Seltsames angebliches Windows-Programm installiert

[Serjo]

Hi Leute,

ich hab gestern einige Windows-Updates installiert, und heute seh ich in meiner Liste der installierten Programme plötzlich so ein eigenartiges Programm/Update drin über das ich mit Google überhaupt nichts finden kann, hier ist ein Screenshot, es ist das letzte/markierte in der Liste.

Vor einer Weile wurde mir schonmal etwas Vergleichbares installiert, das ist ebenfalls auf dem Screenshot drauf, nämlich das "Update for Windows 10 for x64-based Systems (KB4023057)", allerdings hatte ich darüber zumindest Informationen finden können, nämlich dass es angeblich ein "Zuverlässigkeits-Update" wäre. Immerhin steht da beim Herausgeber auch Microsoft Corporation dabei; kam mir zwar immernoch komisch vor, aber ich dachte das wird wohl schon passen.

Bei dem was mir jetzt installiert wurde steht dieselbe KB-Nummer in der Klammer aber der Herausgeber ist leer. Außerdem findet Google wie gesagt überhaupt nichts wenn ich nach "Windows Setup Remediations" suche, und wenn ich nach KB4023057 suche, finde ich nur vereinzelt andere Leute die ebenfalls nicht begreifen was das sein soll, aber genau garnichts auf der offiziellen Microsoft-Seite, was mich doch ziemlich beunruhigt. Ist bei irgendeinem anderen Windows 10 User hier dasselbe installiert worden, oder weiß hier zumindest jemand was das soll?

 

[_DPX_]

Evtl. ein gefaktes Update und du bist jetzt ein Teil eines Botnets. Da gibt es Tools für Linux im Darknet.

 

[Bolko]

Herausgeber der Datei ist nicht Microsoft, also sehr verdächtig.
Du solltest mal "Malwarebytes Anti-Malware" + "Emsisoft Emergency Kit" + "SpyBot Search & Destroy" laufen lassen, um herauszufinden, was die dazu sagen.
Falls du herausfinden kannst, wo die Datei gespeichert ist würde ich diese Datei auf VirusTotel hochladen und dort untersuchen lassen.
Anschließend das seltsame Programm deinstallieren oder noch besser einen Windows-Backup restoren.

 

[D4rkEvil]

Oder einfach mal Windows 10 auf die neuste Version bringen ;-)

 

[Serjo]

Aber wieso sollte Malware ausgerechnet ein Programm mit derselben KB-Nummer installieren unter der auch ein Programm/Update durch Microsoft selber installiert wurde, und das erst vor kurzem? Der erste Eintrag mit KB4023057 sieht doch legit aus oder nicht?

 

[BlubbsDE]

Weil es sich so komfortabel verstecken kann? Windows Updates erscheinen nicht der in Liste. Dort erscheinen nur installierte Programme. Für Windows Updates gibt es eine eigene Kategorie. Sieht man ja sogar auf Deinem Screenshot. Oben Links, installierte Updates anzeigen.

 

[Serjo]

Aber wie gesagt, bei dem ersten Programm das mir da installiert wurde, hab ich mehrere Threads auf diversen Seiten gefunden die meinen dass es von Microsoft wäre, und als Herausgeber ist Microsoft ja auch eingetragen. Außerdem wurde damals auch ein neuer Ordner mit 2 Programmen erstellt, von denen eines (remsh) auch oft ausgeführt wird wenn tatsächlich ein Windows-Update läuft. Das remsh.exe Teil ist auch von MS signiert.

(Der Teil den ich gerade geschrieben habe bezieht sich nur auf das erste installierte Programm das schon vor einigen Tagen installiert wurde. Was das zweite angeht hab ich absolut keine Ahnung was das soll, es hat keinen Herausgeber wie gesagt)

 

[D0m1n4t0r]

Das ist der Bundestrojaner.

 

[wertzuiop123]

Schaut jedenfalls seltsam aus.
Was sagt Malwarebytes Anti-Malware + Emsisoft Emergency Kit + SpyBot ?

Im Zweifel würd ich mindestens das Remediations deinstallieren.

Hast du noch 1511 drauf? Oder das aktuelle 1709? Dann wär das auch angebracht

 

[Serjo]

@D0m1n4t0r
Ich schätze mal das war als Scherz gemeint, aber ehrlichgesagt würde mich das nicht wundern..

@wertzuiop123
Hab grade einen Malwarebytes-Scan gestartet (die anderen 2 Programm habe ich im Moment nicht) der nur 42 Sekunden gedauert hat und in dieser Zeit angeblich 328.186 Dateien gescannt hat, angeblich alles "ok" -.-
Ich gehe stark davon aus dass das nicht normal ist und keinerlei Sinn macht?

 

[Vollkorn]

Hier sind alle Win10 Updates aufgelistet

http://www.ms-vnext.net/UpdateArchive/

für (KB4023057) gibt es einen Eintrag 02/08/2017, aber das dieses Updates bei dir nicht unter "installierte Updates anzeigen" aufgelistet wird finde ich schon verdächtig.

 

[D0m1n4t0r]

Tjoa, würde sagen der Bundestrojaner sorgt zuverläassig dafür, dass Antimalware Programme nicht mehr richtig funktionieren.
PC plattmachen und verkaufen. Vermutlich hat sich die Malware nämlich schon in der Firmware von HDD/SSD, Grafikkarte, im UEFI etc. eingenistet. Das bekommst du nichtmehr weg.

 

[wertzuiop123]

Keine Ahnung, kann schon sein. Schaut bei mir so aus am Anfang


(& am Schluss 4 Minuten 300.000 Dateien aber mit einer HDD)

 

[Bolko]

(die anderen 2 Programm habe ich im Moment nicht)

Dann solltest du sie dir runterladen.
Sind beide kostenlos.

Emsisoft Emergency Kit
https://www.computerbase.de/downloads/sicherheit/antimalware/emsisoft-emergency-kit/
https://www.emsisoft.com/de/software/eek/

SpyBot Search & Destroy
https://www.computerbase.de/downloads/sicherheit/antimalware/spybot-search-und-destroy/
https://www.safer-networking.org/de/dl/

 

[Scotty40]

So schwer ist das aber nicht zu finden,
https://www.deskmodder.de/blog/2018...gkeitsverbesserungen-fuer-update-komponenten/

 

[Bolko]

Öffne c:\windows\regedit.exe
und gehe zu folgendem Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
Dann suche dort nach deinem Programm "Setup Remediations".
Du müsstest dann sehen, wie die Datei heißt und in welchem Ordner sie gespeichert ist.
Die kannst du dann bei virustotal hochladen.
https://www.virustotal.com/de/

 

[Serjo]

Also zumindest wegen dem ersten Programm das mir da installiert wurde, und dem remsh.exe Kram der gleichzeitig damit aufgetaucht ist, hab ich das hier gefunden:
Microsoft-dokumentation - Wenn man da auf x64 oder x86 klickt, zeigt es auch die remsh.exe und anderen Dateien an die ich da bekommen habe, zumindest das sieht deshalb mMn noch halbwegs legit aus
Und diesen Thread hier, wo die meisten auch meinen dass es normal ist.

Aber über dieses neue "Windows Setup Remediations (x64) (KB4023057)" finde ich halt absolut nichts. Wäre das aber nicht etwas eigenartig wenn Malware irgendeine KB-Nummer eines MS-Updates im Namen hat das ich erst vor wenigen Tagen bekommen hab, und noch dazu direkt nach einem Windows-Update installiert wird? Denn wie gesagt, das Programm ist nach einem Windows-Update aufgetaucht, ich hab da nichts selber installiert.

@D0m1n4t0r
Meinst du das grade ernst oder willst du mir nur Angst machen? Denn wenn du mir Angst machen willst, dann klappt das wunderbar :/

 

[Bolko]

So schwer ist das aber nicht zu finden,
https://www.deskmodder.de/blog/2018...gkeitsverbesserungen-fuer-update-komponenten/

Diese Datei ist es nicht, denn bei der wäre als Herausgeber "Microsoft" eingetragen.
Oder ist Microsoft jetzt sogar so nachlässig und trägt sich nicht mehr als Herausgeber ein?

 

[Serjo]

@Bolko
Dein Kommentar ist erst aufgetaucht nachdem ich meinen letzten abgeschickt habe. Ich hab das mit regedit gemacht, und dabei kam ich bis hier, was muss ich jetzt machen um da irgendwas zu finden?

WICHTIG @alle anderen im Thread: Bedenkt bitte dass ich noch Version 1703 habe und noch nicht das neue "Fall Creators Update". Zumindest beim ersten dieser installierten Programm steht extra auf der MS-Seite dabei, dass das nur für 1703 und älter gedacht ist, wenn ihr das also auf eurem 1709-Windows nicht findet, ist das normal.

 

[Bolko]

Ich hab das mit regedit gemacht, und dabei kam ich bis hier, was muss ich jetzt machen um da irgendwas zu finden?

ganz rechts das Feld "Daten" aufziehen, damit man den Uninstall-String sehen kann.
Und dann die dortige Datei anschauen.

Was sagen denn Emergency Kit, SpyBot, VirusTotal dazu?