PUA:Win32/Playtech mit Microsoft Defender entdeckt

[7AIR]

relevante Links aus Schnellrecherche zur Art der Bedrohung:
- https://adwareremoval.info/puawin32-playtech/
- https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/pua.win32.playtech.usmaneiao

 

Auch wenn es für mich persönlich so scheint, als wären die Probleme aufgetreten, nachdem;

Disk-Image-Herstellersupport kontaktiert wurde wegen:

Ausführung der Sicherung mit einem ungültigen Zertifikat vorgeschlagen — Sicherheitsbedenken…

Und da, das „Ja" zur Ausführung gekommen ist.

 

Scheint es nun, nach Benutzer–Analyse so, dass die Bedrohung, welche wahrscheinlich im Chrome–Browser–Cache gefunden wurde, (mit Bezug zum Besuch und Nutzen einer Casino–Website) aus einer Zeit stammt, wo die Sicherheitslösung des Unternehmens noch nicht aktiviert wurde.

Die bei der Desinfektion durch Windows Defender Antivirus zurückgebliebenen Dateien, welche vermutlich im Zusammenhang mit der Datei stehen die die Bedrohung aufgewiesen hat … tragen den Datumsstempel 16.03.2020, spätabends.
Und die Schlüssel zur Aktivierung der Internet Security Suite datieren ab dem 17.03.2020 frühmorgens.

Die Problematik ist im Rahmen dessen aufgetreten oder entdeckt worden, dass die persönliche EDV-Standard-Sicherheit erhöht werden sollte, und peu à peu Maßnahmen in diesem Sinne gesetzt bzw. Einstellungen angepasst wurden.

Auffallend oder merkwürid erscheint für mich in diesem Zusammenhang erstens, dass die Bedrohung nicht durch die Softwarelösung von Kaspersky Labs erkannt und entfernt wurde.

Es gab zwischenzeitlich die Meldung, dass das Starten von Kaspersky Internet Security gescheitert ist.

Es wurde anschließend als die korrekte Ausführung der Internet Security Suite kontrolliert wurde, ein Dialogfeld ersichtlich, welches über das Sammeln von Informationen berichtete. Die anschließende Übermittlung des Berichts an Kaspersky scheiterte zwei Mal mit aktivierter Kaspersky Secure Connection. Als die sichere Verbindung deaktiviert wurde, konnte dann der Bericht übermittelt werden.

Vermutlich würde sich die für die Bedrohung verantwortliche Datei aus einem Backup wiederherstellen lassen, wenn ein älteres Backup aufgespielt würde, und das dabei helfen könnte Maßnahmen zum Schutz anderer Geräte besser einzurichten.

Ein weiterer merkwürdiger Gesichtspunkt bei dieser Sache ist, dass nach dem Feedback des Sicherungssoftware-Anbieters davon ausgegangen worden ist, niemals wieder ein gültiges Zertifikat für die Ausführung vorliegen zu haben, nun aber eine Woche später das Programm ein gültiges Zertifikat aufweist.

Vor kurzem wurde der Support kontaktiert wegen einer doppelten Darstellung des Passwort Managers in den Taskleisten-Einstellungen. Dabei wurde mir eine Datei zur Ausführung übermittelt, und ich sollte einen output davon per E-Mail übermitteln.

Ich weiß nun nicht genau, ob ich soetwas wieder machen soll?

Während wie das aussieht, das letzte Mal die Bedrohung nur eventuell vorhanden schien, ist die aktuelle Angelegenheit wahrscheinlich eine echte Gefahr.

Für jegliche Hilfe zur Vorgehensweise wäre ich sehr verbunden/dankbar:
Ist es ratsam die einzelnen Schritte der Links durchzugehen, oder ist das Zeitverschwendung damit zu starten?
Lt. AGB oder Bedienungsanleitung ist die Softwarelösung zur Verwendung sinngemäß als installieren und vergessen gedacht.

Zusätzliche Info: In unmittelbarer Umgebung ist ein offenes, ungeschütztes WLAN aktiv.

Wenn das korrekt erinnert wird, wurde die Bedrohung bereits zum zweiten Mal durch Microsoft Defender Antivirus behandelt.

Lt. Windows ist es kein Problem das Defender Antivirus, neben der Softwarelösung von Kaspersky zu nutzen. Für die Support-Konsultation scheint allerdings zu gelten, dass keinerlei Software von anderen Herstellern zur Virusbehandlung oder -erkennung eingesetzt werden sollte.

