|
Windows 10: Frisch & sauber installiert, kaum benutzt und schon ein Virus: POLY.CRYPT.TSR.COM? Woher? Moin liebe sachverständige Helfer, am Feiertag (3.Oktober) habe ich mal wieder mein MEDION-Notebook (Kauf: Mrz 2020) mit Windows 10 neu offline installiert. Gestern zum ersten Mal WLAN eingerichtet und Online gegangen. Windows Updates und Treiber (via Windows Update) geladen und installiert. Danach schon wieder mein altes Problem, mit dem im März das Theater anfing: Nach jedem Neustart kommt das Fenster "Systemeinstellungsänderung: Ihre Hardware-Einstellungen wurden geändert. Bitte starten Sie Ihren Computer neu, damit diese Änderungen wirksam werden. (OK)" (Mal 'ne Frage am Rande: wie kann ich hier eigentlich Fotos/Screenshots etc. einfügen?) Einmal FRST (über den Link hier im Board geladen) ausgeführt - leider nicht als Admin - das war wenig hilfreich. Der ESET-Online Scan hat nichts gefunden. Aber mit der bootbaren ESET Rescue CD, auf einem anderen Linux-PC sauber erstellt, fand ich das hier (vorher noch erfolgreich online signaturen updated, auch wenn es im log nicht so aussieht): Code: Scan LogWeil die Logs verdamt lang sind, und ich maximal 120K auf einmal posten kann, folgen die drei FRST-Teile hinterher. Hier passt noch die Addition.txt rein: Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 04-10-2020https://www.trojaner-board.de/199820-windows-10-diskpart-zeigt-4-partionen-systeminfo-geraeteverwaltung-zeigen-nur-3-kennt-grund.html Übrigens habe ich mich im Post mit der Dateigröße des Windows-Image vertan. Die Datei Win10_2004_German_x64.iso ist 5.165.196 KILOByte groß (exakt 5289156608 Byte) und ist übrigens noch immer in der gleichen Version bei Microsoft vorhanden. hier: https://www.microsoft.com/de-de/software-download/windows10ISO Nach dem Setup (nicht nur Offline ausgeführt, sondern dabei war sogar die ganze Zeit mein WLAN aus) habe ich dann nicht benötigte Apps (u.a. OneDrive, Spotify ) deinstalliert, in der Gerätesicherheit die Kernisolierung aktiviert und meinen "normalen" User mit eingeschränkten Rechten angelegt bevor ich gestern das erste Mal online ging. Ich habe keinerlei Software (außer FRST und ESET Online) installiert und war außer hier und bei ESET sonst nirgends im Netz unterwegs. Und trotzdem zeigte mir heute die Ereignisverwaltung eine Menge Einträge (alleine das Security Log ist über 6MB groß) und vieles davon ist zumindest sehr merkwürdig. Ich bin einerseits froh, dass ich nun endlich mal was Handfestes gefunden habe, würde aber gerne wissen, wo und wie ich mir das eingefangen habe. Ich habe ja nicht mal Mail installiert, geschweige denn irgendwas gelesen oder etwas geöffnet. Dass es am BIOS liegen kann, hat cosinus ja im anderen Thread (s.o.) kategorisch aussgeschlossen. Ich wäre dankbar für jede Unterstützung und helfe auch gerne mit, damit ich vielleicht mal wieder einen Rechner bekomme, dem ich dauerhaft trauen kann. Und Geduld und Zeit habe ich auch - bin ja jetzt Rentner. Im Übrigen poste ich dieses jetzt von meinem Linux-NB (alter Sony-Vaio), bis ich wieder mein flottes System habe. Den MEDION fass' ich erst wieder an, wenn ich hier eine Hilfestellung bekomme. Viele Grüße, Peter |
FRST.txt Teil1 Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 04-10-2020 |
FRST.txt Teil2 Code: 2020-10-05 16:53 - 2020-10-05 16:53 - 000495840 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msvcp_win.dll |
