Trojaner-Board - Task Nafifas

Trojaner-Board (https://www.trojaner-board.de/)

- Mülltonne (https://www.trojaner-board.de/muelltonne/)

- - Task Nafifas (https://www.trojaner-board.de/206734-task-nafifas.html)

Seit paar Tagen reagiert mein System (Windows 10 Enterprise LTSC 2019) ab und an etwas merkwürdig.
Erst dachte ich es ist ein Hardware defekt (Grafikkarte, PSU, Monitor) aber mittlerweile glaube ich fast eher an ein Software Problem.
Zumal ich stresstests und cpuid hwmonitor bereits probiert und nichts gefunden habe.

Ich habe gerade Hijackthis durchlaufen lassen, eigentlich sieht für mich alles soweit gut aus bis auf:

Code:

O22 - Tasks: Nafifas - C:\Users\Michael\AppData\Local\Temp\Anydesk\Anydesk.exe (file missing)

In C:\Windows\System32\Tasks findet sich auch eine Datei "Nafifas" die am 27.04.2023 erstellt wurde.

Anydesk kannte ich garnicht bis ich kurz danach gesucht habe und das ist wohl sowas wie Teamviewer. Beruhigt mich nicht gerade...

Und scheinbar verbrigt sich hinter "Nafifas" wohl tatsächlich ein Virus?
https://vms.drweb-av.de/virus/?i=25231302
https://vms.drweb-av.de/virus/?i=25308442

Allerdings gibt es wohl mehrere Varianten und eine mit Anydesk habe ich nicht gefunden.

Wie werde ich den jetzt wieder los?

Auf Antivirensoftware würde ich gerne verzichten da die oft mehr schadet als nutzt (saubere datein trotzdem löscht etc.) und windows ja eh den Defender standartmäßig hat.

Edit:
Hier ist die Datei "Nafifas": https://filehorst.de/d/ehwEovel

Edit2:
C:\Users\Michael\AppData\Local\Temp\Anydesk\Anydesk.exe existiert nicht. (Steht ja auch bereits in der Fehlermeldung)
Auch der Ordner existiert nicht.

Zitat:

Seit paar Tagen reagiert mein System (Windows 10 Enterprise LTSC 2019)

Was machst du da bitte mit dieser Windows Edition?
Windows 10 Enterprise ist keine Edition für ein Privatvergnügen. Windows 10 Enterprise gibt es ausschließlich als Update, entweder über die Volumenlizenzprogramme (z.B. Open License, MPSA) oder im CSP.

Zitat:

Zitat von cosinus (Beitrag 1774155)

Das ist eine Workstation.

Ich hab jetzt auch mittels FRST nochmal einen sehr umfangreichen Scan gemacht.
Nichts auf der Whitelist und 90 statt 30 tage Dateihistory.

Ich konnte aber nicht wirklich irgendetwas anderes finden als erneut:

Code:

2023-04-27 01:45 - 2023-04-28 15:17 - 000003600 _____ C:\Windows\system32\Tasks\Nafifas

Hier bin ich nicht ganz sicher:

Code:

AlternateDataStreams: C:\ProgramData\TEMP:810B9F0D [298]
 

(cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\conhost.exe <4>

(cmd.exe ->) (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe <4>

(Ich hab paar Instanzen powershell.exe im Taskmanager und keine Ahnung wieso)

Anydesk existiert auf meinem Computer nicht.
Es gibt auch keine Registry Einträge.

Ich frage mich ob das System vllt. soweit kompromittiert wurde das "der trojaner" sich vor mir versteckt? Geht das überhaupt?
Falls ja sollte ich vermutlich mal von einer Linux LiveCD booten? Aber nach was und in welchen Verzeichnissen soll ich suchen?

Gibt es einen "Virenscanner" der mir nur meldet ob er was gefunden hat und nichts löscht, in Quarantäne verschiebt etc.?

Ram Auslastung ist 7/128gb obwohl der Taskmanager das nicht wirklich erklärt.

