Wie kann ich einen Miner (Virus) entfernen

[Fazzo]

Hallo liebes Forum,
ich habe mir anscheinend ein Miner eingefangen. Wenn ich im ProcessExplorer nachschaue, sehe ich , dass alle paar Sekunden eine "cpu.exe" die "conhost.exe" aufruft. Ich verwende den MS-Defender, der aber nichts findet. Wenn ich von einem Stick starte (c't Notfall Windows und auch c't desinfec't) und die dort vorhandenen Scanner verwende, wird auch nichts gefunden - die "cpu.exe" ist ja auch nur aktiv, wenn mein Win10 pro läuft.
Laut Google deutet dies alles auf einen Miner hin, die CPU-Auslastung ist bei mir mit ca. 5 % im Idle allerdings relativ gering - bevor ich mir den Miner eingefangen hatte, lag sie allerdings bei ca. 2 - 3 im Idle.
Ich habe versucht, den Prozess "cpu.exe" über den ProcessExplorer zu killen, was relativ schwierig ist, da er sich ja ständig ändert, also wieder verschwindet, nachdem er die "conhost.exe" aufgerufen hat. Wenn ich den Prozess aber zu greifen bekommen habe und ihn zu killen versuche, bekomme ich die Meldung "Zugriff verweigert". Die "cpu.exe" ist auch zur Laufzeit nirgendwo auf C: zu finden, auch nicht im Temporär-Verzeichnis.
Ich hatte mit mittlerweile auch mal den Bitdefender free installiert, der hatte aber auch nichts gefunden.
Langsam gehen mit die Ideen aus - hat jemand von euch schon so ein Problem gehabt oder eine Idee, was ich noch tun könnte?
Ich habe mir den Miner vermutl. über den Opera-Browser eingefangen, den ich normalerweise nur recht selten benutze.
Vielen Dank im Voraus an alle
Liebe Grüße
Fazzo

 

[just_f]

Wenn das sicher eine Infektion ist und kein AV was findet, dann platt machen. Oder noch 8 Tage suchen und dann platt machen

 

[whats4]

jo. nullifizieren.

du hast dir garnix "über opera" eingefangen. du hast nur opera dazu verdammt, deine klicks umzusetzen.
opera kann nix dafür. eine andere chromium flavor auch ned.

 

[MikeLitoris]

format c:\

 

[NatokWa]

https://www.file.net/prozess/cpu.exe.html

 

[Lawnmower]

Woher weisst Du dass es ein Miner oder überhaupt ein Schädling ist? Du hast ja jez zig Tools probiert und niemand findet was.

 

[Fujiyama]

So wie immer, man macht die olle Möhre platt und installiert neu oder spielt das Backup ein.

 

[MaxO]

[...] oder spielt das Backup ein.

Welches sich im bestmöglichen Falle auf einem vom System getrennten Datenträger befindet, z. B. auf einem externen USB-Laufwerk.

 

[whats4]

völlig platt.
und wenn man genug install zyklen hat, härtet das das userverhalten.

 

[chrigu]

Wenn desinfect nichts findet und malwarebytes auch kein miner findet, ist das eigentlich ein Zeichen dass es ein Plugin addon des Browser ist. Alle deinstallieren und zuerst mit einem anderen Browser gegentesten.

 

[Fazzo]

Danke für die Antworten und @NatokWa - danke für den Link. ich habe ein Komplett-Backup auf einer externen HDD und das auch schon zurückgespielt. Leider ist das Problem auch bereits in diesem Backup vorhanden und die vorherigen Backups sind noch älter (jeweils immer ca. 1 Monat zurück) - leider hatte ich da noch Avira Pro im Einsatz und ich müsste eine ganze Menge Software updaten und auch die Windows-Updates, die nach diesem Zeitraum lagen wieder einspielen usw. usw. - notfalls werde ich das auch machen, denn ich bin mir ziemlich sicher, dass das Problem da noch nicht vorhanden war. Ich werde mir aber den Link von NatokWa nochmal genauer anschauen, vielleicht hilft mir da auch was weiter.
ich weiß, dass man hier allgemeinen mit "Windows plattmachen und neu installieren" schnell bei der Hand ist, aber meine Installation ist schon einige Jährchen alt und hat sogar den Umstieg von Intel (I7 4790K) auf AMD (vom 3700X dann auf den 5800X) problemlos hinbekommen. Wenn ich Windows neu aufsetzen würde, würde es mich Wochen kosten, alles wieder so hinzubekommen, wie es jetzt ist. Daher versuche ich, diese allerletzte Option erstmal zu vermeiden.
Ich hatte auch über Google gelesen, dass die conhost.exe, wenn sie verseucht wäre, u.U. Schadsoftware nachladen könnte usw. - ich habe meine unter c:\Windows\System32\ vorhandene conhost.exe auch zu Virustotal hochgeladen - keiner der Scanner konnte was finden, die Datei ist also sauber.
Mein Hauptproblem ist also, dass ich die cpu.exe auch zur Laufzeit nirgendwo finden kann, da ich ihr ja sonst zu Leibe rücken könnte.
Trotzdem vielen Dank nochmal an alle - ich werde mal weitersuchen, ob ich das irgendwie geregelt kriege.
Liebe Grüße
Fazzo

