Ich arbeite an einem Windows 7-Computer. Der Besitzer berichtet, dass er glaubt, der Computer sei mit Malware infiziert und dass ein ausländisches Unternehmen versucht habe, das Problem zu beheben, aber irgendetwas, das sie getan hätten, habe dazu geführt, dass der Computer nicht mehr gestartet werden konnte.
Ich habe eine etwas verdächtige Treiberdatei namens trjaaake.sys gefunden, die sich in C:\Windows\System32\Drivers befindet. Die Datei wurde erst vor Kurzem erstellt/geändert, obwohl es mir so vorkommt, als wäre sie etwa zwei Tage nach der vermuteten Infektion erstellt/geändert worden. Unter der Registerkarte „Version“ für diese Datei sehe ich Folgendes:
Description: Boot Time Removal Tool
Company: Microsoft Corporation
File Version: 1.1.16.0
Internal Name: BootTimeRemoval
Original File Name: BTR.sys
Product Name: Microsoft Malware Protection
Product Version: 1.1.0016.0
Die Datei scheint mit einer digitalen Signatur versehen zu sein, aber ich weiß nicht, wie ich feststellen kann, ob die Signatur echt/gültig ist.
Ich habe die Datei an Virus Total übermittelt und alle 42 verschiedenen Antiviren-Engines melden, dass die Datei in Ordnung ist. Norton File Insight sagt außerdem, dass diese Datei von Tausenden von Computerbenutzern verwendet wird und dass sie als vertrauenswürdig eingestuft wurde.
Ich habe in C:\Windows\Temp eine Datei namens BootClean.log gefunden. Sie enthält Folgendes (ich habe den Benutzernamen in „[redigiert]“ geändert):
Boot Time Removal Tool started
Error 0xc0000034 opening (\??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\Desktop\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk) for reparse check.
Unable to strip attributes from \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk with error 0xc0000034
Error 0xc0000034 removing: \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk
Error 0xc0000034 opening (\??\C:\ProgramData\1yfOZG3BLWgtFb.exe) for reparse check.
Unable to strip attributes from \??\C:\ProgramData\1yfOZG3BLWgtFb.exe with error 0xc0000034
Error 0xc0000034 removing: \??\C:\ProgramData\1yfOZG3BLWgtFb.exe
Removed \??\C:\Users\[redacted]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\smart hdd\
BTR Completed Successfully
Meine Frage ist also: Weiß jemand, was diese Datei ist? Ist sie vielleicht Teil des Tools zum Entfernen bösartiger Software von Microsoft?
Antwort1
Ein guter Anfang könnte sein,sigverif- dies könnte helfen, die Signatur zu validieren. Wenn sie von einem Unternehmen signiert wurde, dem Sie vertrauen, liegt das Problem wahrscheinlich nicht bei Ihnen. Andernfalls sollten Sie sie löschen.
Andererseits kann man einem Computer, wenn er erst einmal kompromittiert ist, von diesem Zeitpunkt an nicht mehr wirklich vertrauen. Ich würde vorschlagen, persönliche Dateien und alle anderen nicht betriebssystemspezifischen Daten zu sichern und das Betriebssystem neu zu formatieren/neu zu installieren.
Antwort2
Diese Dateien werden tatsächlich dynamisch von Windows Defender erstellt. Der Zweck besteht darin, beim Neustart Malware zu entfernen, die Ihr System infiziert hat.
Schauen Sie sich die Eigenschaften der einzelnen Dateien an. Sie werden feststellen, dass die Namen zufällig sind und von der Microsoft-Zertifizierungsstelle digital signiert wurden. Beim Neustart verschwinden die .SYS-Dateien tatsächlich, sobald sie ihren beabsichtigten Zweck erfüllt haben, nämlich Malware beim Neustart zu entfernen.
DAS SIND GUTE DATEIEN UND NICHT SCHLECHT!!!