SearchSafety.exe - was ist das?

[Geeky26]

Vor 4 Tagen wurde auf meiner Festplatte das Verzeichnis C:\ProgramData\MSTrusted angelegt, jedoch nicht von mir.
Dort drin sind insgesamt 13 Dateien, 1 Verzeichnis und alles zusammen ist 18,3 MB groß.

Heute ist mir im Taskmanager der Prozess SearchSafety.exe aufgefallen mit 25% Prozessorauslastung. Den habe ich erst einmal beendet...

Was soll SearchSafety.exe sein und warum gab es das Verzeichnis nicht vorher? Ist das irgendein heimlich ungerjebultes Update von M$, obwohl ich automatische Updates deaktiviert habe?

 

[Asghan]

nehm mal die "SearchSafety.exe" und lade Sie bei https://www.virustotal.com/de/ hoch.
Ist dann zumindest schonmal ein erster Indikator.

Ergänzung (15. Dezember 2017)

2 sek. Google: https://www.solvusoft.com/de/files/...ration/corel-draw-10/optimize-for-safety-exe/

Das Dachte ich auch zuerst, ABER:
"Optimize For Safety.exe" ist nicht "SearchSafety.exe"
Bitte genau drauf achten!

 

[Geeky26]

2 sek. Google: https://www.solvusoft.com/de/files/...ration/corel-draw-10/optimize-for-safety-exe/

2 Sekunden auf der Seite gewesen, angeguckt und über Optimize For Safety.exe gesehen und sofort wieder verschwunden.

Die Seite hat absolut nix mit SearchSafety.exe zu tun.


VirusTotal: 10 von 67 haben angeschlagen

AegisLab - Filerepmalware.Gen!c

Avast - FileRepMalware

AVG - FileRepMalware

Avira - TR/BitCoinMiner.amdgw

CrowdStrike Falcon - malicious_confidence_70% (W)

ESET-NOD32 - a variant of Win64/BitCoinMiner.AQ potentially unsafe

Ikarus - Trojan.BitCoinMiner

McAfee - Artemis!1D52AF765568

McAfee-GW-Edition - BehavesLike.Win64.Virut.wc

TrendMicro-HouseCall - Suspicious_GEN.F47V1027

Wie kommt denn so ein müll bitte auf mein System?

Malwarebytes hat zeitgleich auch irgendwas mit "minergate" gefunden.

 

[Asghan]

Schlimmer als "nicht googlen" ist "falsch googlen und das Falsche anderen dann vorhalten"


Wäre dein Treffer wenigstens nützlich gewesen, bzw ich glaube eher du hast deinen eigenen Treffer garnicht angesehen, wäre es ja okay. aber so? ne.

Ergänzung (15. Dezember 2017)

VirusTotal: 10 von 67 haben angeschlagen


Malwarebytes hat zeitgleich auch irgendwas mit "minergate" gefunden.

Lad dir mal die Avira Disc und lass nen Offlinescan laufen z.B.

 

[Geeky26]

Wie kann sowas auf den PC kommen? Ich bin weder auf dubiosen Seiten unterwegs, noch verwende ich illegale Software.

 

[Smily]

Ist das irgendein heimlich ungerjebultes Update von M$, obwohl ich automatische Updates deaktiviert habe?

Vielleicht hast du es auch drauf weil du die automatischen Updates aus hast.
Das geht leider manchmal schneller als man denkt.
Scheint ein kleiner Miner zu sein. Nicht direkt schädlich, aber klaut halt Rechenleistung und muss weg!

 

[doof123]

Ein Miner!

 

[Geeky26]

Vielleicht hast du es auch drauf weil du die automatischen Updates aus hast.

Das von Virustotal war der Miner? Also die SearchSafety.exe? Hängt das dann auch mit den Resultaten von Malwarebytes zusammen, die im AppData\Local-Verzeichnis gefunden wurden?

RiskWare.Agend.D
minergate-cli + Konfigurationsdateien

 

[Smily]

Vermutlich, deswegen auch die 25% Auslastung. Hast du eine CPU mit 4 Threats? Dann hat der einen davon zu 100% ausgelastet.

 

[Geeky26]

Ja, einen Vierkerner mit 4 Threats.
Da reg ich mich immer wieder drüber auf über solche Vollidioten, die so einen Müll verteilen müssen!

 

[majusss]

obwohl ich automatische Updates deaktiviert habe?

Du hast dich damit sozusagen selbst infiziert... mach die Updates schleunigst wieder an oder benutze Debian.

 

[cbtestarossa]

Naja wenigstens ist es dir aufgefallen.
Noch schneller wärs dir aufgefallen hättest du eine Personal Firewall die meldet wenn ein Programm rauswählen will.

Die Frage ist nur wie sich das Programm überhaupt eingenistet hatte denn dazu braucht soetwas meist Adminrechte.

Eventuell kannst du das Programm sogar ganz normal deinstallieren.
Nachher noch AV Scanner drüberlaufen lassen.
Am besten mit AV Live CDs auch noch.

