Geekom Ae8 Mini Pc - Windows Defender findet Trojaner im Treiber Ordner.

[PcFrk]

Hi

Als ich auf meinem Geekom AE8 Mini Pc nach dem Kauf Windows neu aufgesetz habe und die Treiber von der Herstellerseite heruntergeladen habe, hat der Windows Defender beim Entpacken von den Treibern einen Trojaner gefunden.

Die Meldung vom Windows Defenter lautet:

Bedrohung Gefunden.

Trojan:Win32/Asruex.A

Laut Microsoft macht der Virus folgendes:

• Slow performance
• Presence of added or modified files
• Changes in desktop settings
• Freezing or crashing
• Diminished storage space

Ich installiere meine Treiber jetzt mit dem kostenlosen Tool Snappy Driver Origin. Die Software ist Kostenlos, und kommt ohne Werbung bzw. Bloatware.

https://www.snappy-driver-installer.org/

Ich fand das ein wenig Merkwürdig da ja Geekom ein beliebter Pc hersteller ist. Ich habe auch schon den Hersteller Kontaktiert und warte auf eine Antwort.

Was sagt ihr zu der ganzen Sache?

LG

PcFrk

 

[PC295]

Um welchen Treiber geht es denn? Link?
Poste auch die Details zum Fund (Pfad / Dateiname).
Eventuell ein Fehlalarm. Das ist beim Defender nicht ungewöhnlich.

 

[PcFrk]

@PC295 Das ist dieser Treiber hier:

https://support.geekompc.com/vfm-ad...ZlLnppcA==&h=8e0bfb8955bc38c9ad740425a9a22cd2

Wenn ich den Pfad öffnen möchte dann Löscht Windows Defender den " Trojaner " sofort gleich wieder.

Vielleicht kann ich oder jemand anderes es mal auf einer VM testen.

Und vielleicht ist es wie du schon sagst bloß nur ein Fehlalarm.

LG

👋

 

[PC295]

Der Fund wird im Realtek LAN-Treiber gemeldet.
Ich habe diesen mal bei Virustotal hochgeladen um zu schauen, was andere Virenscanner melden:
https://www.virustotal.com/gui/file/1e806ce2fe77671b20c433f6f2088604d7e6addb6dbbb707e7f8bd86c7f573fb

Sieht erstmal nicht nach einem Fehlalarm aus.
Ich werde mir den Treiber mal unter einer VM genauer anschauen und dann Rückmeldung geben.

 

[PcFrk]

@PC295 Uff das sieht ja gar nicht gut aus, Virustotal hat bei mir gemeldet dass die Datei zu groß sei. Habe vorhin bei Hyper V eine Windows 11 Maschine erstellt und da tauchte komischerweise das Problem beim Windows Defender nicht auf, nur beim Hauptrechner. Vermutlich hat da die Datenbank im Windows defender gefehlt. Ich habe als Testzwecke mal mehrere Fake konten mit Fake Daten erstellt, mal sehen ob das irgendwelche Auswirkungen hat.

 

[PC295]

Das ist eine manipulierte Version des Realtek Ethernet Treibers.
Komischerweise liegt im Paket die Originale Installationsdatei dabei:
(im Zip befindet sich das Original im bereits entpackten die Infizierte)



Ich habe die Größen verglichen, da sieht man die Unterschiede:





Und die Inhalte:
Das Original ist ein selbstentpackendes Archiv. Bei der infizierten Version hat man einen Packer für Installationsprogramme verwendet:



Bei der Installation wird der Treiber installiert, zusätzlich verbleibt aber eine Datei im Pfad AppData\Roaming\Microsoft\Installer


Es handelt sich um ein Backdoor der Dateien über Schwachstellen infiziert:
https://www.trendmicro.com/en_us/re...-old-ms-office-and-adobe-vulnerabilities.html
Das war aber 2015 und betraff entspr. veraltete Versionen des Adobe Readers

 

[PcFrk]

@PC295

Da bekommt man erst einmal einen schock wenn man das so ließt.

Aber Danke, dass du dir da die Mühe gemacht hast. Kann man jetzt beruhigt die Treiber auf dem System installieren, oder muss man da immer noch aufpassen?

Ich verstehe aber nicht so richtig, warum da jemand eine Backdoor aus 2015 mit in den Ordner rein packt.

Bei Acemagic gab es ja so etwas ähnliches.

LG

PcFrk

 

[andy_m4]

Ich verstehe aber nicht so richtig, warum da jemand eine Backdoor aus 2015 mit in den Ordner rein packt.

Weil die Firmen alle herumpfuschen. Qualitätssicherugn kostet Geld. Und das will keiner ausgeben.

 

[PC295]

Am besten dort erstmal keine Treiber laden.
Die meisten Treiber bringt Windows ab Werk mit oder läd sie über Windows Update.
Wenn noch Treiber fehlen, kannst du sie beim jeweiligen Hersteller (AMD, Intel, Realtek, etc.) direkt herunterladen.

Schau im Gerätemanager, ob Warnungen angezeigt werden.

 

[PcFrk]

@andy_m4

Weil die Firmen alle herumpfuschen.

Da hast du auf jedenfall recht. Man weiß nie so richtig was dort die Mitarbeiter im Hintergrund machen.

Ergänzung (29. Dezember 2024)

@PC295

Okay. Aber ich bin immer noch geschockt weil Geekom ja ein beliebter Hersteller ist, und von den meisten Leuten gelobt wird. Eigentlich ist der Pc ganz Nice und habe lange auf den Rechner gespart, wär da nicht das Problem mit den Treibern.

Normalerweise reichen ja wie du schon sagst die Windows Updates. Müsste Geekom in den Treibern überarbeiten.
Habe mal soeben den Gerätemanager aufgerufen:

Dort fehlt nur bei den PCI Geräten der Treiber, sind die wichtig?

 

[PC295]

Da fehlt noch der Chipsatz-Treiber von AMD. Die sind wichtig.
Den kannst du von Geekom nehmen - der ist original und sauber: Virustotal-Bericht

https://service.geekompc.com/ae8/ -> Chipset

Du kannst ihn auch von AMD herunterladen, wenn du die genauen Spezifikationen weißt
(Ich konnte es anhand des Datenblattes nicht zuordnen...)
https://www.amd.com/de/support/download/drivers.html

Dort wählst du "Chipsets" aus und dann die entspr. Familie.

 

[PcFrk]

@PC295

Super Danke, jetzt funktioniert alles reibungslos nach 3 Wochen. 👍 Da muss man erst einmal da drauf kommen.

Ergänzung (30. Dezember 2024)

@PC295

Habe jetzt das Gefühl dass mit dem Chipsatz Treiber die Spiele bzw. Software schneller laufen. Dazu habe ich mal den Heaven Benchmark ausgeführt, vorher ging der nur auf Low und jetzt auf Ultra.

 

[PC295]

Der Chipsatztreiber ist der wichtigste Treiber und sorgt u.a. dafür dass die einzelnen Hardwarekomponenten optimal zusammenarbeiten.