Ich werde da vom Konzept her auf jeden Fall eine Liste mitliefern müssen, die bei Bedarf angepasst werden muss.
Die Scripte des PPFScanners habe ich gestern Nacht noch angepasst - der scannt jetzt diese Sachen schon.
Für Farbar werde ich vermutlich heute noch eine Fixlist.txt basten und veröffentlichen, mit der man das gleiche tun kann.
Schädlinge unterminieren Windows-Zertifikats-System
-
-
-
Die Fixlist.txt für Farbar findet man hier:
-
Spoiler anzeigen
***************************************
** Lokale unbekannte Rootzertifikate **
***************************************Subject : CN=q1vglurfuvt5ajws.myfritz.net
Issuer : CN=q1vglurfuvt5ajws.myfritz.net
Thumbprint : 9FE7D7B041CC72EC14CC70BCBFA71ACD3B205B48
FriendlyName : FRITZBox!
NotBefore : 06.10.2017 12:31:28
NotAfter : 15.01.2038 11:31:28
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid,
System.Security.Cryptography.Oid}Subject : CN=192.168.178.20
Issuer : CN=192.168.178.20
Thumbprint : 6CC4818E021D7577E6A5EF61356DF9992A69A5CD
FriendlyName :
NotBefore : 09.03.2018 06:00:31
NotAfter : 15.01.2038 06:00:31
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid,
System.Security.Cryptography.Oid}Subject : CN=FranksDesktop
Issuer : CN=FranksDesktop
Thumbprint : E9F521C975D1748386223EB05B1E23C5F31C5ED0
FriendlyName :
NotBefore : 22.05.2018 12:23:30
NotAfter : 22.09.3017 12:23:30
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}Subject : CN=Microsoft Authenticode(tm) Root Authority, O=MSFT, C=US
Issuer : CN=Microsoft Authenticode(tm) Root Authority, O=MSFT, C=US
Thumbprint : 7F88CD7223F3C813818C994614A89C99FA3B5247
FriendlyName : Microsoft Authenticode(tm) Root
NotBefore : 01.01.1995 09:00:01
NotAfter : 01.01.2000 00:59:59
Extensions : {System.Security.Cryptography.Oid, System.Security.Cryptography.Oid, System.Security.Cryptography.Oid}Subject : OU=Copyright (c) 1997 Microsoft Corp., OU=Microsoft Time Stamping Service Root, OU=Microsoft
Corporation, O=Microsoft Trust Network
Issuer : OU=Copyright (c) 1997 Microsoft Corp., OU=Microsoft Time Stamping Service Root, OU=Microsoft
Corporation, O=Microsoft Trust Network
Thumbprint : 245C97DF7514E7CF2DF8BE72AE957B9E04741E85
FriendlyName : Microsoft Timestamp Root
NotBefore : 13.05.1997 18:12:59
NotAfter : 31.12.1999 00:59:59
Extensions : {}========= Ende von Powershell: =========
==== Ende von Fixlog 15:28:42 ====
-
Was ist das denn?
Da muss ich mal schauen....Hast du dir irgendwann in letzter Zeit neue Hardware zugelegt? NAS Sachen zum Beispiel?
-
Neues MB, neuer Prozessor, neuer Ram, siehe meine Daten unter "Mein aktuelles System".
Eine NAS von Synology auch noch. (NAS Synology 218+) -
Betreibst du einen Fritzbox Repeater?
-
Ja, zusätzlich zur Fritzbox 7490.
-
Malware scheint das nicht zu sein. Ich habe den Verdacht, dass das Zertifikate für den Datenverkehr mit der NAS und dem Repeater sind.
Ich müsste da aber wirklich mal noch andere Leute mit solcher Hardware zum Nachschauen haben, damit ich da vergleichen kann.
Auf jeden Fall ein sehr interessantes LOG - kann mehr Leute gebrauchen, die mir so was liefern. -
Eine alte Buffalo-NAS habe ich auch noch in Betrieb.
Sind aber beide vom Strom und hängen z.Z. nur über LAN an Fritzbox. -
Was hat bei dir zur Zeit folgende IP:
- 192.168.178.20
Das muss in deinem lokalen Netzwerk liegen.
-
Der Wlan-Repeater
2 Fernseher und ein Wlan- Drucker hängen auch noch dran mit eigener fester IP.
-
Die sind vom / für den WLAN-Repeater:
- Thumbprint : 9FE7D7B041CC72EC14CC70BCBFA71ACD3B205B48
- Thumbprint : 6CC4818E021D7577E6A5EF61356DF9992A69A5CD
Woher das kommt, kann ich nicht genau sagen, ist scheinbar aber auch für irgendeinen lokalen Datenaustausch da:
- Thumbprint : E9F521C975D1748386223EB05B1E23C5F31C5ED0
Wer tausend Jahre im System verweilen will, möchte ich schon irgendwie gerne wissen...
-
für irgendeinen lokalen Datenaustausch da
Für den Datenausgleich im Netzwerk verwende ich Syncovery mittels Dienst.
https://www.syncovery.com/de/ -
Das könnte eventuell von dem Programm sein. Sind alle drei wohl für den lokalen Datenaustausch da.
-
-
Klasse Idee, in der Registry nachzusehen.
Das scheint eher was mit einer virtuellen Maschine zu tun zu haben. Wo befinden sich die anderen Zertifikate? -
Ein Eintrag für
6CC4818E021D7577E6A5EF61356DF9992A69A5CD:
HKEY_USERS\S-1-5-21-1546944245-3285673968-3389137482-1001\Software\Microsoft\SystemCertificates\Root\Certificates\6CC4818E021D7577E6A5EF61356DF9992A69A5CD
Zwei Einträge für
9FE7D7B041CC72EC14CC70BCBFA71ACD3B205B48:
HKEY_USERS\S-1-5-21-1546944245-3285673968-3389137482-1001\Software\Microsoft\SystemCertificates\CA\Certificates\9FE7D7B041CC72EC14CC70BCBFA71ACD3B205B48
und
HKEY_USERS\S-1-5-21-1546944245-3285673968-3389137482-1001\Software\Microsoft\SystemCertificates\Root\Certificates\9FE7D7B041CC72EC14CC70BCBFA71ACD3B205B48
-
Mal eine virtuelle Maschine auf dem Gerät betrieben?
-
VirtualBox ist installiert.
Heute früh hatte ich
Windows Defender Application Guard (WDAG) in Edge ausprobiert, danach wieder entfernt. -
OK - haben wir den letzten Eintrag auch geklärt.
In der Registry nachzusehen, hilft da echt weiter. Du hast mir mit deinen Beiträgen sehr geholfen. -
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!