PC wahrscheinlich mit Adware infiziert (not-a-virus:HEUR:AdWare.NSIS.SweetLabs.gen)

[ZombiePredator]

Windows 10 Home, Version 22H2 (Build 19045.4412)

Kaspersky Premium, 21.16.6.467(c)

 

Hallo zusammen,

Ich habe seit Donnerstag Abend regelmässig die Meldung von Kaspersky, dass ein "Objekt gelöscht" wurde bzw. "Wir haben ein Programm gefunden, mit dem Angreifer Ihren Computer oder persönliche Daten beschädigen können."

Ich habe den PC dann seitdem auch nicht mehr verwendet. Ich hatte vor der 1. Meldung gerade wieder mal eine vollständige Untersuchung gemacht (was ich regelmässig mache) und bei dieser wurde wie immer nichts gefunden. Doch als ich den PC wieder aus dem Energiesparmodus holte, kam die erste dieser Meldungen. Dabei wurden 4 Apps gefunden und 6 Objekte gelöscht. Momentan habe ich 12 Objekte in der Quarantäne.

Und dieses Muster bleibt gleich, immer noch dem Ruhemodus oder nach einem Neustart werden wieder Objekte gefunden. Ich habe in Kasperskys Programmverwaltung nachgeschaut und es ist nach einem Neustart wieder ein neues Programm hinzugekommen, sie alle heissen oct8FF5.tmp, wobei die Zahlen/Buchstaben nach "oct" sich ändern.

In der Quarantäne hat es noch Objekte mit der Bezeichnung "data0001", diese befinden sich dann jeweils im Ordner mit der "oct"-Bezeichnung, bspw. C:\Users\x\AppData\Local\Temp\oct8FF5.tmp.exe/

 

Hier ein Beispiel vom Fund nach dem heutigen Einschalten:

 

Heute, 19.05.2024 13:25:00;C:\Users\x\AppData\Local\Temp\oct8FF5.tmp;oct8FF5.tmp;C:\Users\x\AppData\Local\Temp;Datei;Gefunden;Wir haben ein Programm gefunden, mit dem Angreifer Ihren Computer oder persönliche Daten beschädigen können.;Gefunden;not-a-virus:HEUR:AdWare.NSIS.SweetLabs.gen;Adware;Mittel;Teilweise;Host App Service Updater;HostAppServiceUpdater.exe;C:\Users\x\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe;C:\Users\x\AppData\Local\Host App Service\Engine;5148;DESKTOP-QRHJTOJ\x;Initiator;Experten-Analyse

Heute, 19.05.2024 13:25:14;C:\Users\x\AppData\Local\Temp\oct8FF5.tmp;oct8FF5.tmp;C:\Users\x\AppData\Local\Temp;Datei;Gelöscht;Objekt gelöscht;Gelöscht;not-a-virus:HEUR:AdWare.NSIS.SweetLabs.gen;Adware;Mittel;Teilweise;Host App Service Updater;HostAppServiceUpdater.exe;C:\Users\x\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe;C:\Users\x\AppData\Local\Host App Service\Engine;5148;DESKTOP-QRHJTOJ\x;Initiator;

 

Ich kann mir irgendwie nicht erklären wie das passieren konnte, ich habe nichts heruntergeladen und nutze auch uMatrix und uBlock Origin und bei Downloads muss ich zuerst den Zielordner bestätigen.

Würde es ausreichen, um dieses Problem zu entfernen, wenn ich den PC zurücksetze, aber meine eigene Dateien behalte und nur die Programme löschen würde?

Vielen Dank für Eure Hilfe! 🙂

Edited May 19 by ZombiePredator

[Martl.E.G]

Hallo Zombie,

hab das gleiche Problem sei 17.05.2024.

Kann mir das auch nicht erklären. Es passierte von "Heute auf Morgen" ohne was gemacht zu haben.

Habe "Kaspersky Plus" auf dem Rechner.

Danke für weitere Infos 😞 

 

 

[Martl.E.G]

Hallo Zombie,

 

ich bins nochmal.