Edit:

Ich habe gestern mittels
https://www.guru3d.com/files-details/display-driver-uninstaller-download.html

den AMD GPU Treiber "komplett" deinstalliert weil:

Code:

Error: (05/08/2023 04:26:41 AM) (Source: Application Error) (EventID: 1000) (User: )

Description: Name der fehlerhaften Anwendung: atieclxx.exe, Version: 6.14.11.1199, Zeitstempel: 0x588f64fb

Name des fehlerhaften Moduls: atieclxx.exe, Version: 6.14.11.1199, Zeitstempel: 0x588f64fb

Ausnahmecode: 0xc000041d

Fehleroffset: 0x0000000000040eb6

ID des fehlerhaften Prozesses: 0x506c

Startzeit der fehlerhaften Anwendung: 0x01d97f975298e67e

Pfad der fehlerhaften Anwendung: C:\Windows\system32\atieclxx.exe

Pfad des fehlerhaften Moduls: C:\Windows\system32\atieclxx.exe

Ich habe gelesen das sich dahinter auch ein Virus verbergen kann.
Allerdings hatte ich bis vor paar Monaten tatsächlich eine AMD GPU und bin dann auf eine Nvidia umgestiegen. Vllt. wurde der Treiber also einfach nicht ordentlich entfernt vom offiziellen AMD uninstaller.

Zitat:

Das ist eine Workstation.

Das beantwortet meine Frage nicht wirklich. Wo hast du diese Enterprise Edition nun her? Und ich betone nochmal, die ist nicht für private Nutzung ausgelegt diese Lizenz.

Zitat:

Zitat von cosinus (Beitrag 1774157)

Das beantwortet meine Frage nicht wirklich. Wo hast du diese Enterprise Edition nun her? Und ich betone nochmal, die ist nicht für private Nutzung ausgelegt diese Lizenz.

Auch wenn es eigentlich garnichts zur Sache tut:

Ich hab mir die Lizenz 2019 ganz normal in nem Onlineshop (müsste in meinen Unterlagen nachschauen welcher) gekauft
und seitdem läuft das System damit.

Ich sehe mich nicht als normalen "Privatanwender" da ich deutlich mehr und andere Dinge mache als normale Konsumenten.
Wäre ich nicht auf diverse Spezial Hard und Software angewiesen die nur mit Windows läuft würde auf der Maschine auch schon
längst Linux laufen. die Enterprise Version + diverse Anpassungen (z.b. Classic Shell) machen mir Windows 10 halbwegs erträglich
da ich hier den ganzen "Consumer Scheiß" nicht ertragen muss. Ich find das Grundsystem (Windows NT) ja auch nachwievor
super, ich wünschte nur Microsoft hätte nach XP oder spätestens 7 einen anderen Weg eingeschlagen.
Windows 10 Pro hat für mich mit einem Betriebssystem für professionelle Anwender nichts zu tun. Ich empfinde das Pro als Beleidigung.

Zurück zum Thema:

Ich denke
ENTWEDER das System ist soweit kompromittiert das sich der Trojaner vor mir versteckt
ODER es war vllt. eine "Hit & Run" Sache. Sprich der "Hacker" hat mir den Virus untergeschoben und mein
System für irgendwas benutzt und dann den Trojaner selbst wieder entfernt, dabei jedoch die Datei
C:\Windows\system32\Tasks\Nafifas vergessen zu entfernen.

Im Falle 1 sollte ich vllt. wirklich mal von einer Linux Live CD booten aber wie gesagt nach was und in welchen
Verzeichnissen soll ich suchen?
Ansonsten Wie schon gesagt gibt es einen Virenscanner der nur scannt und nichts löscht oder in Quarantäne verschiebt?
Gibt es ein Tool das mir mehr aufschluss darüber gibt was die Tasks in meinem Taskmanager genau machen? (z.b. die powershell.exe tasks)

Im Falle 2 sollte ich vllt. einfach die Datei "Nafifas" löschen und abwarten.
Bislang sind keine Probleme mehr aufgetreten.

Zitat:

Auch wenn es eigentlich garnichts zur Sache tut:

Sagmal, glaubst du eigentlich ich frag das aus Spaß, weil ich nichts anderes zu tun habe? :confused:
Wenn ich sowas wie in Windows 10 Enterprise sehe, dann reite ich da immer drauf herum, weil es schon viele Fälle gab wo dann der Anwender übers Ohr gehauen wurde oder er selbst gecrackt hat. Und selbst wenn alles in Ordnung ist und die Lizenz gekauft wurde, dann geht es immer noch darum, dass wir grundsätzlich nur privat genutzte Systeme bereinigen - das kannst du alles da nachlesen:

Zitat:

5. Gewerbliche Nutzung
Wir bereinigen hier grundsätzlich keine gewerblich genutzten Rechner! Es gibt wenige Ausnahmen.

Also die Lizenz ist gekauft und nicht gecrackt.
Der Rechner wird auch nicht gewerblich genutzt.