FRST.txt Teil3 Code: 2020-10-05 16:53 - 2020-10-05 16:53 - 000047104 _____ (Microsoft Corporation) C:\Windows\system32\werdiagcontroller.dll |
Zitat:
Schmeiß dieses ESET-Rescue-Zeugs weg, das braucht man nicht. Du kannst dir damit auch wunderbar das Windows schrotten. |
Hallo cosinus, danke dafür, dass Du Dich meldest. Natürlich weiß ich, dass Computer-Virenscanner genau wie medizinische Virus-Tests auch falsch positive Ergebnisse liefern können. Um zu einer Bewertung zu gelangen, muss man das gesamte Umfeld betrachten. Hast Du Dir mal meine Addition.txt genauer angeschaut? Hier sind die Abschnitte "Applikationsfehler": Code: Applikationsfehler:Code: Windows Defender:Die Einträge unter "Systemfehler" und "CodeIntegrity" erklären sich damit, dass ich den ESET Online Scanner installiert und gestartet habe. Wird übrigens so hier im Board als sog. 2. Meinung empfohlen: https://www.trojaner-board.de/186277-anleitung-eset-online-scanner.html Ob es richtig ist, dass der Hypervisor die ESET-Treiber bzw. Dienste ehdrv.sys und eapihdr nicht laden konnte oder wollte, vermag ich nicht zu sagen. Jedenfalls liegt es wohl daran, dass er nix findet. Im Gegensatz zu der Boot-CD von ESET, welche mitnichten irgendetwas an Windows schrotten kann. Ich würde ja gerne noch meinen Screenshot von der im Eingang erwähnten Meldung posten, aber wenn ich auf das Icon "Grafik einfügen" klicke, wird eine URL erwartet und keine lokale Bilddatei. Kannst Du mir da helfen? Ach so, und noch was: Ich könnte auch meine Ereignis-Logs als Zip-Anhang hochladen, sofern hier jemand ist, der diese kompetent interpretieren kann. Viele Grüße, Peter |
Zitat:
Zitat:
Ein Fehlalarm ist kein Fund und Applikationsfehler können zig verschiedene Ursachen haben. Wieso glaubt ihr alle da drau0en, dass immer irgendein Virus die einzige Ursache sein muss??! :wtf: |
**nach Diskussion verschoben** |
Hallo cosinus, entschuldige bitte, dass ich ein paar Tage weg war und wenig Zeit hatte, mich um dieses Thema zu kümmern. Zitat:
Du sagst, "Applikationsfehler können zig verschiedene Ursachen haben". Welche Hypothese hättest Du denn, mit der ich anfangen könnte zu suchen was hier nicht koscher ist und warum, um dann systematisch einen möglichen Grund nach dem anderen zu verifizieren oder auszuschließen? Natürlich kann das ein "false positive"(FP) Virenfund in der fltMC.exe (411 Byte!) sein, deshalb habe ich in meiner Überschrift ja auch Fragezeichen gesetzt. Und nach meiner Recherche im Netz glaube ich das inzwischen auch. Denn diese 411 Byte sind offenbar nur Code-Schnipsel und keine ausführbare EXE. Nach einem Signature-Update der ESET-Rescue wird die Datei auch nicht mehr angemeckert. Auch virustotal.com gab keinen Alarm. Code: Basic PropertiesZitat:
Erstaunlich und beunruhigend finde ich im Log von ESET die hohe Zahl von nicht zu öffnenden Files (dll, exe u.a.m.). Zum Beispiel gleich zu Beginn des Logs im aktuellen Defender-Verzeichnis ProgramData/Microsoft/Windows Defender/Platform/4.18.2008.9-0 ist bis auf die Text-Datei nichts zu öffnen. Wohlgemerkt von ESET! Wenn ich als User mit normalen Rechten in die Dateien schaue, merke ich nichts Auffälliges. Aber wenn ich mir in den Datei-Eigenschaften die Sicherheit anschaue, finde ich ein "Unbekanntes Konto (S-1-15-3-1024-3153509613-96....)", welches in