Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: Task Nafifas

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 08.05.2023, 18:12   #1
Michael_
 
Task Nafifas - Standard

Task Nafifas



Seit paar Tagen reagiert mein System (Windows 10 Enterprise LTSC 2019) ab und an etwas merkwürdig.
Erst dachte ich es ist ein Hardware defekt (Grafikkarte, PSU, Monitor) aber mittlerweile glaube ich fast eher an ein Software Problem.
Zumal ich stresstests und cpuid hwmonitor bereits probiert und nichts gefunden habe.

Ich habe gerade HijackThis durchlaufen lassen, eigentlich sieht für mich alles soweit gut aus bis auf:
Code:
ATTFilter
O22 - Tasks: Nafifas - C:\Users\Michael\AppData\Local\Temp\Anydesk\Anydesk.exe (file missing)
         
In C:\Windows\System32\Tasks findet sich auch eine Datei "Nafifas" die am 27.04.2023 erstellt wurde.

Anydesk kannte ich garnicht bis ich kurz danach gesucht habe und das ist wohl sowas wie Teamviewer. Beruhigt mich nicht gerade...

Und scheinbar verbrigt sich hinter "Nafifas" wohl tatsächlich ein Virus?
https://vms.drweb-av.de/virus/?i=25231302
https://vms.drweb-av.de/virus/?i=25308442

Allerdings gibt es wohl mehrere Varianten und eine mit Anydesk habe ich nicht gefunden.

Wie werde ich den jetzt wieder los?

Auf Antivirensoftware würde ich gerne verzichten da die oft mehr schadet als nutzt (saubere datein trotzdem löscht etc.) und windows ja eh den Defender standartmäßig hat.

Edit:
Hier ist die Datei "Nafifas": https://filehorst.de/d/ehwEovel

Edit2:
C:\Users\Michael\AppData\Local\Temp\Anydesk\Anydesk.exe existiert nicht. (Steht ja auch bereits in der Fehlermeldung)
Auch der Ordner existiert nicht.

Geändert von Michael_ (08.05.2023 um 18:24 Uhr)

Alt 08.05.2023, 20:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Task Nafifas - Standard

Task Nafifas



Zitat:
Seit paar Tagen reagiert mein System (Windows 10 Enterprise LTSC 2019)
Was machst du da bitte mit dieser Windows Edition?
Windows 10 Enterprise ist keine Edition für ein Privatvergnügen. Windows 10 Enterprise gibt es ausschließlich als Update, entweder über die Volumenlizenzprogramme (z.B. Open License, MPSA) oder im CSP.
__________________

__________________

Alt 08.05.2023, 20:51   #3
Michael_
 
Task Nafifas - Standard

Task Nafifas



Zitat:
Zitat von cosinus Beitrag anzeigen
Was machst du da bitte mit dieser Windows Edition?
Windows 10 Enterprise ist keine Edition für ein Privatvergnügen. Windows 10 Enterprise gibt es ausschließlich als Update, entweder über die Volumenlizenzprogramme (z.B. Open License, MPSA) oder im CSP.
Das ist eine Workstation.

Ich hab jetzt auch mittels FRST nochmal einen sehr umfangreichen Scan gemacht.
Nichts auf der Whitelist und 90 statt 30 tage Dateihistory.

Ich konnte aber nicht wirklich irgendetwas anderes finden als erneut:

Code:
ATTFilter
2023-04-27 01:45 - 2023-04-28 15:17 - 000003600 _____ C:\Windows\system32\Tasks\Nafifas
         
Hier bin ich nicht ganz sicher:

Code:
ATTFilter
AlternateDataStreams: C:\ProgramData\TEMP:810B9F0D [298]

(cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\conhost.exe <4>
(cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <4>
         
(Ich hab paar Instanzen powershell.exe im Taskmanager und keine Ahnung wieso)

Anydesk existiert auf meinem Computer nicht.
Es gibt auch keine Registry Einträge.

Ich frage mich ob das System vllt. soweit kompromittiert wurde das "der trojaner" sich vor mir versteckt? Geht das überhaupt?
Falls ja sollte ich vermutlich mal von einer Linux LiveCD booten? Aber nach was und in welchen Verzeichnissen soll ich suchen?

