CPU-Z und Hardwaremonitor Virus

[Cl4whammer!]

https://www.reddit.com/r/pcmasterra...rning_hwmonitor_163_download_on_the_official/

Offenbar wurde die Webseite gehackt und der Traffic umgeleitet.

Ich habe gesternt CPU-Z Runtergeladen aber kann mich nicht erinnern ob ich das Tool bei Computerbase oder dort runtergeladen hatte. Hab die File aber gesternt durch Virustotal gejagt und sie war clean, hab den Filereport hier noch:

https://www.virustotal.com/gui/file...7aeb767c5eb95e56909badbb1fe05083c16/detection

Ich hab von Computerbase das Tool nochmal runtergeladen die Checksummen passen, also glaube ich bin ich letztendlich doch hier gelandet (War leider etwas in Eile).

Allerdings sind die CB Checksummen auch etwas anderes als die die ich bei Google finde. Zip CB die File neu um? Oder hat Techpowered up generell eine andere Prüfsumme?

EDIT: Ich sehe gerade, CB hat die File nicht selbst gehosted! Der Download Link im Archiv geht nach:

https: //download.cpuid.com/cpu-z/cpu-z_2 .19-en.zip

 

[evilhunter]

Da etwas mehr Infos zu:

https://x.com/vxunderground/status/2042499378233876715

Grundsätzlich im Zweifel neu installieren. Das war kein dummer nach den ersten Analysen.

 

[Cl4whammer!]

Grundsätzlich im Zweifel neu installieren.

Ist wohl wahr, hab im Reddit einen Virustotal Bericht gefunden der die infizierte cpu-z portable zeigt:

https://www.virustotal.com/gui/file/eff5ece65fb30b21a3ebc1ceb738556b774b452d13e119d5a2bfb489459b4a46

Also es hätte definitiv anschlagen müssen was ich hochgeladen hatte.

 

[madmax2010]

Ich frage moch ob da mehr im busch ist. Microsoft hat die tage auch von ~10 dicken opensource projekten die signing keys revoked. Zuerst ist es bei Veracrypt und Wiregaurd aufgefallen, zwischendurch haben sich noch einige andere gemeldet

gegen solche angriffe wuerde ja eine moderne, gescheite paketverwaltung schon ein wenig helfen, statt das jede 2 Personen Bude ihre eigene Suppe kocht und ihre Produkte selbst zum Download anbietet

 

[evilhunter]

@madmax2010

Bei Microsoft weiß man leider nie, ob es Kalkül ist oder mehr dahinter steckt. Sind ja immer sehr transparent.
Aber danke für die Info, wir war nur Veracrypt bekannt.

 

[Cl4whammer!]

Was ich noch nicht ganz verstehe, wurde die Webseite gehackt das der Download Link falsch gewesen ist, wurde irgendwelche DNS magie verwendet oder waren die Download Server selbst betroffen?

 

[evilhunter]

@Cl4whammer!

Zumindest laut dem Bericht von Igor ist das noch nicht bekannt wie genau es stattgefunden hat.

https://www.igorslab.de/en/warning-...icious-hwmonitor-downloads-are-causing-alarm/


Ich vermute auch, dass das derzeit analysiert wird.

 

[Iwwazwersch]

https://stadt-bremerhaven.de/cpu-z-und-hwmonitor-vorsicht-vor-malware/
lt. Bericht:
"Die Entwickler haben frisch eine Stellungnahme veröffentlicht. Für rund sechs Stunden zwischen dem 9. und 10. April 2026 kam es offenbar zur Verteilung der falschen Dateien bzw. der Malware. Ursache soll laut dem Team hinter CPUID eine kompromittierte API gewesen sein. Inzwischen werden wieder die korrekten Dateien verteilt und die Downloads seien wieder sicher."

 

[madmax2010]

, wurde die Webseite gehackt das der Download Link falsch gewesen ist, wurde irgendwelche DNS magie verwendet oder waren die Download Server selbst betroffen?