Vorerst wird der Computer intensiv gescannt, und ein Wiederauftauchen überwacht.

Microsoft Defender Offline Untersuchungen auf allen Geräten durchgeführt.

 

Version des Windows-Betriebssystems: Microsoft Windows 10 Home (Version 10.0.19041)
Systemtyp: x64-basiert
Produktbezeichnung und Version Deines Kaspersky-Produkts: Kaspersky Internet Security 2020
Produktbezeichnung und Version weiterer installierter Sicherheitssoftware: Microsoft Windows Defender Antivirus, Acronis True Image (mit Active Protection deaktiviert)
Sicherheitssoftware, welche vorgängig zum jetzt installierten Kaspersky-Produkt installiert war: keine.

 

 

Gerne hätte ich die Desinfektion automatisiert ausgeführt, um keine unnötige Verzögerung entstehen zu lassen.

 

Acronis-Haupt-Exe-Dateien im Filedropper online bei kaspersky untersuchen lassen, und da alles in Ordnung dabei.

Kommentarloses Feedback als „Meldung über Fund von potentiell unerwünschter App” in Windows-Feedback umgehend eingereicht mit Bezug zu diesem Fall, wie geglaubt wird.

[7AIR]

Erstmal bitte ich um Verzeihung für die teilweise schlampige Sprache; im Sinne einer schnellstmöglichen Erstellung des Beitrags hierzu war das anders nicht möglich.

 

Ergänzungen:

Faktenlage ist, dass das System-Image oder die regelmäßigen System-Images auf eine externe USB-Festplatte gespeichert wurde. Auf dieser hat sich noch einiges an Sicherungsdaten aus “vergangenen Tagen” befunden; darunter zwar nicht mehr in Verwendung befindliche Software-Raubkopien, aber eben als “Sicherung”. Windows Defender Antivirus hat bei einer Untersuchung circa 7-12 Einträge dazu gefunden.
Die gewählte Vorgehensweise war nun alles durch das Windows-interne Antivirus beheben und somit löschen zu lassen. Die verbliebenen Dateien dieser Softwares wurden manuell von der Festplatte gelöscht. Die erneute Untersuchung des Datenträgers hat keinerlei Bedrohungen mehr gefunden.

Wenn ich das korrekt in Erinnerung habe, wobei ich mir leider nicht mehr ganz sicher bin, wurde die angeschlossene USB-Festplatte mit der Software von Kaspersky Labs vollständig untersucht, wobei keine Bedrohungen erkannt worden sind.

 

Die weitere Vorgehensweise wird sein für den Acronis Support einen Report zu erstellen, und diesen Einzureichen.

Merkwürdig ist die jetzt immer wieder auftretende Benachrichtigung im Windows Action Center; “Virenschutz aktivieren”.

Teilweise sind Unregelmäßigkeiten in der Benutzung der Secure Connection aufgetreten, sodass z.Bsp. sich die sichere Verbindung nicht aktivieren ließ. Ein manuelles Beenden und erneut starten der Secure Connection Software hat dieses Problem gelöst.
 

[Schulte]

Hallo @7AIR, ein nachträgliches Willkommen.

Zuerst mal eine Erklärung zum “Sammeln von Informationen”:
wenn KIS oder die “Secure Connection” (KSeC) abstürzen, wird das in einem Log vermerkt. Beim nächsten Rechnerstart werden erstellte Dumps und Log-Dateien gesammelt, die dem Support Aufschluss geben können. Dann wird um Erlaubnis gefragt, diese Daten zu senden. Wenn Deine Internetverbindung das hergibt, kannst Du gerne zustimmen. Damit hilfst Du, das Produkt zu verbessern.

Doppeltes Icon:
nach einem Absturz eines KL-Produkts startet sich dieses in der Regel neu. Dabei kann es vorkommen, dass das Icon der vorherigen Instanz noch sichtbar ist. Wenn Du mit dem Mauszeiger darüber fährst, verschwindet es.

Verbindungsprobleme mit KSeC:
benutzt Du die mitgelieferte eingeschränkte Version oder hast Du eine zusätzliche Lizenz erworben?
Aus eigener Erfahrung kann ich sagen, dass die Free-Version ab und zu Verbindungsprobleme hat.

Deine Erfahrungen mit dem Defender kann ich leider nicht beurteilen, ich nutze ihn nicht. Laut Tests ist er aber anfällig für FPs, oft auch bei älterer Software.

Ich hoffe, ein Win10/Acronis-User kann Deine weiteren Fragen beantworten.

