16
Verdächtiger Prozess Au.exe
Hallo Zusammen
Ich habe im Büro AppLocker installiert und angefangen die Programme zu Whitelisten. Dabei ist mir bei einigen einen verdächtiger Prozess aufgefallen, nur leider ist es nicht signiert, aber wahrscheinlich von Logitech, da dort LogiUI Pak unter Produktname in der Exe steht. Im Internet habe ich leider nichts schlaues gefunden und er verhält sich schon verdächtigt.
Hier zu finden:
Hat folgende Prozessse angelegt:
VirusTotal: (Sha 0d033ab0a10297e4da87abf54a1bd83514fd04d7c29386af04c00112de02aabf)
Cynet (MaxSecure)->Trojan.Malware.300983.susgen
Was denkt ihr würdet ihr den whitelisten oder wie fahre ich am besten weiter? Logitech-Support habe ich auch einmal angeschrieben, aber glaube dort antwortet nur noch ein AI Bot (Generic).
Ich habe im Büro AppLocker installiert und angefangen die Programme zu Whitelisten. Dabei ist mir bei einigen einen verdächtiger Prozess aufgefallen, nur leider ist es nicht signiert, aber wahrscheinlich von Logitech, da dort LogiUI Pak unter Produktname in der Exe steht. Im Internet habe ich leider nichts schlaues gefunden und er verhält sich schon verdächtigt.
Hier zu finden:
C:\Users\%username%\AppData\Local\Temp\~nsu.tmp\Hat folgende Prozessse angelegt:
Au_.exe
Bu_.exe
bis
Zu_.exeVirusTotal: (Sha 0d033ab0a10297e4da87abf54a1bd83514fd04d7c29386af04c00112de02aabf)
Cynet (MaxSecure)->Trojan.Malware.300983.susgen
Was denkt ihr würdet ihr den whitelisten oder wie fahre ich am besten weiter? Logitech-Support habe ich auch einmal angeschrieben, aber glaube dort antwortet nur noch ein AI Bot (Generic).
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2223954092
Url: https://administrator.de/contentid/2223954092
Ausgedruckt am: 20.09.2024 um 22:09 Uhr
16 Kommentare
Neuester Kommentar
Hi
Nun du kannst ja einen neuen PC nehmen und diesen so Einrichten wie die anderen.
Bevor du dann die Logitech Programme Installierst machst du alles mit Applocker und schaust nach der Installation ob die Programme dort auch Auftauchen.
Dazu kannst du ja einen PC mit dem Verhalten Analysieren welchen Netzwerktraffic dieser macht und wohin dieser sich Verbinden möchte...
Dazu Logs ob es dort Auffälligkeiten gibt (Zugriffe, Falsche/Fehlerhafte Logins ect) von dem PC.
Anzeigen lassen welche Daten so des System geöffnet hat....
Wären so Maßnahmen die gemacht werden sollten und erst mal ausgehen das es was Böses ist als zu Warten auf Support was ggfs Tage dauert mit dem Schreiben bis du mal jemand erreichst der mehr Ahnung davon hat....
Könnte ein Update Programm sein aber von A* bis Z* ist schon etwas Kurios das es 26 Programme hat die auch Aktiv? sind....
Nun du kannst ja einen neuen PC nehmen und diesen so Einrichten wie die anderen.
Bevor du dann die Logitech Programme Installierst machst du alles mit Applocker und schaust nach der Installation ob die Programme dort auch Auftauchen.
Dazu kannst du ja einen PC mit dem Verhalten Analysieren welchen Netzwerktraffic dieser macht und wohin dieser sich Verbinden möchte...
Dazu Logs ob es dort Auffälligkeiten gibt (Zugriffe, Falsche/Fehlerhafte Logins ect) von dem PC.
Anzeigen lassen welche Daten so des System geöffnet hat....
Wären so Maßnahmen die gemacht werden sollten und erst mal ausgehen das es was Böses ist als zu Warten auf Support was ggfs Tage dauert mit dem Schreiben bis du mal jemand erreichst der mehr Ahnung davon hat....
Könnte ein Update Programm sein aber von A* bis Z* ist schon etwas Kurios das es 26 Programme hat die auch Aktiv? sind....
Moin,
Verdächtiger Pfad
Hat folgende Prozessse angelegt:
Au_.exe
Bu_.exe
bis
Zu_.exe
verdächtige Namen.
VirusTotal: (Sha 0d033ab0a10297e4da87abf54a1bd83514fd04d7c29386af04c00112de02aabf)
Cynet (MaxSecure)->Trojan.Malware.300983.susgen
Ist nur der eine, der per Heuristik das erkennt. Ist zwar eher ein Anzeichen für false positive, aber bei recht neuen Trojaner n sieht es in den ersten Stunden immer so aus. Erst nach mehreren Stunden oder gar Tagen stoßen die anderen Scanner dazu, wenn es tatsächlich Malware sein sollte. Also daher mal im Stundenabstand neu scannen lassen.