Hast Du nicht zufällig "Lenovo"?

Bin bei mir so vorgegangen:

Task-Menager/Prozesse/HostAppServiceUpdater.exe   und dann Task beenden.

Dann:

C:\Users\x\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe 

HostAppServiceUpdater.exe     Ausschneiden und auf ein Stick kopiern nicht Löschen (man weiß es nicht, ob man es nicht später braucht).

Rechner neustarten. Bei mir gabs keine Meldungen mehr von Kaspersky.

Es läuft.

Bedenke, Du muß es nicht machen. Es ist Deine Sache. Bei mir hat es funktioniert.

Am Schluß habe ich nochmal die Untersuchungen gestartet (Vollständige und Programmschwachstellen).

Viel Spaß.     Martl

[ZombiePredator]

Hallo Martl,

 

Ja, ich habe ebenfalls einen Lenovo. Das war bei mir anfangs ebenfalls ein Gedanke. Da ich aber noch einen Lenovo Laptop habe und bei diesem die Objekte unter "Programme verwalten" nicht vorhanden zu sein scheinen, hat mich das mehr verunsichert.

Nach dem HostAppServiceUpdater.exe habe ich als erstes gegoogelt und habe dann folgende Seite gefunden:

https://malwaretips.com/blogs/hostappserviceupdater-exe-what-it-is-should-i-remove-it/

 

Dort wird erklärt was die Datei ist und dass man sie nicht löschen sollte, man kann sie aber deaktivieren:

Quote

Disable Host App Service: If you don’t use UWP apps or don’t want them to update automatically, you can disable the Host App Service. To do this, open the Services app (type “services.msc” in the Start menu search bar), find the “Host App Service” entry, right-click on it, and select “Properties.” Change the “Startup type” to “Disabled” and click “OK.”

Da wir beide einen Lenovo haben und das Problem fast zeitgleich (16. oder 17. Mai) auftrat, könnte es tatsächlich eine Falschmeldung seitens Kaspersky sein.

Aber vielleicht könnte ein erfahrener User hier noch Entwarnung geben, damit wir dieses Problem abhaken können. 🙂

 

[Kilauea]

Könnt ihr die Datei (.exe) bitte auf einem filehoster hochladen und den link hier einstellen ?

 

[ZombiePredator]

vor 26 Minuten schrieb Kilauea:

Könnt ihr die Datei (.exe) bitte auf einem filehoster hochladen und den link hier einstellen ?

 

Die Datei(en) selbst kann ich leider unter dem Pfad nicht finden, sie sind dort einfach nicht sichtbar - auch nicht wenn ich ausgeblendete Dateien anzeigen lasse.

Eine einzige oct-Datei kann ich finden, diese ist aber keine .exe (oct26DC.tmp).

Zwar werden mir mittlerweile 9 dieser oct().tmp.exe-Dateien unter "Programme verwalten" in Kaspersky angezeigt, aber wie gesagt, ist keine unter dem angegebenen Verzeichnis sichtbar.

Das einzige was ich von den Dateien habe, sind die Kopien in der Quarantäne.

Edited May 19 by ZombiePredator

[Martl.E.G]

Hallo Zombie,

habe gestern (nachdem ich die Datei aus dem Stick wieder "eingefügt" habe) im "Dienst-App" den Eintrag „Host App Service“ gesucht, leider nicht gefunden (nur "Hostdienst für Windows Encryption Provider").

Noch was anderes. Habe auf meinem Laptop (nicht Lenovo) den Ordner "Host App Service" gesucht, der ist auf dem Laptop gar nicht vorhanden. Ich glaube der gehört nur zum "Lenovo".

 

 

[ZombiePredator]

Hallo Martl,

vor 5 Stunden schrieb Martl.E.G:

habe gestern (nachdem ich die Datei aus dem Stick wieder "eingefügt" habe) im "Dienst-App" den Eintrag „Host App Service“ gesucht, leider nicht gefunden (nur "Hostdienst für Windows Encryption Provider").