Gibt es einen "Virenscanner" der mir nur meldet ob er was gefunden hat und nichts löscht, in Quarantäne verschiebt etc.?

Ram Auslastung ist 7/128gb obwohl der Taskmanager das nicht wirklich erklärt.

Edit:

Ich habe gestern mittels
https://www.guru3d.com/files-details/display-driver-uninstaller-download.html

den AMD GPU Treiber "komplett" deinstalliert weil:

Code:
ATTFilter
Error: (05/08/2023 04:26:41 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1199, Zeitstempel: 0x588f64fb
Name des fehlerhaften Moduls: atieclxx.exe, Version: 6.14.11.1199, Zeitstempel: 0x588f64fb
Ausnahmecode: 0xc000041d
Fehleroffset: 0x0000000000040eb6
ID des fehlerhaften Prozesses: 0x506c
Startzeit der fehlerhaften Anwendung: 0x01d97f975298e67e
Pfad der fehlerhaften Anwendung: C:\Windows\system32\atieclxx.exe
Pfad des fehlerhaften Moduls: C:\Windows\system32\atieclxx.exe
         
Ich habe gelesen das sich dahinter auch ein Virus verbergen kann.
Allerdings hatte ich bis vor paar Monaten tatsächlich eine AMD GPU und bin dann auf eine Nvidia umgestiegen. Vllt. wurde der Treiber also einfach nicht ordentlich entfernt vom offiziellen AMD uninstaller.
__________________

Geändert von Michael_ (08.05.2023 um 20:58 Uhr)

Alt 08.05.2023, 20:54   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Task Nafifas - Standard

Task Nafifas



Zitat:
Das ist eine Workstation.
Das beantwortet meine Frage nicht wirklich. Wo hast du diese Enterprise Edition nun her? Und ich betone nochmal, die ist nicht für private Nutzung ausgelegt diese Lizenz.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.05.2023, 21:33   #5
Michael_
 
Task Nafifas - Standard

Task Nafifas



Zitat:
Zitat von cosinus Beitrag anzeigen
Das beantwortet meine Frage nicht wirklich. Wo hast du diese Enterprise Edition nun her? Und ich betone nochmal, die ist nicht für private Nutzung ausgelegt diese Lizenz.
Auch wenn es eigentlich garnichts zur Sache tut:

Ich hab mir die Lizenz 2019 ganz normal in nem Onlineshop (müsste in meinen Unterlagen nachschauen welcher) gekauft
und seitdem läuft das System damit.

Ich sehe mich nicht als normalen "Privatanwender" da ich deutlich mehr und andere Dinge mache als normale Konsumenten.
Wäre ich nicht auf diverse Spezial Hard und Software angewiesen die nur mit Windows läuft würde auf der Maschine auch schon
längst Linux laufen. die Enterprise Version + diverse Anpassungen (z.b. Classic Shell) machen mir Windows 10 halbwegs erträglich
da ich hier den ganzen "Consumer Scheiß" nicht ertragen muss. Ich find das Grundsystem (Windows NT) ja auch nachwievor
super, ich wünschte nur Microsoft hätte nach XP oder spätestens 7 einen anderen Weg eingeschlagen.
Windows 10 Pro hat für mich mit einem Betriebssystem für professionelle Anwender nichts zu tun. Ich empfinde das Pro als Beleidigung.

Zurück zum Thema:

Ich denke
ENTWEDER das System ist soweit kompromittiert das sich der Trojaner vor mir versteckt
ODER es war vllt. eine "Hit & Run" Sache. Sprich der "Hacker" hat mir den Virus untergeschoben und mein
System für irgendwas benutzt und dann den Trojaner selbst wieder entfernt, dabei jedoch die Datei
C:\Windows\system32\Tasks\Nafifas vergessen zu entfernen.

