Noch ein kleiner Infosplitter zum Umfeld von Windows 8.1/10. Falls die Kiste langsam wird und im Taskmanager eine hohe CPU-Last für einen Prozess mit dem Namen yac64xxx.exe angezeigt wird, treibt ein PUP sein Unwesen.
Anzeige
Der Befall durch unerwünschte Programme (PUPs) fällt Anwendern oft erst beim Umstieg auf Windows 10 oder bei den dort regelmäßig stattfindenden Updates auf. So auch der Fall aus dem MS Answers-Forum, der sich aber unter Windows 8.1 ereignete. Der Hilferuf:
Was ist yac64avx10b.exe es beansprucht über 70 % der CPU und kommt nach jedem Neustart wieder.
Eine kurze Recherche zeigt (z.B. hier und hier), dass es sich um Malware in Form eines BitCoin-Miners handelt. Die Malware schürft dann Bitcoins mit der Rechenleistung des PCs. Einige Antivirus-Programme erkennen die Malware, andere nicht. Auf's System kommt so was im Beifang zu diverser Software, die aus dem Internet heruntergeladen wird.
In der Systemsteuerung sollte man auf Program deinstallieren gehen und schauen, ob da irgend etwas zu BitCoin steht und die Anwendung deinstallieren. Laut MS Answers-Forum findet sich die Programmdatei im Verzeichnis:
C:\Windows\binaries_burst6y4\yac
Anzeige
Im aktuellen Fall hat der Anwender einfach den Inhalt des Ordners gelöscht und hatte angeblich Ruhe. Allerdings bleiben bei der Attacke die Registrierungseinträge im System zurück. Hier muss man ggf. die Registrierung nach yac durchsuchen und die Einträge manuell löschen. Vermutet wird übrigens der PDF 24 Creator als Quelle für den Beifang – bei Recherchen konnte ich aber nichts weiteres im Internet zu diesem Thema finden.
Anzeige
Microsoft erkennt yac64avx10b.exe hier bei Virustotal nicht.
Es wäre interessant, wenn ihn jemand hat und mit aktivierter Malwareerkennung scannt. Wie man sie aktiviert, ist hier beschrieben:
http://www.borncity.com/blog/2015/11/27/adware-in-windows-blockieren/comment-page-1/
Hallo,
Also im konkreten Fall kann ich nicht weiterhelfen. Aber die Malware-Warnung vom MS-Defender muss ich an dieser Stelle einmal loben. Das Ding hat in letzter Zeit öfter bei mir Alarm geschlagen, insbesondere beim Downloads von kleinen Gratis-Tools- / und -Utilites, welche ich seit Jahren nutze und mal wieder updaten wollte.
Und was soll ich sagen…
Es war jedesmal berechtigt. Eine auf den Alarm folgende Recherche im Netz ergab jedesmal, dass der Anbieter des Programmes neuerdings (oder seit einiger Zeit) den Installer ein wenig "gewürzt" hat.
Die Anti-Adware-/ Maleware-Funktion des Defenders hat mir die mühsame Deinstallation mehrere Toolbars, Suchmaschinen-AdOns und Werbenetzwerk- AdOns erspart.
Eine Überprüfung der Dateien mit z.B. VIRUSTOTAL führte in den meisten Fällen zu keinem Ergebnis! Toolbar ist eben nicht gleich Virus.
Also ich würde die Aktivierung dieser Funktion des Defenders auf jeden Fall empfehlen.
Freundliche Grüße
P.B.