Ja, hab es auch gerade probiert und nur den "Hostdienst für Windows Encryption Provider" gefunden.

Ist seitdem wieder eine Meldung von Kaspersky gekommen?

 

vor 5 Stunden schrieb Martl.E.G:

Noch was anderes. Habe auf meinem Laptop (nicht Lenovo) den Ordner "Host App Service" gesucht, der ist auf dem Laptop gar nicht vorhanden. Ich glaube der gehört nur zum "Lenovo".

Jedenfalls scheint er vor allem mit Lenovo zusammen diese Meldungen zu produzieren.

[Martl.E.G]

 

vor 12 Minuten schrieb ZombiePredator:

Hallo Martl,

Ja, hab es auch gerade probiert und nur den "Hostdienst für Windows Encryption Provider" gefunden.

Ist seitdem wieder eine Meldung von Kaspersky gekommen?

 

Jedenfalls scheint er vor allem mit Lenovo zusammen diese Meldungen zu produzieren.

Hallo Zombie,

nachdem ich gestern die "exe" Datei zurück eingefügt habe, ist gleich wieder die Meldung von Kaspersky gekommen.

Habe die "HostAppServiceUpdater.exe " wieder aud den Stick verschoben und seitdem ist keine Meldung mehr gekommen.

[ZombiePredator]

Hallo Martl,

Ah, okay.

[Kilauea]

Wenn du die "HostAppServiceUpdater.exe " unverschlüsselt auf einem Stick hast:

Lade sie doch mal auf "virustotal" hoch.

Und schicke sie an Kaspersky mit dem Verweis auf eine Fehlerkennung (false positive).

Oder lade sie auf einen filehoster, dann schicke ich die an Kaspersky.

 

[ZombiePredator]

Am 20.5.2024 um 19:34 schrieb Kilauea:

Wenn du die "HostAppServiceUpdater.exe " unverschlüsselt auf einem Stick hast:

Lade sie doch mal auf "virustotal" hoch.

Und schicke sie an Kaspersky mit dem Verweis auf eine Fehlerkennung (false positive).

Oder lade sie auf einen filehoster, dann schicke ich die an Kaspersky.

 

Also denkst Du, dass es eine false positive ist?

[Schulte]

Hallo zusammen,

hab' mir auch ein paar Gedanken gemacht und meine vier Lenovos genauer in Augenschein genommen.
Keiner ist von eurem Problem betroffen. Das liegt aber sicher daran, dass auf keinem das "Lenovo"-Windows läuft sondern auf allen ein Original-MS-Win installiert wurde.

Die "HostAppServiceUpdater.exe" scheint der Updater für die (bei mir fehlenden) Lenovo-Zugaben zu sein. Diese .exe ist laut Bericht aber nur mittelbar am Fund beteiligt, beanstandet wird das, was die .exe herunterlädt und ausführen möchte. Also die in #1 genannten diversen "octXXXX.tmp".

Ich könnte mir vorstellen, dass es sich immer um die selbe Datei (mit unterschiedlichen Namen) handelt. Diese sollte an KL zur Prüfung gesendet werden.
Ein FP ist gut möglich, schließlich handelt es sich um eine Erkennung der Heuristik ("sieht ähnlich aus wie ..."). Entscheiden können das nur die KL-Analysten. Vielleicht ist man bei Lenovo lieber übervorsichtig, es gab da ja mal was mit AdWare...

[Kilauea]

vor 12 Stunden schrieb ZombiePredator:

Also denkst Du, dass es eine false positive ist?

Das ist meine Vermutung, ja.

Aber siehe auch den Beitrag von Schulte, es wäre hilfreich wenn die Datei von Kaspersky analysiert wird.

[Martl.E.G]

vor 15 Stunden schrieb Schulte:

Hallo zusammen,

hab' mir auch ein paar Gedanken gemacht und meine vier Lenovos genauer in Augenschein genommen.
Keiner ist von eurem Problem betroffen. Das liegt aber sicher daran, dass auf keinem das "Lenovo"-Windows läuft sondern auf allen ein Original-MS-Win installiert wurde.

