows-10-a.html

Guten Abend,
mit
Trojan.MisplacedLegit.AutoIt
liegt MBAM genau richtig.
Isoliert betrachtet, ist das Programm auch nicht schädlich, aber von alleine kommt es nicht dahin und im Zusammenhang mit den folgenden Dateien
2025-02-28 13:03 - 2025-02-28 13:03 - 000000000 _____ C:\WINDOWS\YesterdayCape
2025-02-28 13:03 - 2025-02-28 13:03 - 000000000 _____ C:\WINDOWS\ReviewLighting
2025-02-28 13:03 - 2025-02-28 13:03 - 000000000 _____ C:\WINDOWS\PoliceAz
2025-02-28 13:03 - 2025-02-28 13:03 - 000000000 _____ C:\WINDOWS\FlashingFlights
2025-02-28 13:03 - 2025-02-28 13:03 - 000000000 _____ C:\WINDOWS\EliteTerm
drängt sich Lumma Stealer auf.
Und auch der kommt nicht vom Wind auf die Kiste.
Es liegt offensichtlich kein schlüssiges Sicherheitskonzept vor.

https://www.trojaner-board.de/215219-windows-defender-hat-trojaner-entfernt-trotzdem-noch-risiko-vorhanden.html#post1790582
2F9079DF89E96A997A910F9243173AC60BFE625501452152F8AB281778E5696B
https://www.virustotal.com/gui/file/2f9079df89e96a997a910f9243173ac60bfe625501452152f8ab281778e5696b/community
U.a. Undressing Woman - Screensaver, aber auch
https://www.chip.de/downloads/Farbar-Recovery-Scan-Tool-HijackThis-Alternative_184039860.html
Und ich glaube, dass die sich noch nicht einmal schämen.

Kann Farbar da nichts machen?

Richtig effektiv wäre es, wenn der in Windows eingebaute Defender den Müll von CHIP auch mal als solchen endlich erkennen würde und jeder Anwender Warnungen nach dem Download von CHIP bekäme.

Der Defender warnt ja nicht vor unseriösen Seiten. uBlock-Origin sollte den ganzen Müll auf ihre Liste setzen.

Ich habe genau diese Problematik schon vor Jahren angesprochen.
Er kann da nichts machen.

Der Defender soll ja auch nicht gleich ganz chip.de blockieren, obwohl schlecht wäre das nicht.
Es würde ja schon reichen, wenn der Defender jede CHIP-Downloader-Datei erkennen und einkassieren würde. Vllt macht es dann ja bei den Verantwortlichen von CHIP *klick* im (geldgierigen) Hirn. :aufsmaul:

Das machen andere Virenschutz Programme auch nicht wenn ich mich nicht täusche, aber der uBlock Origin erledigt das im Browser und man bekommt mit dem bei chip.de, computerbild usw. keine Installer von den Portalen(Chip Installer usw.)die mit Adware behaftet sind.

AFAIK ist das Verteilen von Malware strafbar. Ist jemand mal die Idee gekommen, eine Strafanzeige gegen CHIP aufzugeben?

Du kannst ja mal Chip.de anzeigen wenn du darauf pochst:blabla:Aber eine Korrektur in deine Richtung: die bauen keine Malware in die Installer, sondern "nur" Adware bzw PUP.

Das ist ja die malware. Zumindest kann man das als malware auslegen.

Alles was gegen Willen und Wissen installiert wird ist Malware egal wie man das sonst nennt.

Ein beschönigendener/verharmlosender Namen ändert nichts.

Tatsächlich ist es so, dass viele Nutzer bei der Installation einfach schnell auf "Weiter" bzw. "Akzeptieren" bzw. "Installieren" klicken und NICHT LESEN, wem/was sie zustimmen.

Aber die Nutzer stimmen selbst der Installation dieser Software zu.

Bei einem Test vor ein paar Minuten wurde mir "Web Companion", "Avira" und "BitCleaner" angeboten. Wenn man konsequent ablehnt, bekommt man auch nur den Installer, den man eigentlich wollte.

Vor Gericht würden die Anwälte von Chip argumentieren, dass die Nutzer der Installation selbst aktiv zugestimmt haben.
Eine Beweisführung wegen "Täuschung" bzw. "arglistiger Täuschung" zu führen wird schwer und ist meiner Meinung nach kaum zu gewinnen.

Kann ich dir nur voll zustimmen, meine Frau zum Beispiel fragt mich immer wenn Sie etwas installieren will, das ich zuschaue wenn Sie den Installer ausführt. Aber solche Installer wie von dir beschrieben, bekommt man meistens erst gar nicht, wenn man im Browser uBlock Origin oder einen anderen guten Werbeblocker aktiviert hat. Es sein denn, der Hersteller der Software arbeitet mit solchen Firmen zusammen und hat dann zum Beispiel Web Companion in seinem Installer integriert.