Addition.txt von FRST nicht erscheint. Und wenn ich mit Linux reinschaue, sehe ich dort nur nicht zu öffnende "symbolic link" Files mit 25 Byte und 0 Byte auf der Platte. Die Datei, die bei Aufruf von fltMC.exe ausgeführt wird (was ich natürlich NICHT getan habe!), befindet sich in C:\Windows\System32, ist 31232 Byte groß und am 05.10.2020 bei dem Windows Update erstellt. Hier sind die Details dazu (von virustotal.com): Code: SUMMARYCode: Compiler ProductsCode: SUMMARYCode: Verzeichnis von c:\windows\winsxs\amd64_microsoft-windows-filtermanager-core_31bf3856ad364e35_10.0.19041.264_none_eeeb13d489ad69bbWenn man sich mal die Untervereichnisse "r" und "f" ansieht, könnte man vermuten, dass r für "remove" und f für "fill" stehen könnte. Spekulation oder habe ich recht? So wird dann aus der am 03.10.2020 von der DVD installierten Version 19041.1 von 1993 die Version 19041.546 vom 05.10.2020 in unveränderter Größe. Allerdings zeigt die alte Version ein plausibles Compiler Datum und der Abschnitt "Compiler Products" fehlt. Das Datum der Datei-Erstellung für alle -exe, -sys, -dll, -mui Dateien u.a. in den Unterverzeichnissen von WinSxS ist bei allen Strukturen ohne die ominösen "r" und "f"- Untervereichnisse das Datum der Erstellung bei Microsoft (z.B.: 07.12.2019, 11.05.2020 und zuletzt 26.09.2020). Nur wenn diese r/f-Unterverzeichnisse existieren, tragen diese Files das Datum meines Updates am 05.10.2020 in den entsprechenden f-Unterverzeichnissen. Diese Files sind dann auch am "normalen" Ort in System32 zu finden. Ach ja, und dann habe ich ja auch umfangreiche Ereignis-Logs, mit Warnungen und Fehlern auch im Security-Bereich, die ich zwecks Analyse gerne hochladen kann. Und noch mal die Frage, wie kann ich hier Bilder, also z.B. Screenshots einbinden oder muss ich die vorher im Netz bei Bilderhostern hochladen und dann hier verlinken? Ich würde gerne das kleine Fenster zeigen, welches mich schon seit März nervt und auch jetzt nach dem Update wieder bei jedem Neustart und User-Wechsel erscheint. Ich habe übrigends keine Panik, da ich meine ganzen Dateien auf externen Medien gesichert habe, und ich die Files u.a. auch auf anderen Rechnern öffnen kann. Ich bin lediglich vorsichtig und neugierig und versuche die Dinge zu verstehen. Leider habe ich momentan nicht das Know-How und die Tools für ein Reverse-Engineering des Code. Und ein Hex-Betrachter liefert wenig brauchbare Infos. Wer mit diskutieren möchte und gute Erklärungen parat hat, ist herzlich eingeladen. Wünsche ein schönes Wochenende! vg Peter |
Zitat:
Mit Verlaub, ich denke, du konstruierst dir hier etwas herbei und ignorierst die Tatsache, dass Windows sich in den letzten Jahren enorm weiterentwickelt hat, auch was Restriktionen angeht. Und wenn man nicht gerade bei Microsoft in der Windowsentwicklung sitzt, dürfte es darüberhinaus so gut wie unmöglich sein, jeden Fehler im EventManager und anderweitigen Logs vollständig deuten zu können. Hast du außerdem mal an ein Hardproblem gedacht, welches für dieses ominöse Fenster sorgen könnte? |
Zitat:
|
