|
Mülltonne: Task NafifasWindows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne... |
08.05.2023, 18:12 | #1 |
| Task Nafifas Seit paar Tagen reagiert mein System (Windows 10 Enterprise LTSC 2019) ab und an etwas merkwürdig. Erst dachte ich es ist ein Hardware defekt (Grafikkarte, PSU, Monitor) aber mittlerweile glaube ich fast eher an ein Software Problem. Zumal ich stresstests und cpuid hwmonitor bereits probiert und nichts gefunden habe. Ich habe gerade HijackThis durchlaufen lassen, eigentlich sieht für mich alles soweit gut aus bis auf: Code:
ATTFilter O22 - Tasks: Nafifas - C:\Users\Michael\AppData\Local\Temp\Anydesk\Anydesk.exe (file missing) Anydesk kannte ich garnicht bis ich kurz danach gesucht habe und das ist wohl sowas wie Teamviewer. Beruhigt mich nicht gerade... Und scheinbar verbrigt sich hinter "Nafifas" wohl tatsächlich ein Virus? https://vms.drweb-av.de/virus/?i=25231302 https://vms.drweb-av.de/virus/?i=25308442 Allerdings gibt es wohl mehrere Varianten und eine mit Anydesk habe ich nicht gefunden. Wie werde ich den jetzt wieder los? Auf Antivirensoftware würde ich gerne verzichten da die oft mehr schadet als nutzt (saubere datein trotzdem löscht etc.) und windows ja eh den Defender standartmäßig hat. Edit: Hier ist die Datei "Nafifas": https://filehorst.de/d/ehwEovel Edit2: C:\Users\Michael\AppData\Local\Temp\Anydesk\Anydesk.exe existiert nicht. (Steht ja auch bereits in der Fehlermeldung) Auch der Ordner existiert nicht. Geändert von Michael_ (08.05.2023 um 18:24 Uhr) |
08.05.2023, 20:14 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Task NafifasZitat:
Windows 10 Enterprise ist keine Edition für ein Privatvergnügen. Windows 10 Enterprise gibt es ausschließlich als Update, entweder über die Volumenlizenzprogramme (z.B. Open License, MPSA) oder im CSP.
__________________ |
08.05.2023, 20:51 | #3 | |
| Task NafifasZitat:
Ich hab jetzt auch mittels FRST nochmal einen sehr umfangreichen Scan gemacht. Nichts auf der Whitelist und 90 statt 30 tage Dateihistory. Ich konnte aber nicht wirklich irgendetwas anderes finden als erneut: Code:
ATTFilter 2023-04-27 01:45 - 2023-04-28 15:17 - 000003600 _____ C:\Windows\system32\Tasks\Nafifas Code:
ATTFilter AlternateDataStreams: C:\ProgramData\TEMP:810B9F0D [298] (cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\conhost.exe <4> (cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <4> Anydesk existiert auf meinem Computer nicht. Es gibt auch keine Registry Einträge. Ich frage mich ob das System vllt. soweit kompromittiert wurde das "der trojaner" sich vor mir versteckt? Geht das überhaupt? Falls ja sollte ich vermutlich mal von einer Linux LiveCD booten? Aber nach was und in welchen Verzeichnissen soll ich suchen? Gibt es einen "Virenscanner" der mir nur meldet ob er was gefunden hat und nichts löscht, in Quarantäne verschiebt etc.? Ram Auslastung ist 7/128gb obwohl der Taskmanager das nicht wirklich erklärt. Edit: Ich habe gestern mittels https://www.guru3d.com/files-details/display-driver-uninstaller-download.html den AMD GPU Treiber "komplett" deinstalliert weil: Code:
ATTFilter Error: (05/08/2023 04:26:41 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1199, Zeitstempel: 0x588f64fb Name des fehlerhaften Moduls: atieclxx.exe, Version: 6.14.11.1199, Zeitstempel: 0x588f64fb Ausnahmecode: 0xc000041d Fehleroffset: 0x0000000000040eb6 ID des fehlerhaften Prozesses: 0x506c Startzeit der fehlerhaften Anwendung: 0x01d97f975298e67e Pfad der fehlerhaften Anwendung: C:\Windows\system32\atieclxx.exe Pfad des fehlerhaften Moduls: C:\Windows\system32\atieclxx.exe Allerdings hatte ich bis vor paar Monaten tatsächlich eine AMD GPU und bin dann auf eine Nvidia umgestiegen. Vllt. wurde der Treiber also einfach nicht ordentlich entfernt vom offiziellen AMD uninstaller. Geändert von Michael_ (08.05.2023 um 20:58 Uhr) |
08.05.2023, 20:54 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Task NafifasZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
08.05.2023, 21:33 | #5 | |
| Task NafifasZitat:
Ich hab mir die Lizenz 2019 ganz normal in nem Onlineshop (müsste in meinen Unterlagen nachschauen welcher) gekauft und seitdem läuft das System damit. Ich sehe mich nicht als normalen "Privatanwender" da ich deutlich mehr und andere Dinge mache als normale Konsumenten. Wäre ich nicht auf diverse Spezial Hard und Software angewiesen die nur mit Windows läuft würde auf der Maschine auch schon längst Linux laufen. die Enterprise Version + diverse Anpassungen (z.b. Classic Shell) machen mir Windows 10 halbwegs erträglich da ich hier den ganzen "Consumer Scheiß" nicht ertragen muss. Ich find das Grundsystem (Windows NT) ja auch nachwievor super, ich wünschte nur Microsoft hätte nach XP oder spätestens 7 einen anderen Weg eingeschlagen. Windows 10 Pro hat für mich mit einem Betriebssystem für professionelle Anwender nichts zu tun. Ich empfinde das Pro als Beleidigung. Zurück zum Thema: Ich denke ENTWEDER das System ist