{"id":312846,"date":"2025-06-20T02:38:58","date_gmt":"2025-06-20T00:38:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=312846"},"modified":"2025-07-05T01:41:50","modified_gmt":"2025-07-04T23:41:50","slug":"refurbished-panasonic-toughpads-fz-g1f-auf-ebay-priceholes-mit-synaptics-exe-wurm-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/06\/20\/refurbished-panasonic-toughpads-fz-g1f-auf-ebay-priceholes-mit-synaptics-exe-wurm-infiziert\/","title":{"rendered":"Refurbished Panasonic Toughpads FZ-G1(F) auf eBay\/Priceholes mit Synaptics.Exe Wurm infiziert"},"content":{"rendered":"

\"Stop[English<\/a>]Warnung an IT-Dienstleister und Blog-Leser, die sich schon mal auf eBay einen gebrauchten Windows-Notebook, oder ein Tablet oder in Desktop-PC-System kaufen. Ein Leser wies mich die Woche darauf hin, dass er vom Anbieter Priceholes-com \u00fcber eBay refurbished Panasonic Toughpads FZ-G1(F) bestellt hatte, dann aber feststellen durfte, dass diese mit Malware infiziert waren. Er hat den chinesischen Wurm Synaptics.exe<\/em> auf den Systemen gefunden.<\/p>\n

<\/p>\n

eBay-Anbieter Priceholes-com<\/h2>\n

\"\"Auf der Plattform eBay tummeln sich ja eine Reihe H\u00e4ndler, die aufbereitete Hardware (refurbished Systeme) anbieten. Einer dieser Anbieter ist die PriceHoles.com Ltd<\/a> aus Gro\u00dfbritannien, die auf eBay unter Priceholes-com auftritt.<\/p>\n

\"Priceholes<\/p>\n

Von diesem Anbieter werden auch refurbished Panasonic Toughpads FZ-G1(F) auf eBay angeboten. Es handelt sich dabei um Industrie-Tablet-PCs f\u00fcr Windows mit vern\u00fcnftiger Ausstattung.<\/p>\n

Leser findet Synaptics.Exe Wurm<\/h2>\n

Blog-Leser Volker hat mich die Woche per E-Mail kontaktiert und \u00fcber einen unsch\u00f6nen Vorfall berichtet (danke f\u00fcr den Hinweis). Er gibt an, \u00fcber den eBay-Anbieter PriceHoles-com<\/a> diverse Panasonic Toughpads FZ-G1(F) erworben zu haben. Solche Ger\u00e4te werden unter diesem eBay Link<\/a> angeboten.<\/p>\n

Die K\u00e4ufer k\u00f6nnen dabei w\u00e4hlen, ob die Ger\u00e4te mit Windows 7 oder Windows 11 24H2 ausgeliefert werden. Der K\u00e4ufer braucht das Ger\u00e4t nur einzuschalten, und dann findet die Windows (OOBE) Installation \u00fcber das auf dem Ger\u00e4t abgelegte Installationsabbild statt. Nach dem Einrichten hat der K\u00e4ufer dann ein frisches System.<\/p>\n

Da Volker als IT-Dienstleister arbeitet, installiert er das Betriebssystem bei gebraucht gekauften Ger\u00e4ten \"immer frisch\" von einem eigenen Installationsdatentr\u00e4ger. Aber er schaut sich die Ger\u00e4te vor der Installation immer an und pr\u00fcft, ob die Software auf den Datentr\u00e4gern des Systems \"sauber ist.<\/p>\n

Als er die Panasonic Toughpads FZ-G1(F) vor der Windows-Installation \u00fcberpr\u00fcfte, machte er eine unsch\u00f6ne Entdeckung. Auf einigen der mit einem Windows 11 24H2 Installationsabbild gelieferten Ger\u00e4te fand sich im Ordner ProgramData <\/em>eine Datei synaptics.exe<\/em> in einem versteckten Ordner Synaptics<\/em>.<\/p>\n