Isolieren und erstmal mit desinfect drübergehen. Diese binaries erstmal sperren udn dann schauen, ob sich irgendwelche nachteiligen Folgen einstellen.
lks
PS: Den obigen Vorschlag, einen Testrechner aufzusetzen, um zu schaun ob die Logitech-Software dafür verantwortlich ist, würde ich natürlich auch ausprobieren.
Verdächtiger Pfad
Hat folgende Prozessse angelegt:
Au_.exe
Bu_.exe
bis
Zu_.exe
verdächtige Namen.
VirusTotal: (Sha 0d033ab0a10297e4da87abf54a1bd83514fd04d7c29386af04c00112de02aabf)
Cynet (MaxSecure)->Trojan.Malware.300983.susgen
Ist nur der eine, der per Heuristik das erkennt. Ist zwar eher ein Anzeichen für false positive, aber bei recht neuen Trojaner n sieht es in den ersten Stunden immer so aus. Erst nach mehreren Stunden oder gar Tagen stoßen die anderen Scanner dazu, wenn es tatsächlich Malware sein sollte. Also daher mal im Stundenabstand neu scannen lassen.
Was denkt ihr würdet ihr den whitelisten oder wie fahre ich am besten weiter? Logitech-Support habe ich auch einmal angeschrieben, aber glaube dort antwortet nur noch ein AI Bot (Generic).
Isolieren und erstmal mit desinfect drübergehen. Diese binaries erstmal sperren udn dann schauen, ob sich irgendwelche nachteiligen Folgen einstellen.
lks
PS: Den obigen Vorschlag, einen Testrechner aufzusetzen, um zu schaun ob die Logitech-Software dafür verantwortlich ist, würde ich natürlich auch ausprobieren.
1
hab was altes dazu gefunden...
https://any.run/report/4eef895eb34ed3fa13ac0cfe1a3ba28efc7a229f036889b91 ...
ist wohl nicht unbekannt und verdächtig aber keine aktive gefahr...
hat halt ein logitech entwickler nicht grad seinen besten tag gehabt als er das gecoded hat.
https://any.run/report/4eef895eb34ed3fa13ac0cfe1a3ba28efc7a229f036889b91 ...
ist wohl nicht unbekannt und verdächtig aber keine aktive gefahr...
hat halt ein logitech entwickler nicht grad seinen besten tag gehabt als er das gecoded hat.
Zitat von @ThePinky777:
ist wohl nicht unbekannt und verdächtig aber keine aktive gefahr...
hat halt ein logitech entwickler nicht grad seinen besten tag gehabt als er das gecoded hat.
ist wohl nicht unbekannt und verdächtig aber keine aktive gefahr...
hat halt ein logitech entwickler nicht grad seinen besten tag gehabt als er das gecoded hat.
Oder er hat nicht aufgepaßt und jemand hat ihm die Malware untergeschoben, damit er sie in seien Anwendung mit einbaut.
Übrigens arbeiten Geheimdienste, egal, ob russisch, chinesisch oder amerikanisch, daß sie Leute bei populäten Software-Entwickler-firmen einschleusen, die dann den Sourcecode passend manipulieren.
lks
Wenn schon Applocker dann auf jeden Fall niemals fremde unsignierte EXEs in temporären Verzeichnissen für die Ausführung erlauben, das verbietet sich schon von selbst. Denn wenn du das zulässt brauchst du auch kein Applocker.
Gruß
Gruß
2
Die AU.exe oder AU_.exe kommt von AutoIT https://www.autoitscript.com/site/
Das verwenden viele Software-Hersteller, um ihre Softwareinstallationen silent zu skripten.
Wenn jetzt z.B. Logitech wie bei dir ein Update installieren will, passiert genau das, Installer entpacken sich idR in den temporären Verzeichnissen und laufen dann los.
Generell whitelisten macht demnach aber auch keinen Sinn, weil AutoIT natürlich im Umkehrschluss auch für Schabernack verwendet wird.
Das verwenden viele Software-Hersteller, um ihre Softwareinstallationen silent zu skripten.
Wenn jetzt z.B. Logitech wie bei dir ein Update installieren will, passiert genau das, Installer entpacken sich idR in den temporären Verzeichnissen und laufen dann los.
Generell whitelisten macht demnach aber auch keinen Sinn, weil AutoIT natürlich im Umkehrschluss auch für Schabernack verwendet wird.
Zitat von @Lochkartenstanzer:
Oder er hat nicht aufgepaßt und jemand hat ihm die Malware untergeschoben, damit er sie in seien Anwendung mit einbaut.
