/dev/null - Overig

ENE_QSI_Loki_HAL : wat is dit?

11-11-2022, 04:06 door Anoniem, 12 reacties
Ik vind in mijn onderhoudsoverzicht:

ENE_QSI_Loki_HAL Installatie van toepassing geslaagd.

Is van het bedrijf ENE Technology INC. (China)

Ik vind op internet meerdere vermeldingen met de vraag wat dit is. Maar geen antwoorden.

Ik heb het in mijn Taakbeheer-overzicht nergens kunnen vinden.

Ik heb Autorun-organizer weer aktief gemaakt, vond toen wel autostart dingen waarvan ik niet weet wanneer en hoe die op mijn PC gekomen zijn, maar van bovenstaande toepassing niets.

Weet iemand hier iets over?
Reacties (12)
11-11-2022, 15:36 door Anoniem
Door Anoniem: Ik vind in mijn onderhoudsoverzicht:

ENE_QSI_Loki_HAL Installatie van toepassing geslaagd.

Is van het bedrijf ENE Technology INC. (China)

Ik vind op internet meerdere vermeldingen met de vraag wat dit is. Maar geen antwoorden.

Ik heb het in mijn Taakbeheer-overzicht nergens kunnen vinden.

Ik heb Autorun-organizer weer aktief gemaakt, vond toen wel autostart dingen waarvan ik niet weet wanneer en hoe die op mijn PC gekomen zijn, maar van bovenstaande toepassing niets.

Weet iemand hier iets over?

Wat voor systeem heb je ?

deze link geeft wat hints naar een driver voor hardware in resp. asus dan wel (iets andere versie ) msi
https://www.winfuture-forum.de/index.php?showtopic=222216

Ik zie dat Asus een lijn 'ROG Loki' heeft .

en https://www.drwindows.de/xf/threads/unbekannter-ordner-ene.177361/

Heb je een (asus) met led-verlichting in de kast ?

hal = hardware abstraction layer ,als afkorting, meestal .

https://answers.microsoft.com/en-us/windows/forum/all/enesys-error-after-upgrading-to-windows-11-22h2/32d75051-11e1-4d04-9e3c-0342bcc9cf70

Bij elkaar denk ik dat het idd dan de driver is voor de led verlichting in je PC .
En waarschijnlijk heb je dan een Asus Loki voeding ?
11-11-2022, 17:26 door Anoniem
Hardware Abstraction Layer (HAL).
Drivers voor RGB Leds.
11-11-2022, 21:49 door Erik van Straten
Het hoeft bij de TS niet om malware te gaan, maar als er een driver op je systeem wordt geïnstalleerd zonder dat je daar zelf om hebt gevraagd, is dat wel reden om uit te zoeken waarom zoiets gebeurt.

Een driver van ENE Technology Inc. genaamd "ene.sys" is niet lang geleden gebruikt bij malware-aanvallen, uitgebreid gedocumenteerd door Ahnlab in [1] (PDF) te downloaden vanuit [2]. Naar verluidt was dat door de "Lazarus" groep (met een beperkte "high profile" doelgroep), maar andere cybercriminelen kunnen ook deze driver zijn gaan gebruiken.

Het volgende komt voor in de driver blocklist van Microsoft (te vinden in [3] door te klikken op de regel "Expand this section to see the blocklist WDAC policy XML"):
<Signer ID="ID_SIGNER_ENE" Name="Microsoft Windows Third Party Component CA 2014 ENE Tech OPUS">
<CertRoot Type="TBS" Value="D8BE9E4D9074088EF818BC6F6FB64955E90378B2754155126FEEBBBD969CF0AE" />
<CertOemID Value="ENE Technology Inc." />
</Signer>

Zo'n driver zelf is niet persé kwaadaardig, maar kan door malware gebruikt worden voor onbeperkte toegang tot het kernelgeheugen, meestal om allerlei beveiligingsmaatregelen uit te schakelen. Dit wordt "BYOVD" genoemd (Bring Your Own Vulnerable Driver, zie ook mijn eerdere post [4]). Op internet zie ik nogal wat meldingen dat die "ene.sys" driver wordt geblokkeerd na de upgrade naar Windows 11 (omdat onder Windows 10 die blocklist niet werd bijgewerkt en je bovendien standaard uitgeschakelde beveiligingsmaatregelen moet inschakelen).

Zo'n driver kan ook door game cheaters worden gebruikt, of natuurlijk waar die driver oorspronkelijk (niet secure) voor gemaakt is. Maar als het om een oude (bijvoorbeeld in 2014 digitaal ondertekende) driver gaat, is dat op z'n minst verdacht.

Als zo'n driver om legitieme redenen op je systeem staat, is dat wel een risico (vooral als je de PC als "ordinary user" gebruikt): privilege escalation (naar de hoogst mogelijke privileges) is dan zo gepiept.

De TS zou diens hele schijf kunnen doorzoeken naar "ene.sys", maar dat hoeft niet iets op te leveren. Die driver kan onder een andere naam zijn geïnstalleerd of deze kan alweer zijn verwijderd nadat beveiligingsmaatregelen zijn uitgeschakeld. Ook kan middels rootkit-technologie worden voorkomen dat dit bestand "zichtbaar" is op de schijf.

