Ghost-USB-Laufwerke gehen unter Windows 10 nicht verloren

1

Kurz gesagt, ich habe Phantom-USB-Laufwerke, die vor einer Woche aufgetaucht sind. Ein Rollback auf eine "saubere" Sicherung, die auf einer nicht verbundenen Festplatte gespeichert war, löste das Problem nicht. Das hatte ich früher, als ich ein schwerwiegendes Malware-Infektionsproblem hatte. Ich möchte
(1) den ausführbaren / Prozess- / Registrierungsschlüssel verfolgen, der für die Emulation dieser USB-Laufwerke verantwortlich ist.
(2) Den Host der Malware finden. Befindet es sich auf einem Clonezilla-Image? USB-Tastaturspeicher? Geschützter Bereich einer Festplatte?

Hier sind einige Details

Ich hatte eine drei Monate lange atypische Infektion meiner Heimcomputer. Es würde zuerst seine Anwesenheit durch "Geister-USB-Laufwerke" offenbaren. Die Anzahl der USB-Symbole hat sich mit jedem Anschließen und Entfernen eines USB-Laufwerks erhöht. Zählte es infizierte Laufwerke? Ich weiß es nicht.
USB-Laufwerke wurden eingesteckt und dann ausgeworfen. Auf diese Datenträger kann nicht zugegriffen werden, aber die Symbole sind weiterhin unter "Arbeitsplatz" sichtbar.

Bildbeschreibung hier eingeben

Malware würde sich über USB-Laufwerke (möglicherweise USB-Tastaturen) und das Heimnetzwerk verbreiten. Es dringt problemlos in immundefizientes Windows (r) (c) ein und ignoriert Sandbox, Virenschutz und Firewall. Zunächst würde es verhindern, dass Antivirensoftware ausgeführt / installiert wird. Ich habe versucht, es zu entfernen, war aber nicht zu erfolgreich. Irgendwann wurde Malware während dieses Kampfes irgendwie modifiziert / beschädigt. Es würde Bios unbootbar machen. Das Löschen des CMOS (mindestens einen Tag lang die Batterie herausnehmen) half dabei, das BIOS wiederzubeleben. Eine Neuinfektion würde jedoch bald danach erfolgen. Schließlich bin ich zu Linux gewechselt, habe alle USB-Laufwerke mit Gparted, passwortgeschütztem BIOS jedes Computers usw. formatiert. Vor kurzem habe ich Windows 10 auf einem der Computer installiert. Zuerst ging alles in Ordnung, aber als ich meinen formatierten USB-Stick einsteckte und auswarf, sah ich den Ghost-USB wieder.

Ist es normal, diese Geisterlaufwerke zu sehen? Wie kann ich herausfinden, wo der Verweis auf diesen USB gespeichert ist, welches Modul ihn erstellt hat usw.? Wie kann ich überprüfen, ob das verdächtige USB-Laufwerk ungewöhnliche Befehle für das Plug-In ausgibt? Können Dateien auf USB vor Ubuntu versteckt werden, wenn "Versteckte Dateien anzeigen" aktiviert ist?

Ich habe hier vorgeschlagene Schritte wiederholt: Wie kann ich ein nicht vorhandenes USB-Laufwerk vom Windows 7-Host "auswerfen"? . USBs sind in der Tat verschwunden. Ich habe Windows neu gestartet. Es hieß "Updates installieren". Nach dem Neustart waren alle Ghost-USBs wieder da.