[7AIR]

Vielen Dank für die Antwort.

 

Darf ich als Endbenutzer bitte fragen, was FPs sind?

Kürzlich habe ich, wenn ich das korrekt erinnere, irgendwo drübergelesen, dass die Software von Kaspersky Labs mit der ich im Allgemeinen wie auch im Speziellen immer sehr zufrieden war, bei 64bit-Win10-Architektur Funktionseinschränkungen aufweist.
Der erste Gedanke von mir war, dass sich diese Funktionseinschränkungen durch die Aktivierung der Win10-internen Antivirus-Setups eventuell beheben ließen.
Für eine genaue Beurteilung ist mein Wissensstand viel zu gering. Ich war erleichtert, als ich gelesen habe, das Notebook das ich jetzt gerade im Moment benutze die 32bit-Version von Win10 nutzt.

Die Angelegenheit mit dem doppelt aufscheinenden Icon des Passwort-Manager, in auffälliger Abweichung zur Darstellung auf den sonst noch in Verwendung befindlichen EDV-Geräten … ist nicht als Folge eines Absturzes zu werten, da es dazu keine Anzeichen gab.

Es hat sich herausgestellt, dass die Taskleistensymbol-Einstellungen wohl so sind, dass eine Einstellung dafür da war, das Icon direkt neben der Uhr aufscheinen zu lassen, während das zweite die Einstellung dafür gewesen zu sein scheint, das Icon in einem durch anklicken aufscheinenden Menü neben der Uhr …. angezeigt wird.

Was die VPN-Qualität betrifft wird eine unbeschränkte, käuflich erworbene Lizenz genutzt.
Die m. E. Teil der Kaspersky Labs Internet Security Suite ist.

Die Erfahrung hier scheint zu sein, dass es auch mit der unfreien Version immer wieder mal zu Verbindungsabbrüchen kommt.


Mir ist im Rahmen der Bearbeitung dieses Falls, oder der aktuellen, persönlichen EDV-Sicherheitsrichtlinie auch aufgefallen, dass es im Programm Secure Connection die Option gibt, eine Ereignisprotokollierung zu aktivieren, wo es diverse Untereinstellungen gibt. Diese sollen aber ausschließlich nach Rücksprache mit einem Experten vom Support aktiviert werden.

Und wenn ich das richtig verstanden habe, etwas damit zu tun haben, um bei der Mithilfe zur Programmverbesserung etwas erwirken zu können, oder besser.

Danke nochmal…

 

[Schulte]

Hallo @7AIR,

FPs sind “false Positives”. Das bedeutet, dass ein AV-Programm Malware erkennt wo keine ist. Eine Datei wird also in Quarantäne gesteckt oder gelöscht, obwohl sie ungefährlich ist.

Die Ereignisprotokollierung (Traces) solltest Du wirklich nur unter Anleitung des Supports verwenden. Sie dient dazu, kurzfristig ausführliche Informationen zu einem reproduzierbarem Problem zu sammeln. Einschalten->Problem nachstellen->ausschalten->Logs senden.

Sind die Traces (gibt es auch in KIS) ständig aktiviert, läuft Deine HD/SSD relativ schnell voll. Je nach Gebrauch des Rechners können täglich viele GB an Logs anfallen.

Die Funktionseinschränkungen unter Windows-64-Bit-Versionen sind einzig auf die 64-Bit-Architektur von Windows zurückzuführen.
Wo unter 32-Bit Kasperkyprodukte noch Schwachstellen abdecken mussten (und konnten), schützt sich ein 64-Bit-Windows selbst. Es ist also immer von Vorteil, Windows in einer 64-Bit-Version zu verwenden, auch wenn es dann “Funktionseinschränkungen” gibt.

[7AIR]

Danke für die Antwort, und die Übermittlung der als sehr nützlich erachteten Informationen sehr!
☺

[7AIR]

Nach intensiverer Untersuchung der Angelegenheit konnte jetzt festgestellt werden, dass die Ausführung der Acronis–Software mit einem ungültigen Zertifikat falsch gesehen wurde. Und die Software keine Probleme hatte.

Wahrscheinlich war es demnach da “rein zufällig” so, dass die Probleme in der zeitlichen Abfolge so entstanden sind, dass für mich der Eindruck entstanden ist, diese würden in Zusammenhang stehen.

 

Mein Fehler.
Trotzdem scheint der Fund im Google-Chrome-Cache bedenklich. Ob das tatsächlich ein FP war oder nicht, kann ich nicht sagen.