Danke Yatagan und cosinus für Eure Antworten. Das war neu für mich, dass nach dem sauberen Shutdown von Windows unter NTFS noch Files zum Lesen für eine extern gebootetes Linux-System gesperrt sind. Hab's an weiterem Rechner gecheckt und Ihr habt recht. Diese Spur führt also nicht weiter. Aber ich hatte ja noch einige Fakten berichtet, über die ich gerne mehr wissen würde. @cosinus: Du hast auf meine Frage "Ist das alles normal für ein frisch installiertes System?" mit einem "Nein" geantwortet. Was genau ist Dir da aufgefallen? Worauf bezieht sich Dein "Nein"? Was könnte oder sollte ich noch überprüfen? @Yatagan: Deine Vermutung bzgl. Hardware bei dem nervigen Fenster geht in die richtige Richtung, denke ich. Denn dieses Fenster erscheint erst, wenn zwei Dinge zusammenkommen - egal in welcher Reihenfolge: a) Statt des auf der Windows Installations-DVD vorhandenen Grafiktreibers wird der aktuelle AMD Radeon Vega 8 Graphics Treiber via Update oder mittels der MEDION Treiber Datei installiert. (Treiberdatum: 03.10.2019, Version: 26.20.11034.1006) b) In der Windows Gerätesicherheit wird die Kernisolierung aktiviert Das erste brauche ich, um z.B. eine vernünftige Auflösung zu erhalten und auch um meinen Screen auf dem TV drahtlos zu duplizieren. Das zweite ist die legitime Nutzung einer mit dem Kauf meines Notebooks erworbenen Hardware-Sicherheitsresource. Auf beides möchte ich nicht verzichten. Aber ich möchte damit kein Sicherheitsproblem riskieren. Wie denkt ihr darüber, dass bei meinem Update am 05.10.2020 (2020-09 Kumulatives Update für Windows 10 Version 2004 für x64-basierte Systeme KB4577063) die Files offensichtlich auf meiner Platte "zusammengebastelt" wurden und nicht "am Stück" als integre, signierte Units gezippt oder im Container kamen? Sind diese eigenartigen Strukturen mit r- und f- Unterverzeichnissen in WinSxS jetzt normal? Jemand kann ja mal auf der eigenen Platte nachschauen und hier berichten. Und ist es Zufall oder muss das zwangsläufig so sein, dass der einzige Virus-Verdacht sich ausgerechnet auf ein für Ransomware interessantes File bezog? Ich kann ja gerne mal das alle Versionen von fltMC.exe (echte EXE und die r- und f- Schnipsel) zur Untersuchung anhängen, wenn jemand Ahnung und Werkzeug hat. Oder sollte ich mich dazu an Microsoft wenden? Wenn es hilft, bin ich auch gerne bereit, noch mal ein Systemabbild zu erstellen und wieder neu auf geputzer Platte zu installieren und dann das System zu untersuchen bevor man online geht und Updates durchführt. Aber vielleicht sollte man erst mal den Status-Quo genauer untersuchen. Danke für Eure Hilfe! Peter |
OMG :stirn: ich schrieb "nein" und meinte "ja" Natürlich ist das alles normal. Sry für die Verwirrung. :D Wie gesagt, wenn das System gerade frisch installiert wurde, sollte man die Panik mal etwas runterschrauben :cool: |
Ich bin noch immer der Meinung, dass du Zeit damit vergeudest, einem Phantom nachzujagen. Du hast sehr wahrscheinlich ein Treiber-/Hardwareproblem, bzw. es wird eines erzeugt, wenn du die Kernisolierung verwendest. Hier hilft dir ggf. ein Treiber Up- oder Downgrade oder eben das Weglassen der Kernisolierung. Vielleicht schafft auch ein kommendes Windowsupdate Abhilfe... Im schlimmsten Fall musst du andere Hardware verwenden, wenn das Ganze für deinen Anwendungsfall und dein Sicherheitsbedürfnis nicht funktioniert. Die von dir monierte Datei wird ein FP sein; ich finde mit einmal googlen allein 3 entsprechende Berichte, dass ESET diese Datei gern ohne Grund verdächtigt. Solltest du weiter zweifeln, schicke sie per Mail an ESET. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board
Lesestoff: