Seltsames angebliches Windows-Programm installiert

Bolko schrieb:
Diese Datei ist es nicht, denn bei der wäre als Herausgeber "Microsoft" eingetragen.
Oder ist Microsoft jetzt sogar so nachlässig und trägt sich nicht mehr als Herausgeber ein?

Das wird daran liegen das es auch nicht im offiziellen Update-Katalog eingetragen ist, steht aber auch im Link und auf der Microsoft Seite selber
 
@Bolko
Also nach dem "sdbinst.exe -u" das auf dem Screenshot zu sehen ist kommt noch "C:\WINDOWS\AppPatch\Custom\Custom64\{5534e02f-0f5d-40dd-ba92-bea38d22384d}.sdb". Das hab ich gerade auf virustotal hochgeladen und hab 0/55 Treffer, allerdings hatten 4 der Scanner einen "Timeout" und weitere 11 sind "Unable to process file type".

Emergency Kit und Spybot muss ich erst noch probieren, bin hier grade echt ausgelastet mit Foren, MS-Support und googlen :/

Scotty40 schrieb:
Das wird daran liegen das es auch nicht im offiziellen Update-Katalog eingetragen ist, steht aber auch im Link und auf der Microsoft Seite selber
Bedeutet das dass es nicht von MS ist, oder dass sie da nicht alles eintragen?
 
@mugam
Den Link hat mir der MS-Support auch schon gezeigt, allerdings wird da doch nirgendwo ein "Windows Setup Remediations" Teil erwähnt, das keinen Herausgeber hat.
 
sdb = Shim Datenbank.

Microsoft benutzt das für Telemetrie und Kompatibilitätseinstellungen.
Malware kann aber ebenfalls sdb benutzen.
Wenn diese sdb-Datei allerdings von Microsoft signiert ist, dann ist alles ok.
Mach mal Rechtsklick auf
C:\WINDOWS\AppPatch\Custom\Custom64\{5534e02f-0f5d-40dd-ba92-bea38d22384d}.sdb
und schau nach der Signatur.

While the Window's Shim engine is used to enhance the user experience as well as resolve incompatibles between older binaries and operating systems they are running on, it can also be used (and has been used) as a launching point for malware.
https://tzworks.net/prototype_page.php?proto_id=33

Ich sehe gerade, dass Microsoft offenbar generell keine sdb Dateien signiert.
Tja, kein Herausgeber, keine Signatur, keine Dokumentation, also freie Fahrt für Malware.
Microsoft hat's echt drauf.
 
Zuletzt bearbeitet:
Da ist keine Signatur zu finden. Aber es würde doch auch keinen Sinn machen wenn diese Datei signiert wäre, während dieses "Remediations"-Teil keinen Herausgeber eingetragen hat, oder? Wäre das eine signiert würde doch auch beim anderen Microsoft stehen?
 
D0m1n4t0r schrieb:
Tjoa, würde sagen der Bundestrojaner sorgt zuverläassig dafür, dass Antimalware Programme nicht mehr richtig funktionieren.
PC plattmachen und verkaufen. Vermutlich hat sich die Malware nämlich schon in der Firmware von HDD/SSD, Grafikkarte, im UEFI etc. eingenistet. Das bekommst du nichtmehr weg.

So ein sch*i** habe ich schon lange nicht mehr gelesen.
Gibt sicher ein Offtopic Forumsbereich wo man hilfreich zuspamen kann.

Back to Topic:
Ich an deiner Stelle würde alles sichern und den PC komplett neu installieren. Bin da übervorsichtig bezw. irgendwie paranoid und habe lieber ein sauberes System :D. Ich mach mir, nachdem ich das Grundsystem installiert habe ein PC-Image z.B. mit Acronis True Image von meinen PCs.
 
Ich will lieber erstmal sichergehen bevor ich so etwas Drastisches mache. Bei den ganzen Dingen die ich da sichern und neu installieren/kopieren müsste, würde eine Neuinstallation ewig dauern. Womöglich ist es ja doch von MS und aus irgendeinem Grund wurde auf die Signatur vergessen. Gibts es hier denn jemanden der von W10 noch die Versionen 1507, 1511, 1607 oder 1703 verwendet? Für diese Versionen sollen diese Updates sein, und ich selber habe wie gesagt 1703. Jemand der das aktuelle 1709 hat, wird diese Updates/Programme nicht haben.
 
Serjo schrieb:
Da ist keine Signatur zu finden. Aber es würde doch auch keinen Sinn machen wenn diese Datei signiert wäre, während dieses "Remediations"-Teil keinen Herausgeber eingetragen hat, oder?