Die "HostAppServiceUpdater.exe" scheint der Updater für die (bei mir fehlenden) Lenovo-Zugaben zu sein. Diese .exe ist laut Bericht aber nur mittelbar am Fund beteiligt, beanstandet wird das, was die .exe herunterlädt und ausführen möchte. Also die in #1 genannten diversen "octXXXX.tmp".

Ich könnte mir vorstellen, dass es sich immer um die selbe Datei (mit unterschiedlichen Namen) handelt. Diese sollte an KL zur Prüfung gesendet werden.
Ein FP ist gut möglich, schließlich handelt es sich um eine Erkennung der Heuristik ("sieht ähnlich aus wie ..."). Entscheiden können das nur die KL-Analysten. Vielleicht ist man bei Lenovo lieber übervorsichtig, es gab da ja mal was mit AdWare...

Die "HostAppServiceUpdater.exe" ist "Clin" (s. Bild)

 

[Anke]

Halli zusammen, 

wie kann ich die Datei finden und auf einen Stick ziehen? 

Mir wird sie nicht angezeigt und habe das gleiche Problem. 

Auch bei den Services.msc Diensten wird sie nicht angezeigt. 

 

Kaspersky abschalten bevor ich den Rechner hochfahre, damit er sie nicht in Quarantäne schieben kann? 

[Martl.E.G]

Am 19.5.2024 um 17:26 schrieb Martl.E.G:

Bin bei mir so vorgegangen:

Task-Menager/Prozesse/HostAppServiceUpdater.exe   und dann Task beenden.

Dann:

C:\Users\x\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe 

HostAppServiceUpdater.exe     Ausschneiden und auf ein Stick kopiern nicht Löschen (man weiß es nicht, ob man es nicht später braucht).

Rechner neustarten. Bei mir gabs keine Meldungen mehr von Kaspersky.

Es läuft.

Bedenke, Du muß es nicht machen. Es ist Deine Sache. Bei mir hat es funktioniert.

Am Schluß habe ich nochmal die Untersuchungen gestartet (Vollständige und Programmschwachstellen).

Viel Spaß.     Martl

 

[walter-hausen]

Hallo,

ich habe das gleiche Problem und auch ungefähr seit dem 17.05.

Habe auch einen Lenovo Laptop. Bin aber auch überhaupt kein Genie wenn es um den PC geht.

[walter-hausen]

Habe jetzt auch die Datei wie oben beschrieben auf einen Stick gezogen.

Seitdem habe ich auch keine Meldung mehr von Kaspersky bekommen

[ZombiePredator]

Ich habe vorhin die Lenovo Explorer-App deinstalliert und seitdem habe ich die Meldungen auch nicht mehr.

Habe beim Googlen gelesen, dass die App im Zusammenhang mir dem Host App Service Updater steht und früher bei einigen Benutzern Probleme, in Form von hoher CPU-Belastung, gemacht hat und die Deinstallation der Lenovo Explorer-App das Problem gelöst hat.

Ich denke, dass somit klar sein sollte, dass die Dateien in Zusammenhang mit Lenovo stehen und sehr wahrscheinlich tatsächlich false positives sind?

[CHHO]

Hallo,

Danke für den Hinweis von @ZombiePredator.

Auch ich ich hatte auf meinem LENOVO Laptop seit dem 17.05.2024 das gleiche Problem.

Nach der heute Vormittag durchgeführten Deinstallation der Lenovo Explorer-App erfolgt bis dato keine "Objekt gelöscht"-Meldung mehr von Kaspersky.

Allerdings war die Lenovo Explorer-App schon länger installiert. Was letztlich am 17.05.2024 zum aufgetretenen Phänomen führte - keine Ahnung.   

[Schulte]

Hallo @CHHO, willkommen.

Das Problem ist nicht die App selbst, sondern das Update, das diese installieren möchte.
Nach der Deinstallation wird das natürlich auch nicht mehr geladen...