 

[Geeky26]

Du hast dich damit sozusagen selbst infiziert...

Das könnt ihr doch gar nicht wissen, ohne dass ich das weiter ausführe.

Automatische Updates sind AUS. Das letzte, manuelle Update ist aber erst ein paar Tage her.

mach die Updates schleunigst wieder an oder benutze Debian.

Werden definitiv nicht wieder angemacht.

Oder Debian nutzen? Was ist denn das bitte für ein Vergleich? Auf Debian als Workstation kann ich gänzlich verzichten.

hättest du eine Personal Firewall

Ich habe mal ZoneAlarm getestet aber die GUI war sowas von unter aller sau und abschreckend, dass ich die sofort wieder deinstalliert habe.

 

[cbtestarossa]

Schau mal COMODO Free Firewall an.
Ich habe aber keine Ahnung wie benutzerfreundlich die neueste Version ist.

ZoneAlarm hab ich auch nie kapiert.
Früher war Sygate für mich erste Wahl.

 

[Geeky26]

Mein System hat sich nun auch wieder beruhigt. Die SSD war kurz bei 50 Grad. Lag aber laut Resourcenmanager am Windows-Defender der wohl den ganzen Rechner schreckartig durchsucht hat.

Bei der Installation dieser Firewall muss man schon gut aufpassen. Da kann viel Müll mitinstalliert und aktiviert werden.
Aber naja. Ist kostenlos und irgendwie muss es ja finanziert werden.

Außerdem wird der Dragon-Browser installiert, obwohl ich es abgewählt habe. Bei der Deinstallation kann man sogar als Grund angeben "I didn't want to install it". Scheint also Absicht zu sein, dass er installiert wird.
Auch kein Problem. Deinstallieren, fertig.

Die GUI gefällt mir gut. Es werden nicht nur Verbindungen geblockt, sondern auch über Dateizugriffe und Dateiänderungen informiert.
Finde ich gut.

Und mit dem Ding bin ich sicherer als vorher?


Gerade noch was gelsen

Sollte sich Ext2Srv.exe in einem Unterordner von C:\Windows befinden, dann ist diese zu 46% gefährlich. Dateigröße ist 68608 Bytes. Sie ist keine Systemdatei, befindet sich aber dennoch im Windows Order. Das Programm ist nicht sichtbar. Der Dienst hat keine detailierte Beschreibung. Die Datei Ext2Srv.exe ist keine Datei, die vom Windows System unbedingt benötigt wird. Ext2Srv.exe kann Programme überwachen.

Genau die Datei befindet sich bei mir im C:\Windows\SysWOW64-Verzeichnis. Hat mit Comodo auch gezeigt.

 

[Doe_John]

https://technet.microsoft.com/en-us/.../cc700813.aspx
Du solltest insbesondere den letzten Punkt beachten!

Teil 2:
https://technet.microsoft.com/en-us/.../cc512595.aspx

 

[Geeky26]

Windows neu installieren? Wegen einem Miner? Nee.
Auf die Holzhammermethode stehe ich nicht so. Wenn es jetzt ein paar fiese Trojaner, Malware generell und Viren gewesen wären, definitiv eine Neuinstallation. Aber nicht wegen einem, wie es sich jetzt herausgestellt hat, kleinen Miner.

Ext2Srv.exe scheint auch eine offizielle Datei zu sein. Ich habe ein NAS, Festplatten im Ext-Format und einer Samba-Freigabe im Netzwerk. Vielleicht hat es damit was zu tun.

 

[Doe_John]

Du WEISST SICHER, daß Du nur diese eine Schadsoftware has(ttes)t? Ok!

=> Wissen != Glauben bzw. Hoffnung

Diese Einstellung find' ich gerade angesichts Deiner Frage, wohler Du denn diesen Miner überhaupt haben könntest, durchaus "ambtiioniert" oder "bemerkenswert". Aber Du glaubst ja auch, daß es noch Deine Daten sind ... Viel Spaß!

Die Empfehlung kam übrigens vom damaligen obersten "Sicherheits-Menschen" bei Microsoft selbst! Der kann ja keine Ahnung haben, ne ...

 

[Geeky26]

Du WEISST SICHER, daß Du nur diese eine Schadsoftware has(ttes)t? Ok!

Das ist ja der Witz an der Sache. Egal ob Neuinstallation oder nicht: man weiß NIE ob noch mehr drauf ist.
Was bei einer Neuinstallation nicht drauf ist, kommt sicher irgendwann drauf und gefunden wird es nie.

Ich kann jetzt nicht mein System neuinstallieren... das würde Tage dauern.

Ich habe 3 verschiedene Malware-Software laufen lassen und zusätzlich läuft gerade ein 100% Viren-Scan.

 

[majusss]

3x Schlangenöl.. also setzt du dich auch noch wissentlich und vollkommen absichtlich weiteren Gefahren aus, Respekt! Siehe: https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html
Wenn du dein System nicht sofort neu installieren kannst, ist deine Backup Strategie komplett für die Tonne.