In der Registry kann man ganz einfach eine "Zeichnenfolge" mit der Bezeichnung "Publisher" eintragen und als Wert dann den Namen des Herausgebers eintragen.
In der Systemsteuerung in der Liste der installierten Programme erscheint dann auch genau dieser Name des Herausgebers.
Da kann jeder auch "Microsoft" oder "Apple" etc eintragen.
Das ist also absolut gar keine Hürde für einen Schädling.
Umso schlimmer, dass Microsoft dort keinen Publisher eingetragen hat.

In dem Programm selber kann man ebenfalls in den Programmdetails im Feld "Copyright" einen Herausgeber eintragen, ohne die Datei signieren zu müssen.
 
Zuletzt bearbeitet:
Und was soll ich jetzt machen? Wie kann ich herausfinden woher das kommt? Einerseits macht es einen sehr Malware-artigen Eindruck, andererseits wurde das Programm wie gesagt direkt nach einem Windows-Update installiert ohne dass ich selber etwas Neues installiert habe.

Wäre auch sehr dankbar wenn mir jemand der eine der oben erwähnten Windows 10 Versionen hat (1507, 1511, 1607, 1703) sagen könnte wie es bei ihm ausschaut.
 
Serjo schrieb:
Und was soll ich jetzt machen? Wie kann ich herausfinden woher das kommt?

Eine Checksumme der sdb erstellen und die Microsoft-Hotline anrufen und fragen, ob die Checksumme stimmt.

Oder warten bis du hier jemanden findest, der dieselbe Windows-Version hat und die Checksumme der sdb bestätigen kann.
 
Zuletzt bearbeitet:
Wegen Emsisoft, ich hab grade dieses Emergency Kit heruntergeladen von https://www.emsisoft.com/de/software/eek/ und wollte es ausführen, aber wenn ich das mache will es installiert werden. Auf der Seite steht doch es wäre portable, also installationsfrei? oO
 
@mugam
Das KB4023057 an sich (angeblich) ein "Zuverlässigkeits-Update" sein soll weiß ich bereits, das hatte ich schon herausgefunden als das erste dieser Programme vor einigen Tagen installiert wurde, das aber als Herausgeber immerhin noch Microsoft hatte.
Jetzt kam eben diese neue Version des KB4023057-Updates und seitdem hab ich ein Programm in der Liste der installierten Programme über das sich nirgendwo irgendeine Information finden lässt, und das auch keinen Herausgeber hat/nicht signiert ist, deshalb beruhigt mich der Link jetzt auch nicht wirklich.
 
Serjo schrieb:
Wegen Emsisoft,[...]und wollte es ausführen, aber wenn ich das mache will es installiert werden. Auf der Seite steht doch es wäre portable, also installationsfrei? oO

Der "Installer" entpackt im Grunde nur die exe in den Ordner c:\EEK und legt einen Link.
Du kannst die exe aber auch manuell mit zum Beispiel 7zip auspacken und den ausgepackten Ordner auf einen USB-Stick kopieren.
 
Achso, ok. Soll ich nach dem Entpacken nur den "emergency kit scanner" starten oder danach auch noch den "commandline scanner" der darüber ist?
 
Serjo schrieb:
@mugam
Das KB4023057 an sich (angeblich) ein "Zuverlässigkeits-Update" sein soll weiß ich bereits, das hatte ich schon herausgefunden als das erste dieser Programme vor einigen Tagen installiert wurde, das aber als Herausgeber immerhin noch Microsoft hatte.
Jetzt kam eben diese neue Version des KB4023057-Updates und seitdem hab ich ein Programm in der Liste der installierten Programme über das sich nirgendwo irgendeine Information finden lässt, und das auch keinen Herausgeber hat/nicht signiert ist, deshalb beruhigt mich der Link jetzt auch nicht wirklich.

Genau das ist ja in dem Link beschrieben, dass KB4023057 wieder da ist ...
 
Microsoft hat also KB4023057 zum mindestens 3.Mal mit neuen Metadaten veröffentlicht, aber vergessen, den Herausgeber einzutragen und der Installer trägt sich nicht in die Liste der Updates ein, sondern in die Liste der normalen Programme.

Dann ist es vermutlich in Ordnung (abgesehen von dem erhöhten Ressourcenverbrauch, CPU-Last und Festplattenrödelei), aber wirklich sicher kann man sich mangels Signatur bzw Checksummenvergleich der sdb nicht sein.


Das sind gleich mehrere handwerkliche Fehler von Microsoft.
- kein Herausgeber
- keine Signatur in der sdb
- falscher Eintrag des Installers
- keine Dokumentation
 
Zurück
Oben