Übrigens arbeiten Geheimdienste, egal, ob russisch, chinesisch oder amerikanisch, daß sie Leute bei populäten Software-Entwickler-firmen einschleusen, die dann den Sourcecode passend manipulieren.
lks
Zitat von @ThePinky777:
ist wohl nicht unbekannt und verdächtig aber keine aktive gefahr...
hat halt ein logitech entwickler nicht grad seinen besten tag gehabt als er das gecoded hat.
ist wohl nicht unbekannt und verdächtig aber keine aktive gefahr...
hat halt ein logitech entwickler nicht grad seinen besten tag gehabt als er das gecoded hat.
Oder er hat nicht aufgepaßt und jemand hat ihm die Malware untergeschoben, damit er sie in seien Anwendung mit einbaut.
Übrigens arbeiten Geheimdienste, egal, ob russisch, chinesisch oder amerikanisch, daß sie Leute bei populäten Software-Entwickler-firmen einschleusen, die dann den Sourcecode passend manipulieren.
lks
Davon gehe ich nicht aus, das Ding existiert schon seit 2022 siehe Link von mir oben,
wenns seit dem immernoch nicht bei virustotal bei mehr als einem Heurestiken Scan als Rot erscheint, ist es wohl ziemlich unwahrscheinlich das es was mega gefährliches ist.
In dem link kann man auch sehen das der Prozess keine gefährlichen Kettenreaktionen auslöst, ist also dort ersichtlich was passiert wenn die exe gestartet wird, wobei angemerkt wurde das es ein komisches verhalten ist...
Dann muss man wohl sich auch mal entscheiden das man die Software von Logitech deinstallieren sollte bzw. erst garnicht installieren.
White Listen würde ichs auch nicht, wenns ne Grey List gibt
da passt es hin Gibts halt nicht
Super, vielen Dank für die vielen Antworten und Ansätze. Ich werde es einmal wenn ich Zeit habe in einer isolierten VM laufen lassen und es ein wenig genauer analysieren und für den Moment lasse ich es einfach gesperrt, kann jedoch sein, dass sich dann dadurch die Software nicht mehr korrekt updaten lässt.
Ist das noch Microsoft Windows XP?
Applocker unter XP?? Scherzkeks ...
1Zitat von @13034433319:
Applocker unter XP?? Scherzkeks ...
Applocker unter XP?? Scherzkeks ...
Die Antwort war auf eine andere gemeint! Ist im Antwortbaum ersichtlich (deswegen auch meine Frage (Keine verschachtelten Antworten?))
Zitieren hilft.
Und was hat das hier aus dem Kommentar auf den du geantwortet hast, jetzt mit XP zu tun?
Gewöhne dir mal ab Einzeiler ohne jeglichen Kontext hier rein zu kippen, das nervt! Danke.
Und was hat das hier aus dem Kommentar auf den du geantwortet hast, jetzt mit XP zu tun?
Gewöhne dir mal ab Einzeiler ohne jeglichen Kontext hier rein zu kippen, das nervt! Danke.
1Zitat von @13034433319:
Zitieren hilft.
Und was hat das hier aus dem Kommentar auf den du geantwortet hast, jetzt mit XP zu tun?
Gewöhne dir mal ab Einzeiler ohne jeglichen Kontext hier rein zu kippen, das nervt! Danke.
Zitieren hilft.
Und was hat das hier aus dem Kommentar auf den du geantwortet hast, jetzt mit XP zu tun?
Gewöhne dir mal ab Einzeiler ohne jeglichen Kontext hier rein zu kippen, das nervt! Danke.
Ich sprach von den Screens im besagten Report
Ich sprach von den Screens im besagten Report
Sieht man ja schon am Hintergrundbild das das kein XP ist.
Und im Text steht es ja auch
OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)
Zitat von @13034433319:
Sieht man ja schon am Hintergrundbild das das kein XP ist.
Und im Text steht es ja auch
Ich sprach von den Screens im besagten Report
Sieht man ja schon am Hintergrundbild das das kein XP ist.
Und im Text steht es ja auch
OS: Windows 7 Professional Service Pack 1 (build: 7601, 32 bit)
Das ist doch kein Windows 7? Ich meine, mit den Schaltfläschen? Waren die bei 7 nicht moderner?
Zitat von @Justman10000:
Das ist doch kein Windows 7? Ich meine, mit den Schaltfläschen? Waren die bei 7 nicht moderner?
Doch, wenn du das Aero-UI-Theme mit Transparenz abschaltest und damit den den Classic Desktop aktivierst sah das unter W7 genau so aus ...Das ist doch kein Windows 7? Ich meine, mit den Schaltfläschen? Waren die bei 7 nicht moderner?
Ist hier aber jetzt völlig OffTopic, also lass uns das bitte hier abhaken.