Im Falle 1 sollte ich vllt. wirklich mal von einer Linux Live CD booten aber wie gesagt nach was und in welchen
Verzeichnissen soll ich suchen?
Ansonsten Wie schon gesagt gibt es einen Virenscanner der nur scannt und nichts löscht oder in Quarantäne verschiebt?
Gibt es ein Tool das mir mehr aufschluss darüber gibt was die Tasks in meinem Taskmanager genau machen? (z.b. die powershell.exe tasks)

Im Falle 2 sollte ich vllt. einfach die Datei "Nafifas" löschen und abwarten.
Bislang sind keine Probleme mehr aufgetreten.


Alt 08.05.2023, 21:44   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Task Nafifas - Standard

Task Nafifas



Zitat:
Auch wenn es eigentlich garnichts zur Sache tut:
Sagmal, glaubst du eigentlich ich frag das aus Spaß, weil ich nichts anderes zu tun habe?
Wenn ich sowas wie in Windows 10 Enterprise sehe, dann reite ich da immer drauf herum, weil es schon viele Fälle gab wo dann der Anwender übers Ohr gehauen wurde oder er selbst gecrackt hat. Und selbst wenn alles in Ordnung ist und die Lizenz gekauft wurde, dann geht es immer noch darum, dass wir grundsätzlich nur privat genutzte Systeme bereinigen - das kannst du alles da nachlesen:

Zitat:
5. Gewerbliche Nutzung
Wir bereinigen hier grundsätzlich keine gewerblich genutzten Rechner! Es gibt wenige Ausnahmen.
__________________
--> Task Nafifas

Alt 08.05.2023, 21:54   #7
Michael_
 
Task Nafifas - Standard

Task Nafifas



Also die Lizenz ist gekauft und nicht gecrackt.
Der Rechner wird auch nicht gewerblich genutzt.

Wenn du/ihr mir helfen möchtet:

Zitat:
Im Falle 1 sollte ich vllt. wirklich mal von einer Linux Live CD booten aber wie gesagt nach was und in welchen
Verzeichnissen soll ich suchen?
Ansonsten Wie schon gesagt gibt es einen Virenscanner der nur scannt und nichts löscht oder in Quarantäne verschiebt?
Gibt es ein Tool das mir mehr aufschluss darüber gibt was die Tasks in meinem Taskmanager genau machen? (z.b. die powershell.exe tasks)
Ansonsten muss ich halt woanders meine Fragen stellen.

Alt 08.05.2023, 21:59   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Task Nafifas - Standard

Task Nafifas



Zitat:
Wenn du/ihr mir helfen möchtet:
Dann lies auch bitte den Rest der Hinweise richtig. Da steht auch welche Logs benötigt und dass diese vollständig gepostet werden müssen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 08.05.2023, 22:38   #9
Michael_
 
Task Nafifas - Standard

Task Nafifas



Zitat:
Zitat von cosinus Beitrag anzeigen
Dann lies auch bitte den Rest der Hinweise richtig. Da steht auch welche Logs benötigt und dass diese vollständig gepostet werden müssen.
Ich wollt sie dir gerade per PN schicken, aber leider kann ich dir keine PN schicken.
Öffentlich posten möchte ich sie nicht unbedingt da daraus zum einen persönliche Informationen hervorgehen und zum anderen ich bereits die nächste Antwort hervorsehen kann -> "Ich kann dir nicht helfen weil dies und das in den logs gegen unsere Regeln verstößt".

Aber wenn man sucht kann man ja immer und bei jedem was finden.

Edit:

Ich hatte jetzt grad noch eine Idee.
Ich hab die Logs hier hochgeladen und werde sie nach der Auswertung einfach wieder löschen.

https://www.file-upload.net/download.../Logs.zip.html

Lass(t) mich wissen was du/ihr dazu denkt.

Alt 08.05.2023, 23:16   #10
Michael_
 
Task Nafifas - Standard

Task Nafifas



Siehe Anhang was ich im Windows Defender Log gefunden habe.