soweit kompromittiert das sich der Trojaner vor mir versteckt ODER es war vllt. eine "Hit & Run" Sache. Sprich der "Hacker" hat mir den Virus untergeschoben und mein System für irgendwas benutzt und dann den Trojaner selbst wieder entfernt, dabei jedoch die Datei C:\Windows\system32\Tasks\Nafifas vergessen zu entfernen. Im Falle 1 sollte ich vllt. wirklich mal von einer Linux Live CD booten aber wie gesagt nach was und in welchen Verzeichnissen soll ich suchen? Ansonsten Wie schon gesagt gibt es einen Virenscanner der nur scannt und nichts löscht oder in Quarantäne verschiebt? Gibt es ein Tool das mir mehr aufschluss darüber gibt was die Tasks in meinem Taskmanager genau machen? (z.b. die powershell.exe tasks) Im Falle 2 sollte ich vllt. einfach die Datei "Nafifas" löschen und abwarten. Bislang sind keine Probleme mehr aufgetreten. |
08.05.2023, 21:44 | #6 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Task NafifasZitat:
Wenn ich sowas wie in Windows 10 Enterprise sehe, dann reite ich da immer drauf herum, weil es schon viele Fälle gab wo dann der Anwender übers Ohr gehauen wurde oder er selbst gecrackt hat. Und selbst wenn alles in Ordnung ist und die Lizenz gekauft wurde, dann geht es immer noch darum, dass wir grundsätzlich nur privat genutzte Systeme bereinigen - das kannst du alles da nachlesen: Zitat:
__________________ --> Task Nafifas |
08.05.2023, 21:54 | #7 | |
| Task Nafifas Also die Lizenz ist gekauft und nicht gecrackt. Der Rechner wird auch nicht gewerblich genutzt. Wenn du/ihr mir helfen möchtet: Zitat:
|
08.05.2023, 21:59 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Task NafifasZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
08.05.2023, 22:38 | #9 | |
| Task NafifasZitat:
Öffentlich posten möchte ich sie nicht unbedingt da daraus zum einen persönliche Informationen hervorgehen und zum anderen ich bereits die nächste Antwort hervorsehen kann -> "Ich kann dir nicht helfen weil dies und das in den logs gegen unsere Regeln verstößt". Aber wenn man sucht kann man ja immer und bei jedem was finden. Edit: Ich hatte jetzt grad noch eine Idee. Ich hab die Logs hier hochgeladen und werde sie nach der Auswertung einfach wieder löschen. https://www.file-upload.net/download.../Logs.zip.html Lass(t) mich wissen was du/ihr dazu denkt. |
08.05.2023, 23:16 | #10 |
| Task Nafifas Siehe Anhang was ich im Windows Defender Log gefunden habe. Außerdem war bei Windows Defender unter Ausschlüsse/Exlusions ein Eintrag "C:\" also komplette Systemplatte. Hab ich rückgängig gemacht und einen Scan gefahren allerdings wurde dabei nichts gefunden. Die Schutzdefinitionen von Windows Defender sind auf dem aktuellen Stand (08.05.2023) Ich denke der nächste Schritt wäre ein Malware Scanner. Allerdings ist die Frage welcher? Ich möchte den Scan auf die Systemplatte beschränken und es soll nichts ohne meine Zustimmung gelöscht werden. |
09.05.2023, 01:42 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Task Nafifas Lies bitte die Hinweise richtig und wie Logs gepostet werden sollen.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.05.2023, 04:25 | #12 |
| Task Nafifas Ich habe mittlerweile mit Malwarebytes Premium (Demo Version) wie es aussieht Glück gehabt. (Siehe Anhang für Log.txt) Ich überlege ob es allerdings trotzdem sinnvoll wäre mit einem Bootbaren Tool nochmals zu scannen. Schaden kann es bestimmt nicht. Ich habe jetzt auch gesehen das es viele Bootbare Antivirensoftware gibt, nicht nur auf Linux Basis. Ich hab mich allerdings noch nicht durchgearbeitet welche davon Rootkits erkennen können und insgesamt welche die beste ist. Vllt. kannst du mir ja sagen was derzeit am besten ist? |
09.05.2023, 09:55 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Task Nafifas Letzter Hinweis: Lies bitte richtig, wie die Logs zu posten sind! Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
__________________ Logfiles bitte immer in CODE-Tags posten |
09.05.2023, 23:55 | #14 |
| Task Nafifas Ich hab mich jetzt mal umgesehen was es gratis gibt, folgende scheinen mir dabei am interessantesten zu sein: - Kaspersky Rescue Disk - Hirens BootCD PE - Comodo Rescue Disk - Dr.Web LiveDisk - Avira Antivir Rescue System Ich vermute das die alle Rootkits (und so ziemlich sämtliche Malware) erkennen können. Bei manchen steht es auch deutlich dabei. Ich denke ich werde vermutlich mal die "Kaspersky Rescue Disk" ausprobieren. Anhang meiner Erfahrung vermute dass es sich dabei um das beste Produkt für diesen Zweck handelt. Avira ist Erfahrungsgemäßig eher nicht so der Hammer. Mit den anderen habe ich keine Erfahrung wobei Hirens BootCD PE ja unter anderem Malwarebytes mitbringt und das ist Erfahrungsgemäß wiederum ein gutes Produkt. |
Themen zu Task Nafifas |
appdata, c:\windows, code, datei, defekt, defender, erstellt, file, gesucht, grafikkarte, hardware, hijack, hijackthis, löscht, monitor, nichts, nutzt, reagiert, software, system, system32, temp, variante, virus, windows |