Falls es gewünscht ist, die Sache genauer zu Untersuchen, würde ich backup-Daten bereitstellen, auf denen die Bedrohung noch vorhanden sein sollte.

[7AIR]

Heute hat sich die Situation folgenden Screenshots ergeben, nachdem versucht wurde über einen Rechtsklick auf das KSN-Icon eine sichere Verbindung herzustellen.

Derartige und ähnliche Gegebenheiten tauchen immer wieder vor wie es scheint, was bei mir Sicherheitsbedenken weckt.

Gerne würde ich bitte fragen, ob dazu resp. zu solchen Dingen auch ein Windows-Feedbaack erstellt werden soll?

So wie ich die Lizenzbedingungen verstanden habe würde es nicht anzuraten sein Dritten gegenüber (was in dem Fall ja Microsoft wäre?!) in irgendeiner Form etwas über die Arbeit des Programms erzählen - was ein Feedback verunmöglichen würde?

Wenn dazu etwas gesagt werden kann, würde ich mich sehr freuen!
Danke.

[7AIR]

Ich habe erneut zu berichten:

 

Bei einer Untersuchung durch den Vollständigen Scan der Windows-Sicherheit wurde die Meldung dargestellt, dass Maßnahmen gegen eine Bedrohung ergriffen worden sind.
Beim Aufrufen der Details zu dem Fall zeigt sich, dass die Meldung wohl durch die Installation einer Software von einem Glücksspiel-Anbieter begründet ist.
Es handelt sich beim Fund um "PUA:Win32/Playtech".
 

Zuletzt war die gewählte Vorgehensweise umgehend das Problem beheben zu lassen, weil möglichst keine zeitliche Verzögerung im Desinfektionsprozess entstehen sollte. 

Dieses Mal wird das System erst noch mit der Vollständigen Untersuchung von Kaspersky gescannt.

 

 

update

 

der Scan mit der Kaspersky-Software hat keine Bedrohungen festgestellt.

Die heruntergeladene Datei wurde davor noch durch eine Einzeluntersuchung um 19:27 geprüft.

Es wird die Vorgangsweise gewählt das Problem beheben zu lassen von der Windows-Sicherheit, und das System neu gestartet, und abermals vollständig gescannt.

Für jegliche Hinweise, oder auch Antworten auf frühere Fragen wäre ich sehr dankbar!

 

update

 

Die Windows-Sicherheit meldet nun auch wieder “Keine aktuellen Bedrohungen”:
 

 

Zwischenzeitlich haben sich wie schon vor der Überprüfung Unregelmäßigkeiten in der Darstellung der Kaspersky-Software ergeben, über die mit zwei weiteren Screenshots berichtet werden soll…
 

schwarzer Rahmen der üblicherweise nicht da ist vor der Untersuchung, und gepunktete Darstellung in Kaspersky Internet Security

update (22:06 Uhr)

ein Schließen des Fensters für den Detaillierten Bericht war über das rote X in dem Taskleisten-Popup da jetzt nicht möglich. Über ein Aufrufen des Fensters, und dort das X auswählen hat sich das Fenster dann doch schließen lassen.

 

Mehrfaches Klicken auf das rote Feld mit dem X ergebnislos

 

[Schulte]

Hallo @7AIR,

zunächst mal eine Einstufung:
der Defender findet “potenziell unerwünschte Software”.
Darunter versteht man Programme, die üblicherweise dem User keinen Mehrwert bringen. Teilweise blenden sie Werbung ein, filtern Suchergebnisse oder bieten sinnlose Zusatzfunktionen an. Vom Prinzip her sind sie eventuell lästig, aber nicht gefährlich.

Es liegt am AV-Hersteller, wie er dagegen vorgeht.
Manche löschen diese Programme rigoros, andere machen den User auf deren Installation aufmerksam.

Bei Kaspersky gilt hier die Regel:
ist das Programm unschädlich, hat eine digitale Signatur und verfügt über einen Deinstaller (was hier der Fall ist), wird es nicht bemängelt.

Du kannst aber auch mal einen Scan mit dem AdwCleaner durchführen.
Bevor Du etwas löschen lässt, kannst Du gerne hier das “Gefunden-Log” posten. Manchmal ist das Programm etwas “übereifrig”.

EDIT:
ein Schließen der KL-Fensters über das rote X im Taskleisten-Popup ist nicht möglich. Das könnte von Malware missbraucht werden.

[7AIR]

update:

Der Anbieter dieser Glücksspiel–Software hat eine Nachricht zum Vorfall entgegengenommen.