beijing.myqcloud Virus

    Hallo Leute,

    soweit ich zurückdenken kann habe ich auf meiner Hack Hardware einen Virus. Nicht wirklich gefährlich aber mühsam.

    Kurz die Symptome:

    Nach dem Start versucht der Virus eine URL aufzurufen. Wenn ich ins macOS starte und warte setzt er die URL in die Passwortabfrage des Anmeldefensters. Nützt natürlich nix, das Paßwortfenster schüttelt einfach und ich gebe danach mein Passwort ein.

    - Um die Fehlerquelle einzugrenzen:

    Dasselbe geschieht wenn ich ins UEFI gehe und gleich das "Suche" Fenster öffne. Dann wird die URL dort in das Suchfeld eingesetzt.

    Dasselbe geschieht wenn ich von der Linux NVMe starte. Da wird die URL auch in die Passwortabfrage des Anmeldefensters gesetzt.

    Das geschieht jedesmal nach ca. 45sec.

    Kennt das jemand oder noch besser weiss jemand wie man das weg kriegt?


    Die URL sieht so aus (ich habe sie aus Sicherheitsgründen am Anfang verändert; hyyps)

    hyyps://upgrade-1318931438.cos.ap-beijing.myqcloud.com/display-100/100G/JL DGT software.zip

    Die URL lädt ein zip runter indem eine .exe Datei sit.

  • Jump to the most helpful post

    • Helpful

    lies dich schlauer-> https://forums.malwarebytes.co…myqcloud-malware-scripts/


    lg :)

    Alles klar. Ist nur der Flüssigkühler der versucht seine Firmware zu aktualisieren.

    um noch mehr infos zu bekommen, tippe einfach mal den namen "beijing-myqcloud-virus" in die suchmaschiene deiner wahl ein, es scheint öfter mit lüftersoft zu tun haben...


    lg :)

    Benutzer in den Foren sagen man muss den Kühler vom USB trennen. Aber reguliert der Kühler nicht die Geschwindigkeit der Pumpe und der Ventilatoren über USB?

    Quote from Atalantia

    Aber reguliert der Kühler nicht die Geschwindigkeit der Pumpe und der Ventilatoren über USB?

    So wie ich das auf der Malwarebytes Seite verstanden habe, ist der USB Anschluss nur für das Display auf der Pumpe zuständig.

    Gruß, karacho



    Bitte keine Supportanfragen via PN. Eure fragen gehören ins Forum!

    Ich hab noch drei Patronen, eine für dich und zwei für mich...

    Habe den USB vom Kühler abgetrennt, also nicht mit der Zange sondern einfach aus gesteckt. Bis jetzt scheint das Problem beseitigt zu sein. Manchmal startete es aber auch ohne eine URL aufzurufen, speziell nach dem Reset des NVRAM aber ich glaube Beijing ist Geschichte, zum Glück [hehee]

    Definitiv Geschichte. Der Wasserkühler versuchte eine Software runterzuladen. Wahrscheinlich für den RGB Schnick-schnack. RGB ist bei mir gänzlich abgeschaltet. Beim Starten leuchten die Motherboard Kontroll-LED's und wenn's mal durch gestartet ist, ist alles dunkel. Nicht mal die Standby oder "ON" LED leuchtet. Kann ich beim arbeiten mit Graphic total nicht brauchen.

    Deine Beschreibung klingt sehr stark nach einem bösartigen HID‑Gerät und nicht nach einem klassischen Software‑Virus. Dass die URL automatisch eingegeben wird, immer nach ca. 45 Sekunden, und vor allem sowohl im UEFI als auch unter macOS und Linux, ist der entscheidende Hinweis. In diesem Stadium läuft noch kein Betriebssystem, also kann es kein OS‑Malware sein. Ich habe so etwas schon mit manipulierten USB‑Geräten gesehen (BadUSB / Rubber Ducky), die sich als Tastatur ausgeben und nach einer Verzögerung eine fest einprogrammierte Zeichenfolge tippen.

    Kleine Anekdote: Ein Kollege hatte mal einen billigen USB‑Hub aus dubioser Quelle – exakt das gleiche Verhalten, inklusive komischer URL beim Boot.

    Mein Rat:

    – Starte das System mit allen USB‑Geräten abgezogen

    – teste mit einem anderen Keyboard

    – prüfe auch Bluetooth‑Dongles, Funkempfänger und Hubs

    – taucht das Problem nicht mehr auf, hast du den Übeltäter gefunden

    Der Download‑Link zu einer chinesisch gehosteten .exe passt perfekt zu einem simplen HID‑Payload. Die gute Nachricht: Sobald das Gerät raus ist, ist das Thema erledigt.

    Der Verursacher ist doch gefunden als der Kühler, Mia99 . Schön ist das trotzdem nicht - und ob das nicht doch ein Virus ist, ist ja nicht damit geklärt, dass das Gerät nicht mehr am USB angeschlossen ist. Eine URL noch vor dem Betriebssystem ist jedenfalls keine gute Sache.

    Aber: Willkommen im Forum, Mia99 !

    :party::welcome2::party:

    Meine Rechner


    :hackintosh:

    Quote from MacGrummel

    Der Verursacher ist doch gefunden als der Kühler, Mia99 . Schön ist das trotzdem nicht - und ob das nicht doch ein Virus ist, ist ja nicht damit geklärt, dass das Gerät nicht mehr am USB angeschlossen ist. Eine URL noch vor dem Betriebssystem ist jedenfalls keine gute Sache.

    Aber: Willkommen im Forum, Mia99 !

    Mia99 hats runtergenagelt.:top:Das die URL vor dem Betriebssystem aufgerufen wird ist eigentlich ziemlich doof. Da hat es noch nix was mit der URL was anfangen kann. Das Delay von 45sec zeigt das die "Entwickler" darauf abzielen, dass das OS bis dahin durchgestartet ist. Die Strategie dahinter ist typisch Chinesisch.

    Wie gesagt nach dem ausstecken des Liqud-Coolers hatte der Spuk ein Ende. Der war nur für den RGB Firlefanz am USB des Motherboards angestüpselt.