3,5" Bildschirm-Malware (UsbMonitor) entfernen?

[Mr Lime]

Grüß euch,

ich habe mir auf Amazon zur Darstellung der GPU- und CPU-Temperaturen einen günstigen 3,5 Zoll Monitor geholt, den ich schlussendlich mit der China-Software "3.5 Inch SmartMonitor" zum Laufen gebracht habe. Zuvor hatte ich von turzx.com die Software runtergeladen und installiert. Ich habe im Nachhinein wo gelesen, dass diese Malware enthält und UsbMonitor installiert.

Mit Malwarebytes konnte ich allerdings nichts ausfindig machen, CCleaner schließlich zeigt es mir bei "Geplanten Aufgaben" als Autostart an.
Im Ordner \AppData\Local\Temp\Rar$EXa20668.35259\35inchENG konnte ich die UsbMonitor.exe -auto aber nicht finden.
Rar$EXa20668.35259\35inch wird mir gar nicht angezeigt.

Habt ihr einen Tipp, wie ich das wieder los werde oder mit welchem Programm ich gegen sowas vorgehe?

Herzlichen Dank!
freundliche Grüße aus Wien

 

[TorenAltair]

CCleaner kannst Du einfach über Windows deinstallieren,
Und bzgl. des Restes: Du findest keine Malware, willst die aber loswerden, weil Du irgendwo gelesen hast, dass die da sein sollte?

 

[Drewkev]

Ich habe im Nachhinein wo gelesen, dass diese Malware enthält und UsbMonitor installiert.

Wieso verratest du uns das nicht direkt?

 

[Mr Lime]

Hier: Klick

Weshalb soll Ccleaner deinstalliert werden?

In Ccleaner scheint UsbMonitor eben noch auf, weshalb ich davon ausgehe, dass es noch irgendwo vorhanden ist.

Der Antivirus hat zuvor gewarnt, ich habe aber dennoch ausgeführt. Das hat er bei der jetzt verwendeten Software allerdings auch. Norton-Scan findet nun aber nichts mehr und nun bin ich mir unsicher.

 

[cumulonimbus8]

Weshalb soll Ccleaner deinstalliert werden?

Weil der Ruf dieser Software Seit Jahren (Jahrzehnten will man sagen) unter aller Kanone ist.
Aber Werbung schafft das Wunder dieses Schlangenöl immer wieder an Nutzer gelangen zu lassen.

Bemühe Tools aus den Baukästen von SysInternals (ist Microsoft mittlerweile) oder NirSoft und die bekommt verlässliche Informationen.

CN8

 

[TorenAltair]

Weshalb soll Ccleaner deinstalliert werden?

Weil CCleaner selbst Malware ist. Zusätzlich ist CCleaner regelmäßig mit der Grund, warum die Systeminstallation nicht mehr lauffähig ist oder Daten gelöscht werden.

 

[areiland]

In Ccleaner scheint UsbMonitor eben noch auf, weshalb ich davon ausgehe, dass es noch irgendwo vorhanden ist.

Weil Ccleaner ja auch nur eine entsprechende Aufgabe auflistet und nichts mehr. Bemühe also die Aufgabenplanung und entferne diese Aufgabe.

Und bitte, lerne erst mal das was Ccleaner auflistet auch richtig zuzuordnen!

 

[Mr Lime]

Danke für den Tipp, CCleaner ist nun wieder deinstalliert. Norton Power Eraser hat allerdings die jetzige 3,5" Monitor-Software als Bedrohung eingestuft:

Die Software wird aber zumindest in Programmen regulär dargestellt und hat auch eine unins000.exe, weshalb ich weniger Bedenken darüber habe, als über das ominöse UsbMonitor-Programm.


In den Security Awareness-Schulungen lernt man, keine fremden USB-Sticks anzustecken, aber wie vertrauenswürdig sind denn die Geräte, die man über Amazon, Aliexpress & Co. bestellen kann?

 

[BFF]

wie vertrauenswürdig sind denn die Geräte, die man über Amazon, Aliexpress & Co. bestellen kann?

Eigentlich genau so vertrauenswürdig wie ein Stick der rein zufällig vor Deiner Nase an der Tanke vom LKW fällt.

 

[TP555]

Hi

Findet der Defender denn nix, oder verschiebt es in die Qurantäne ?

Falls nicht, muss Malwarebytes ran, die anderen Sachen wie CCleaner und Norton kannst du Deinstallieren.

https://de.malwarebytes.com/mwb-download/thankyou/

mfg.

 

[BFF]

Warum sollte Defender oder wer anderes was finden wenn das Programm ein regulaeres unauffaelliges Programm ist? @TP555

 

[TP555]

@BFF

Wird spätestens der Fall sein, wenn er mal nen Scan Startet.
Sehe aber, es ist im Autostart Deaktviert.

ch habe im Nachhinein wo gelesen, dass diese Malware enthält und UsbMonitor installiert.

Link dazu ?