windows usb bios malware stepan wot
quelle
Relevant: Wie kann ein nicht vorhandenes USB-Laufwerk vom Windows 7-Host "ausgeworfen" werden?
DavidPostill
Ja ist es. Es spricht über das Symptom (Ghost-USB-Laufwerke). Aber ihre Problemumgehung funktioniert in meinem Fall nicht. Ich wollte nur zeigen, dass ich meine Hausaufgaben gemacht und relevante Themen durchgesehen habe.
stepan wot
Es gibt eine Frage, die zahlreiche Antworten zum Entfernen von Malware enthält. Hast du das gelesen Ist es normal, diese Geisterlaufwerke zu sehen? - Nein, es ist nicht normal
Ramhound
Ja, ich habe die Frage gelesen. Deshalb zitiere ich es in meinem Beitrag. Ich habe die empfohlenen Deinstallationsschritte ausgeführt. Es hat keinem geholfen. Diese Geisterlaufwerke werden nach dem Neustart wieder angezeigt. Schlimmer noch, sie erschienen, nachdem ich ein sauberes Windows 10-Image auf meiner Festplatte wiederhergestellt hatte. Nur das usb_keyboard und das hdd waren gleich. Das Image wurde auf einer separaten Hardware wiederhergestellt, die beim Booten unter Linux-basiertem Clonezilla verwendet wurde. Meine Fragen sind (1) wie man Malware aufspürt, die Geister-USB wiederherstellt? (2) Wie kann es passieren, wenn ich diese Vorsichtsmaßnahmen getroffen habe? (3) Was soll ich tun?
stepan wot
Es gibt zahlreiche Antworten zum Entfernen einfacher Malware. Diese Antworten laufen allesamt auf "Wenn nichts hilft - Boot und Nuke verwenden und dann das Betriebssystem neu installieren" hinaus. Das Problem ist, dass "OS neu installieren" nicht hilft . "Rollback mit einem sauberen Image" schlägt ebenfalls fehl. Meine Frage ist - wo lauert diese Malware?
stepan wot

Antworten:

2

Ich habe mit dem Motherboard-Hersteller gesprochen. Überraschenderweise waren sie nett genug, um zu helfen (es dauerte eine Stunde, aber sie haben das Problem behoben).

Sie haben den Computer im abgesicherten Modus neu gestartet und die Laufwerke deinstalliert. Versuche, Laufwerke im Standardmodus zu deinstallieren, schlagen fehl, funktionieren jedoch im abgesicherten Modus. Ich weiß nicht, was die Voodoo-Magie dahinter steckt, aber Versuche, Laufwerke im Standardmodus zu deinstallieren, schlagen fehl, aber im abgesicherten Modus funktioniert es.

Sie schienen einige andere Schritte zu tun, aber sie sagten mir nicht, was genau sie tun. Jetzt ist es schwer zu sagen, ob es sich um eine Panne oder eine kaputte Malware handelt, die vollständig entfernt wurde oder ob sich die Malware selbst versteckt hat. Ich persönlich würde es einen Erfolg nennen.

stepan wot
quelle
Meine Nachricht zum Mitnehmen lautet: Sprechen Sie mit dem Hersteller. Einige von ihnen haben böse "Ihr Anruf ist sehr wichtig für uns, also warten Sie bitte zwei Stunden oder legen Sie jetzt auf". Andere helfen tatsächlich, das Problem zu lösen. Ich wünschte, SU hätte solche meinungsgebundenen Diskussionen zugelassen, aber das tun sie nicht.
stepan wot
Was genau haben sie getan, um die Laufwerke zu "deinstallieren"? Leider ist dies aus heutiger Sicht keine gute Antwort. Ich weiß, dass es Ihr Problem gelöst hat, aber wir brauchen mehr als "Voodoo-Magie hat es behoben".
DavidPostill
1

Ich beantworte die Frage nicht genau, hoffe aber, dass ich einigen helfen kann, die genauso verwirrt waren wie ich, als "USB-Laufwerk (D :)" in meiner Laufwerksliste angezeigt wurde. Bei meinem Windows 10 Dell-Computer ist dies die "Bezeichnung" des SD-Kartensteckplatzes. Einfaches Überprüfen, indem Sie eine SD-Karte in Ihren Steckplatz einlegen und prüfen, ob der SC-Inhalt angezeigt wird. Wenn die SD-Karte entfernt wird, verschwindet das "zusätzliche" USB-Laufwerk.

RoyinHB
quelle