Außerdem war bei Windows Defender unter Ausschlüsse/Exlusions ein Eintrag "C:\" also komplette Systemplatte.
Hab ich rückgängig gemacht und einen Scan gefahren allerdings wurde dabei nichts gefunden.
Die Schutzdefinitionen von Windows Defender sind auf dem aktuellen Stand (08.05.2023)

Ich denke der nächste Schritt wäre ein Malware Scanner.
Allerdings ist die Frage welcher?
Ich möchte den Scan auf die Systemplatte beschränken und es soll nichts ohne meine Zustimmung gelöscht werden.
Angehängte Grafiken
Dateityp: jpg fixed 1.jpg (123,4 KB, 19x aufgerufen)
Dateityp: jpg fixed 2.jpg (122,9 KB, 13x aufgerufen)
Dateityp: jpg noticed 1.jpg (117,0 KB, 13x aufgerufen)
Dateityp: jpg noticed 2.jpg (118,9 KB, 7x aufgerufen)

Alt 09.05.2023, 01:42   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Task Nafifas - Standard

Task Nafifas



Lies bitte die Hinweise richtig und wie Logs gepostet werden sollen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.05.2023, 04:25   #12
Michael_
 
Task Nafifas - Standard

Task Nafifas



Ich habe mittlerweile mit Malwarebytes Premium (Demo Version) wie es aussieht Glück gehabt. (Siehe Anhang für Log.txt)
Ich überlege ob es allerdings trotzdem sinnvoll wäre mit einem Bootbaren Tool nochmals zu scannen. Schaden kann es bestimmt nicht.

Ich habe jetzt auch gesehen das es viele Bootbare Antivirensoftware gibt, nicht nur auf Linux Basis. Ich hab mich allerdings noch nicht durchgearbeitet welche davon Rootkits erkennen können und insgesamt welche die beste ist.

Vllt. kannst du mir ja sagen was derzeit am besten ist?
Angehängte Dateien
Dateityp: txt malwarebytes report.txt (8,2 KB, 21x aufgerufen)

Alt 09.05.2023, 09:55   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Task Nafifas - Standard

Task Nafifas



Letzter Hinweis: Lies bitte richtig, wie die Logs zu posten sind!


Posten in CODE-Tags

Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.05.2023, 23:55   #14
Michael_
 
Task Nafifas - Standard

Task Nafifas



Ich hab mich jetzt mal umgesehen was es gratis gibt, folgende scheinen mir dabei am interessantesten zu sein:

- Kaspersky Rescue Disk
- Hirens BootCD PE
- Comodo Rescue Disk
- Dr.Web LiveDisk
- Avira Antivir Rescue System

Ich vermute das die alle Rootkits (und so ziemlich sämtliche Malware) erkennen können.
Bei manchen steht es auch deutlich dabei.

Ich denke ich werde vermutlich mal die "Kaspersky Rescue Disk" ausprobieren.
Anhang meiner Erfahrung vermute dass es sich dabei um das beste Produkt für diesen Zweck handelt.
Avira ist Erfahrungsgemäßig eher nicht so der Hammer.
Mit den anderen habe ich keine Erfahrung wobei Hirens BootCD PE ja unter anderem Malwarebytes mitbringt
und das ist Erfahrungsgemäß wiederum ein gutes Produkt.

 

Themen zu Task Nafifas
appdata, c:\windows, code, datei, defekt, defender, erstellt, file, gesucht, grafikkarte, hardware, hijack, hijackthis, löscht, monitor, nichts, nutzt, reagiert, software, system, system32, temp, variante, virus, windows




Ähnliche Themen: Task Nafifas


  1. Task friert ein (win xp)
    Alles rund um Windows - 18.04.2013 (6)
  2. Task Manager
    Alles rund um Windows - 05.04.2009 (1)
  3. Task Manager
    Alles rund um Windows - 08.10.2008 (8)
  4. Unbekannter Task im Task-Manager Win XP
    Plagegeister aller Art und deren Bekämpfung - 16.01.2007 (1)
  5. task.exe
    Plagegeister aller Art und deren Bekämpfung - 13.05.2006 (10)

Zum Thema Task Nafifas - Seit paar Tagen reagiert mein System (Windows 10 Enterprise LTSC 2019) ab und an etwas merkwürdig. Erst dachte ich es ist ein Hardware defekt (Grafikkarte, PSU, Monitor) aber mittlerweile glaube - Task Nafifas...
Archiv
Du betrachtest: Task Nafifas auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.