Ergänzung (13. März 2023)

@chrigu - Danke, gute Idee - das werde ich auch mal testen. 👍

 

[Fatal3ty]

Hast du vielleicht Stream Deck? Wenn ja, gehört die Datei Cpu.exe sehr wohl wenn es unter Verzeichnis im Stream Deck Ordner zu finden ist.

Du hast ja noch dein altes Windows von i7 4790 zu neue System drübergespielt? Ohje, bitte weg damit. Speichere alle deine wichtige Daten auf deiner Backup, nur die Dokumente und so, nicht das Windows Verzeichnis. Und dann alles platt machen und sauberes Windows frisch installieren. Und lass finger weg mit Avira Müll, es bringt so gut wie gar nichts, schädigt mehr deine Windows als es lieb ist. Und Schlangenöl.

Auch wenn es die Arbeit wochen dauert, besser sauberes Windows als korrupte alte Windows von deinem alten System weiterverwenden und die Probleme weiter ärgern. 🙃

 

[Fazzo]

Ich bin ja auch von Avira Pro auf den Defender umgestiegen - und ich bin froh darüber, Avira war echt "Schlangenöl", obwohl ich es jahrelang benutzt hatte.
Stream Deck habe ich übrigens nicht.

 

[NatokWa]

Ich würde ja sagen : Guck im Task-Manager ALLES an was da läuft, wirklich ALLES. Wen die cpu.exe immer nur kurz auftaucht und als datei nicht auffindbar ist, ist sie Quasi Virtuell und muss damit von etwas anderem "ausgelöst/erstellt/emuliert" werden. Findest du das betreffende kann man DAS entfernen (bzw. es versuchen) ..

ABER : Eine neue Win.Installation wird dich gewiss KEINE Wochen kosten, das ist etwas das man sich gerne einredet aber das meiste ist idr schon nach 2 Tagen wieder so wie "früher" bzw. man merkt sehr schnell das viele der Leichen die man mitgeschleppt hat DOCH nicht nötig sind etc. Überleg es dir also genau ob du das nicht doch so machst.

 

[Fazzo]

Danke, ich werde berichten und nochmal genauestens per Task-Manager und Process Explorer suchen.

 

[cumulonimbus8]

ich weiß, dass man hier allgemeinen mit "Windows plattmachen und neu installieren" schnell bei der Hand ist, aber meine Installation ist schon einige Jährchen alt

Tja… Ich bin ja auch gegen bequemes Plattieren. Aber ich käme dazu nicht weil ich ein Systemimage habe.

Was das Scannen angeht - man scannt in solchen Fällen immer von außen, also mit einem Scanner der von Stick bootet.

CN8

 

[Fazzo]

Danke, das weiß ich und habe ich ja auch getan - leider haben diverse Scanner vom Stick auch nichts gefunden, da die besagte cpu.exe anscheinend nur aktiv ist, wenn auch mein Windows läuft. Ich werde aber nochmal testen, ob es an einem der Opera Addons liegt. Komme aber heute nicht mehr dazu, weil ich morgen u. übermorgen leider in die Firma muss und daher früh aufstehen muss. Aber versprochen, ich werde weiter berichten.
Und wie gesagt, ich habe diverse Systemimages, Komplett-Backups von C: und D: (System u. Programme incl. der restlichen Partitionen, also meine komplette Samsung 980 pro) - leider ist das aktuellste Backup auch schon kompromittiert. Ich hatte das Problem vor Erstellen des Backups nicht bemerkt.

 

[Netvampire]

nunja, bestenfalls sollte man überprüfen, was es mit cpu.exe* auf sich hat. conhost.exe ist ja bekanntlich eine windows-datei, die habe ich auch.
ansonsten: was sagt denn Malwarebytes zu dem vermeintlichen virus? einen "Miner" findet der sicher eher als defender & co.
und wenn man das ding z.b. im abgesicherten modus umbenennt - was passiert dann? vorausgesetzt es geht
* die befindet sich mit sicherheit irgendwo auf der HD oder einem integrierten online laufwerk etc...

 

[PeterTit]

Moin,
mal hier nachschauen: https://sensorstechforum.com/de/cpu-exe-process-cpuminer-multi-virus-detect-remove/

 

[chrigu]

@PeterTit nur so zur Info:
Spyhunter gehört selber unter die Rubrik crapware
Also nur die weit unten zu findende „manuelle Entfernung“ benutzen!