[1] https://asec.ahnlab.com/wp-content/uploads/2022/10/Analysis-Report-on-Lazarus-Groups-Rootkit-Attack-Using-BYOVD_Oct-05-2022-3.pdf

[2] https://asec.ahnlab.com/en/38993/

[3] https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules

[4] https://www.security.nl/posting/771209/MS+BYOVD+blocklist+fail
12-11-2022, 01:06 door Anoniem
Heer van Straten heeft met zijn eerste zin helemaal gelijk.

Dat er iets, zonder mijn bemoeienis en instemming, installeert vind ik heel verdacht. En als er op internet geen uitleg te vinden is, ook niet van het bedrijf er achter, word ik heel achterdochtig (er zijn meer heel bekende programmas die services installeren die ze verborgen trachten te houden, dan is AutorunOrganizer heel nuttig).

Verder ben ik mij van wat voor verlichting in mijn PC dan ook, niet bewust, lijkt mij niet nuttig, heb ik ook geen interesse in.

Gebaseerd op de gevonden en gegeven info heb ik wel een en ander weten te wissen en deinstalleren. Echter als er kwaad opzet in het spel is, zoals heer van Straten uitlegt, is het even de vraag of dat helpt.

Wel weer een time-waister, maar weer eens wat anders dan die Corona-zooi.
12-11-2022, 13:18 door Erik van Straten
AutorunOrganizer heb ik geen ervaring mee, maar Autoruns wel: https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns.

Ook veel andere tools van o.a Mark Russinovich zijn erg handig bij troubleshooting, je kunt het hele pakket (inclusief Autoruns) hier kostenloos downloaden: https://learn.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite.

In de suite zitten wel enkele tools die ook populair zijn bij cybercriminelen, zoals PsExec. Sommige virusscannners zouden daarop kunnen aanslaan, vaak als "PuP" (Potentially unwanted Program).

Als er echt rootkit-achtige malware op een computer actief is, kun je niets vertrouwen. Er is dan geen standaard recept dat gegarandeerd uitsluitsel geeft over de aanwezigheid van malware.
12-11-2022, 13:49 door Anoniem
Verder ben ik mij van wat voor verlichting in mijn PC dan ook, niet bewust, lijkt mij niet nuttig, heb ik ook geen interesse in.
Behuizing openen, computer aanzetten, moederbord inspecteren.
Nut: Controle moederbord, geheugen, voeding. Uit, aan, slaapstand. Post error. Etc.
16-11-2022, 03:03 door Anoniem
Hier Topic Starter.

Vermoedelijk is dit programma meegekomen met Western Digital Dashboard. Ik vond op internet een paar verwijzingen hiernaar.

Had ik uitgeprobeerd, en gekonkludeerd dat ik er niets funktioneels mee kon, en weer gedeinstalleerd. Vermoedelijk is het oude Western Digital HDD-programma nuttiger.
De resten van die ENE_QSI_Loki_HAL (of ENE) waren dus achtergebleven. Er waren heel veel register-entries en nog een map met enkele .dll-files. En nog ergens diep verscholen een programma wat de zaak definitief uninstall-de (het is verwonderlijk dat ik die gevonden heb).
16-11-2022, 17:55 door Anoniem
Volgens mij kan hij gewoon geliquideerd worden. Is een redundant iets.

Her systeem zal er alleen beter van worden. Kost resources enz

Haal Kaspersky er anders eens bij?
17-11-2022, 04:03 door Anoniem
Door Anoniem: Hier Topic Starter.

meegekomen met Western Digital Dashboard. Ik vond op internet een paar verwijzingen hiernaar.

(het is verwonderlijk dat ik die gevonden heb).

Ledje van je hd dus.

Vroeger had je een site waar je kon opzoeken wat een bepaald bestand deed.
Ik kan die nu even niet terugvinden.
Wel kan je elk verdacht bestand uploaden naar: https://www.virustotal.com/gui/home/upload
17-11-2022, 11:37 door Anoniem
Het ziet er naar uit dat Google weer kapot is.
17-11-2022, 12:32 door Anoniem
Door Anoniem: Het ziet er naar uit dat Google weer kapot is.

in dit geval vergde het wel wat gevorderde google skills om wat dingen te vinden .
(ik schreef 11-11 15:36 )
En TS had , volgens z'n bericht het tenminste ook geprobeerd, hij schreef dat hij op Internet meerdere meldingen vond , maar voornamelijk van mensen die dezelfde vraag hadden.

Dus nee, de klacht is vaak terecht dat mensen hier vragen stellen die letterlijk de eerste hit in google zijn, maar deze post was dat niet.
23-11-2022, 11:44 door Anoniem
Door Anoniem: Hardware Abstraction Layer (HAL).
Drivers voor RGB Leds.

HAL is voor alle drivers, maar dit heeft weinig te maken met de vraagstelling.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.