Da das Ger\u00e4t keine Synaptics-Komponenten besitzt, wurde der Leser stutzig und hat das System einem Virenscan unterzogen. Bei der Datei Synaptics.Exe<\/em> handelt es sich um den \"altbekannten\" chinesische nSynaptics.exe<\/em> \"Network Worm\", schrieb er mir.<\/p>\n

Der Synaptics.Exe Wurm<\/h3>\n

Sucht man im Internet nach \"Synaptics.Exe Wurm\", gibt es zahlreiche Treffer, die bis\u00a0in das Jahr 2020. Hier einige Fundstellen aus dem Internet, die sich mit dieser Malware, die als Trojaner fungiert, befassen.<\/p>\n

reddit.com: Found The Synaptics Worm<\/a>
\nreddit.com: Virus on driver. Is this a false positive or real virus?<\/a>
\nvirustotal.com: Synaptics.exe<\/a>
\nFile.net: Erl\u00e4uterung auf file.net zu Synaptics.exe<\/a>
\nAnyRun: Analyse auf AnyRun<\/a><\/p>\n

Der Leser hatte kaum noch ein Zweifel, das es sich bei der entdeckten Datei synaptics.exe <\/em>um besagten Wurm \"Worm:Win32\/AutoRun.XXY!bit\" handeln muss.<\/p>\n

Die gro\u00dfe Gefahr, einen Trojaner einzuschleppen<\/h3>\n

Der Leser hat sich dann nat\u00fcrlich sofort einige Gedanken gemacht, denn dieser Reseller verkauft wahrlich sehr viele (dieser) Ger\u00e4te und hat 99,8% positive Bewertungen. Laut Leser sind die gelieferten Ger\u00e4te in einem Top-Zustand und die vorinstallierte Windows Version hat nur ein Panasonic Tool und ein UMTS Tool vorinstalliert.<\/p>\n

K\u00e4ufer stellen wom\u00f6glich erst sehr sp\u00e4t fest, dass die Ger\u00e4te infiziert sind. Denn der in Windows 11 24H2 integrierte Windows Defender schl\u00e4gt erst nach einiger Zeit Alarm. Nur\u00a0 wenn der Defender im Rahmen eines Offline-Scan mit der \u00dcberpr\u00fcfung der Systemdateien beginnt, wird sofort ein Malware-Fund gemeldet.<\/p>\n

Eine Vermutung des Lesers ist noch, das kurz nach dem OOBE-Prozess der (versteckte Ordner) Synaptics<\/em> unter ProgramData<\/em> angelegt wird. Sollte diese Variante tats\u00e4chlich, wie von anderen Leuten beschrieben, weitere EXE-Programmdateien infizieren, so ist bereits das Einstecken von USB-Sticks, um z.B. die Treiber vom Installationsmedium zu retten oder etwas auf den Speicher zu kopieren ein potentielles Infektionsrisiko, merkt der Leser an.<\/p>\n

Der Anbieter PriceHoles.com Ltd wurde vom Leser \u00fcber den Sachverhalt informiert und will sich, laut einer ersten R\u00fcckmeldung, um den Fall k\u00fcmmern. Bisher liegen da aber noch keine Ergebnisse vor. Daher ist der Blog-Beitrag als Warnung und Hinweis zu verstehen, gekaufte (refurbished) Ger\u00e4te als potentiell verseucht anzusehen und vor der Inbetriebnahme einer Pr\u00fcfung auf Schadsoftware zu unterziehen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Warnung an IT-Dienstleister und Blog-Leser, die sich schon mal auf eBay einen gebrauchten Windows-Notebook, oder ein Tablet oder in Desktop-PC-System kaufen. Ein Leser wies mich die Woche darauf hin, dass er vom Anbieter Priceholes-com \u00fcber eBay refurbished Panasonic Toughpads FZ-G1(F) … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[3081,4328],"class_list":["post-312846","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312846","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=312846"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/312846\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=312846"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=312846"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=312846"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}