Soweit ich das auf dem handy nachvollziehen kann:
Der Downloadlink zeigte auf dateien in reinem R2 bucket bei cloudflare, das scheint schon vorher so gewesen zu sein. Dieser da (inzwischen geblockt)
https://pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev
gerade bekomme ich die dateien einfach von hetzner ausgeliefert. Teils auich von scaleway
Entweder einer der entwickler war kompromitiert oder jemand hat ihren CF Account uebernommen.
Einfach nur DNS war es vermutlich nicht

das ganze riecht auch ein wenig danach: https://github.com/shareef12/cpuz

Sind ja immer sehr transparent.

meist unabsichtlich duck

 

[Cl4whammer!]

Aus dem Reddit bezüglich der cpu-z portable:

Holy fuck, I literally downloaded this last night, more than 12 hours ago. I was suspicious that the download contained CRYPTBASE.DLL since that normally isn't there, but I FUCKING RAN THE EXECUTABLE ANYWAY.

For those of you who ran the executable:

Check your %localappdata%\Microsoft folder for the presence of an "MSBuild" folder. If the folder is there, and it contains a c_3471.proj file (or something like this) then you are definitely infected.

If you are infected, so far I have found no solution to truly get rid of this malware. I've tried removing it from startup apps, deleting the MSBuild folder, scanning and quarantining with Malwarebytes, offline scanning with Defender, and nothing works on this little fucker. It keeps coming back after a reboot.

I'm now in the process of backing up my files and reinstalling my Windows.

https://www.reddit.com/r/pcmasterra...=web3xcss&utm_term=1&utm_content=share_button

Diese dll habe ich zum glück nicht in meiner zip, entsprechende Ordner und Dateien wurden auch nicht angelegt.

MD5 e5ecf253de9d2cff5f0c103985240e42
SHA-1 08579dcebdb8126368a28a07010dec6804f464e6
SHA-256 9f7a60be1be3dfe0d79eb5dab03517aeb767c5eb95e56909badbb1fe05083c16

Hat zufällig jemand eine 100% legit cpu-z_2.19-en.zip ? Würde mich mal intressieren ob die mit meinen hashes matchen. Leider sind auf der Webseite ja keine angegeben zum vergleichen.

 

[SirKhan]

@Cl4whammer!
Die, die ich gerade im Moment heruntergeladen hab, hat ebenfalls 9f7a60be1be3dfe0d79eb5dab03517aeb767c5eb95e56909badbb1fe05083c16 (SHA256) und ist ohne CRYPTBASE.dll.

Die böse ist wohl die, die hier analysiert wurde: Hybrid Analysis Overview und hat wohl eff5ece65fb30b21a3ebc1ceb738556b774b452d13e119d5a2bfb489459b4a46 (SHA256).
Dort sieht man auch, dass fünf Dateien im Zip sind, speziell die erwähnte CRYPTBASE.dll ist enthalten (und als malicious geflaggt).

Ich vermute also, dass deine Version die saubere ist.

 

[Zer0DEV]

Sichere Versionen von CPU-Z v2.1.9

64bit - SHA256: 8E0077A742183FBCBB4F6CF2FE945EA2CED13A058CCF79F5B81157EDEDC47E16
Signaturzeitpunkt: 16.03.‎2026 12:45:06

32bit - SHA256: D4B7556F00A6D5EA5A47A5AEFE267681334167DB8C83BA94806DA3DFD9FDCA79
Signaturzeitpunkt: 16.03.‎2026 12:44:58

Der Download hier auf Computerbase führt zu:

https://download.cpuid.com/cpu-z/cpu-z_2.19-en.zip

und das sind auch aktuell die oben genannten SHA256-Prüfsummen.

 

[cartridge_case]

aber kann mich nicht erinnern ob ich das Tool bei Computerbase oder dort runtergeladen hatte.

Schau halt in den Browserverlauf.

 

[Cl4whammer!]

Schau halt in den Browserverlauf.

Funktioniert in diesem fall nicht da:

Der Download hier auf Computerbase führt zu:
https://download.cpuid.com/cpu-z/cpu-z_2.19-en.zip

Ich hatte bei mir im Verlauf jeglich: https:// download.cpu id.com/cpu-z/cpu-z_2.19-en.zip drin stehen.

 

[Markchen]

Hier geht's weiter:

https://www.computerbase.de/forum/t...ckler-bestaetigt-angriff-auf-website.2269369/