On 5/21/2024 at 10:46 PM, Schulte said:

Die "HostAppServiceUpdater.exe" scheint der Updater für die (bei mir fehlenden) Lenovo-Zugaben zu sein. Diese .exe ist laut Bericht aber nur mittelbar am Fund beteiligt, beanstandet wird das, was die .exe herunterlädt und ausführen möchte. Also die in #1 genannten diversen "octXXXX.tmp".

[CHHO]

Hallo @Schulte,

vielen Dank für die Info, das leuchtet mir ein und erklärt dann wohl auch das Datum 17.05.2024, an dem offensichtlich das Lenovo update erfolgte.

Bin nur "einfacher" user 😄, aber so ist die ständige Warnung von Kaspersky, wenn vielleicht auch in bester Absicht, zumindest unterbunden.  

 

[ZombiePredator]

Kleines Update:

Seit gestern warnt Kaspersky mich jetzt vor der Datei USMT.PPKG, die wohl mit der HostAppServiceUpdater.exe zusammenhängt.
Pfad:
C:\Recovery\Customizations\USMT.PPKG

Scheint eine Datei für die Windows-Wiederherstellung zu sein. "Beheben" kann man das Problem nicht, da sich die Datei nicht löschen lässt - was man besser auch nicht sollte.
Ich denke, ich werde die Meldung einfach "ignorieren".

Hat sonst noch jemand auch diese Meldung bekommen?

[Alpharizard]

Hi, I also met this case. Which is my endpoint user using Acer laptop (not Lenovo like all of you who've also met this case). And it shown up with 2 extensions file (the file always name started with oct and ended up with .tmp or .tmp.exe file extension)

• Result description: Detected
  Type: Adware
  Name: not-a-virus:HEUR:AdWare.NSIS.SweetLabs.gen
  User: NT AUTHORITY\SYSTEM (System user)
  Object: C:\Users\acer\AppData\Local\Temp\octDB3F.tmp//data0001
  Reason: Expert analysis
  Database release date: 29/05/2024 04:44:00
  SHA256: 84AFF03EF22DFC414E53DDAC561EAE264EE41639F8DF1BDCE210C99B7E9E8239
  MD5: 7A5B959752C8E945307A7DBA5D814F30
• Result description: Detected
  Type: Adware
  Name: not-a-virus:HEUR:AdWare.NSIS.SweetLabs.gen
  User: NT AUTHORITY\SYSTEM (System user)
  Object: C:\Users\acer\AppData\Local\Temp\octDB3F.tmp.exe//data0001
  Reason: Expert analysis
  Database release date: 29/05/2024 04:44:00
  SHA256: 84AFF03EF22DFC414E53DDAC561EAE264EE41639F8DF1BDCE210C99B7E9E8239
  MD5: 7A5B959752C8E945307A7DBA5D814F30

After detected, the Kaspersky Endpoint for Security deleted it

• Result description: Deleted
  Type: Adware
  Name: not-a-virus:HEUR:AdWare.NSIS.SweetLabs.gen
  User: NT AUTHORITY\SYSTEM (System user)
  Object: C:\Users\acer\AppData\Local\Temp\octDB3F.tmp
  SHA256: 84AFF03EF22DFC414E53DDAC561EAE264EE41639F8DF1BDCE210C99B7E9E8239
  MD5: 7A5B959752C8E945307A7DBA5D814F30
• Result description: Deleted
  Type: Adware
  Name: not-a-virus:HEUR:AdWare.NSIS.SweetLabs.gen
  User: NT AUTHORITY\SYSTEM (System user)
  Object: C:\Users\acer\AppData\Local\Temp\octDB3F.tmp.exe//data0001
  SHA256: 84AFF03EF22DFC414E53DDAC561EAE264EE41639F8DF1BDCE210C99B7E9E8239
  MD5: 7A5B959752C8E945307A7DBA5D814F30

The problem is, if this case show up on another device besides Lenovo. How can I trace what condition can trigger this problem? And how I trace which application can generated this .tmp and .tmp.exe files?