Du kannst deine Datei, aber auch hier mal prüfen, was die genau so macht, und ob die überhaupt Malware enthält bzw. Nachlädt, und wie man vorgehen muss um die Malware Restlos zu Entfernen.

https://hybrid-analysis.com/
https://www.file.net/process/usbmonitor.exe.html

Ich habe hier etwas gefunden, nur ob das deine Datei war k.a.

https://hybrid-analysis.com/sample/...92d8ff8d30a79e2d705e/658e88fe31c0573c4e0a4f63

Das Setup, sah das bei dir so, oder so ungefähr aus?
https://hybrid-analysis.com/file-inline/658e88fe31c0573c4e0a4f63/screenshot/screen_2.png

mfg.

 

[Mr Lime]

Danke für die Tipps.

Malwarebytes hat nichts gefunden, wie anfangs erwähnt.
Den Link hatte ich oben als Grund zur Annahme von Malware angegeben, es handelt sich um deinen 2. Vorschlag:
https://www.file.net/process/usbmonitor.exe.html

Die vermeidliche Malware-Software findet man hier: https://www.turzx.com/2023/03/02/直链下载directdownload/
Der erste Link davon, habe ich gleich durch die Hybrid-Analyse geschickt:

Die zip Datei enthält:

Das Setup sah nach meinen Erinnerungen anders aus, als von deinem Beispielbild.

 

[Mr Lime]

Was haltet ihr denn grundsätzlich von einer Wiederherstellung an einem Punkt vor der Installation der Monitor Software? Ist so ein Vorgang empfehlenswert?

 

[TP555]

Der erste Link davon, habe ich gleich durch die Hybrid-Analyse geschickt:

Hi

Du musst schon allerdings die .exe Datei/en hochladen , sonnst kann die Automatiesierte VM nix damit Anfangen (Siehe Rejected) im Screenshot.

Und was du vorher als Screenshot gepostet hast, bitte als Link Posten für den Finalen Scan, damit jeder besser reinschauen kann.

mfg.

 

[Mr Lime]

Habe nun die .exe reingezogen, offenbar wurde die Analyse fündig:
https://www.hybrid-analysis.com/sam...0173293d23f5728855f41b62748cf6a4b5b9406f972ab

Hilft in so einem Fall eine Wiederherstellung auf einen Zeitpunkt vor der Installation?

 

[BFF]

Ein Wiederherstellen kann helfen wenn der letzte Punkt vor der Installation war. Due hast da aber WindowsUpdates mit drin und die packen haeufig mehr in das System was u.U. mehr Fehler macht spaeter als einem lieb.

Ich persoenlich wuerde, auch wenn das Programm da aus China von Virustotal als gut befunden ist, das Geraet neu aufsetzen. Warum?

Ich vertraue rein garnicht Leuten/Firmen die etwas was man direkt bei MS downloaden kann in eine RAR verpacken und auf "eigenem Cloud-Server" ablegen.

 

[Mr Lime]

Ich habe nun das System auf einen Stand vor den Installationen erfolgreich wiederhergestellt.

Neuaufsetzung wäre ein kleiner Alptraum, das möchte ich eigentlich nicht tun müssen.

Die Software, die den 3.5" Monitor zum Laufen brachte, habe ich nun auch analysieren lassen:
https://www.hybrid-analysis.com/sam...f4a49333c8e7117db6336d84e5c?environmentId=140
Wie würdet ihr die denn einschätzen? Zwar 7 "Suspicious Indicators", aber soweit ich das beurteilen kann nichts Besorgniseregendes..?

 

[BFF]

Du kannst jede einzelne (ausfuehrbare) Datei davon analysieren lassen dort. Es bringt das Vertrauen nicht wieder.

Ich habe mal aus Deinem Paket da die "Microsoft.Win32.TaskScheduler.dll" analysieren lassen.
Das ist ein bekannter .Net Wrapper fuer die Geplanten Tasks von Windows.

https://www.hybrid-analysis.com/sam...14b443a87daf3f6dc2ae552af7b24017b905b7c68f336

Diese Anwendung die Du da hast mag durchaus sauber sein, Deine AV hat ihre KI ausgelebt und gewarnt.
Zu Recht / zu Unrecht? 🤷‍♂️

Meine Meinung hast Du in #17. Aber das ist weil sowas absolut kein Vertrauen bringt.
Bist Du der Meinung das System zu betreiben, ja tu es.

Um Dich endgueltig zu verwirren mal hier die Analyse des allseits bekannten GEEK Uninstallers.

https://www.hybrid-analysis.com/sam...fd51235be45f8038745582a5d3428b63123fd2ced60db

 

[cumulonimbus8]

Neuaufsetzung wäre ein kleiner Alptraum, das möchte ich eigentlich nicht tun müssen.

Nun; warum hast du keine qualifizierte Backupstrategie - Image wie Dateibackups?

Du kannst jede einzelne (ausfuehrbare) Datei davon analysieren lassen dort. Es bringt das Vertrauen nicht wieder.

Völlig richtig.

Ich möchte diese Aussage dennoch gerne zur Verdeutlichung anders ausformulieren:
Ein Schaden der angerichtet wurde bleibt, gleich ob ich den Schädling eliminiere oder nicht.

CN8