Wenn du/ihr mir helfen möchtet:

Zitat:

Im Falle 1 sollte ich vllt. wirklich mal von einer Linux Live CD booten aber wie gesagt nach was und in welchen
Verzeichnissen soll ich suchen?
Ansonsten Wie schon gesagt gibt es einen Virenscanner der nur scannt und nichts löscht oder in Quarantäne verschiebt?
Gibt es ein Tool das mir mehr aufschluss darüber gibt was die Tasks in meinem Taskmanager genau machen? (z.b. die powershell.exe tasks)

Ansonsten muss ich halt woanders meine Fragen stellen. :)

Zitat:

Wenn du/ihr mir helfen möchtet:

Dann lies auch bitte den Rest der Hinweise richtig. Da steht auch welche Logs benötigt und dass diese vollständig gepostet werden müssen.

Zitat:

Zitat von cosinus (Beitrag 1774161)

Dann lies auch bitte den Rest der Hinweise richtig. Da steht auch welche Logs benötigt und dass diese vollständig gepostet werden müssen.

Ich wollt sie dir gerade per PN schicken, aber leider kann ich dir keine PN schicken.
Öffentlich posten möchte ich sie nicht unbedingt da daraus zum einen persönliche Informationen hervorgehen und zum anderen ich bereits die nächste Antwort hervorsehen kann -> "Ich kann dir nicht helfen weil dies und das in den logs gegen unsere Regeln verstößt".

Aber wenn man sucht kann man ja immer und bei jedem was finden. :D

Edit:

Ich hatte jetzt grad noch eine Idee.
Ich hab die Logs hier hochgeladen und werde sie nach der Auswertung einfach wieder löschen. :)

https://www.file-upload.net/download.../Logs.zip.html

Lass(t) mich wissen was du/ihr dazu denkt. :)

Siehe Anhang was ich im Windows Defender Log gefunden habe.

Außerdem war bei Windows Defender unter Ausschlüsse/Exlusions ein Eintrag "C:\" also komplette Systemplatte.
Hab ich rückgängig gemacht und einen Scan gefahren allerdings wurde dabei nichts gefunden.
Die Schutzdefinitionen von Windows Defender sind auf dem aktuellen Stand (08.05.2023)

Ich denke der nächste Schritt wäre ein Malware Scanner.
Allerdings ist die Frage welcher?
Ich möchte den Scan auf die Systemplatte beschränken und es soll nichts ohne meine Zustimmung gelöscht werden.

Lies bitte die Hinweise richtig und wie Logs gepostet werden sollen.

Ich habe mittlerweile mit Malwarebytes Premium (Demo Version) wie es aussieht Glück gehabt. (Siehe Anhang für Log.txt)
Ich überlege ob es allerdings trotzdem sinnvoll wäre mit einem Bootbaren Tool nochmals zu scannen. Schaden kann es bestimmt nicht.

Ich habe jetzt auch gesehen das es viele Bootbare Antivirensoftware gibt, nicht nur auf Linux Basis. Ich hab mich allerdings noch nicht durchgearbeitet welche davon Rootkits erkennen können und insgesamt welche die beste ist.

Vllt. kannst du mir ja sagen was derzeit am besten ist? :)

Letzter Hinweis: Lies bitte richtig, wie die Logs zu posten sind!

Posten in CODE-Tags

Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

http://www.trojaner-board.de/picture...&pictureid=307

Ich hab mich jetzt mal umgesehen was es gratis gibt, folgende scheinen mir dabei am interessantesten zu sein:

- Kaspersky Rescue Disk
- Hirens BootCD PE
- Comodo Rescue Disk
- Dr.Web LiveDisk
- Avira Antivir Rescue System

Ich vermute das die alle Rootkits (und so ziemlich sämtliche Malware) erkennen können.
Bei manchen steht es auch deutlich dabei.

Ich denke ich werde vermutlich mal die "Kaspersky Rescue Disk" ausprobieren.
Anhang meiner Erfahrung vermute dass es sich dabei um das beste Produkt für diesen Zweck handelt.
Avira ist Erfahrungsgemäßig eher nicht so der Hammer.
Mit den anderen habe ich keine Erfahrung wobei Hirens BootCD PE ja unter anderem Malwarebytes mitbringt
und das ist Erfahrungsgemäß wiederum ein gutes Produkt.