Weihnachtsgeschenk

Erstellt von Markus Stenzel |

In den letzten Wochen bekamen Käufer von Hauptplatinen der Firma MSI ein unerwünschtes Weihnachtsgeschenk: Vermutlich als Ergänzung zum Audiotreiber der Firma Realtek wurde über Windows Update eine automatische Zwangsinstallation des umstrittenen Tools "Nahimic" vorgenommen. Dabei ist Nahimic als Schadsoftware einzustufen.

In der Definition von Schadsoftware sind erstens die Nutzlosigkeit, zweitens die Unfreiwilligkeit und drittens die Unmöglichkeit der Deinstallation. Alle Punkte sind bei Nahimic vollumfänglich erfüllt.

1.) Nutzlosigkeit: Auf Reddit und in anderen Medien ist von schwerwiegenden Problemen in Verbindung mit Headsets die Rede, außerdem funktionieren die Audiogeräte auch ohne Namihic einwandfrei. Laut Aussage des Herstellers sollen Einstellungsmöglichkeiten in der Nahimic-Software den 7.1 Surround-Sound verbessern, die Verbesserung wird mir allerdings noch geschuldet.

2.) Unfreiwilligkeit: Das Update kam in der Verkleidung eines normalen Windows-Treiberupdates über den Microsoft Windows-Mechanismus daher.

3.) Durch die Distribution als Treiberupdate wurden Konfigurationsdateien installiert, die auch bei einer Deinstallation des Treibers diesen zügig neu installiert. Eine Deinstallation von Nahimic über "Programme und Funktionen" ist nicht möglich, da das Programm keinen Eintrag in dieser Liste bereitstellt. Ein Deinstallationstool ist nicht vorhanden.

Mit diesen Eigenschaften ist Nahimic als Schadsoftware zu klassifizieren.

Wichtige Information vorab: Lesen Sie diese Anleitung sehr sorgfältig durch. Sie ist nicht für Laien bestimmt! Ich übernehme keine Garantie für die Gesundheit Ihres Computer (oder Ihre eigene!)

Zunächst fertigen Sie bitte ein Backup Ihres Computers an. Dafür empfehle ich das kostenlose Macrium Reflect. Mindestens sollten Sie aber einen Systemwiederherstellungspunkt setzen! Google hilft Ihnen sicherlich dabei.

Deinstallation

Namihic besteht aus einem Soundtreiber, zwei Diensten und mehreren Konfigurationsdateien und selbstverständlich aus mehreren Treiberdateien. Eine genauere Analyse des Installationsprogramms steht noch aus. Diese Auswüchse müssen in geeigneter Reihenfolge einzeln totgeschlagen werden.

Dazu starten Sie eine Eingabeaufforderung mit Administratorrechten. Tippen Sie auf die Windows-Taste. Wenn das Programmenü erscheint, tippen Sie: "cmd". Es erscheint nach sehr kurzer Suche die "Eingabeaufforderung".In der rechten Hälfte des Startmenüs finden Sie den Eintrag "Als Administrator ausführen". Klicken Sie dieses an und bestätigen Sie die Sicherheitsabfrage mit "Zulassen".

Beendigung der Dienste

Geben Sie die folgenden Befehle ein, um die Dienste von Nahimic zu beenden. Beenden Sie jede Zeile mit der Eingabetaste.

net stop NahimicService

net stop Nahimic_Mirroring

Entfernen des Audiogerätes

Geben Sie ein: start devmgmt.msc und bestätigen Sie mit der Eingabetaste. Es sollte der Gerätemanager erscheinen. Unter "Audiogeräte" finden Sie das "Nahimic Mirroring" Gerät. Klicken Sie es mit der rechten Maustaste an und wählen Sie "Deinstallieren" aus. Der Treiber wird nun ersatzlos deinstalliert. Die Soundausgabe wird weiterhin vom Realtek-Gerät übernommen.

Entfernen der PnP-Treiberdateien

Da Nahimic bereits installiert war, ist der Treiber in der Windows Treiberdatenbank hinterlegt und wird autimatisch neu installiert. Wann genau das stattfindet, bestimmt Windows. Daher müssen wir die Treiberinformationen, sogenannte INF-Dateien, aus dem System löschen. Hier wird es ein wenig kompliziert: Wir dürfen nur die Treiberdateien löschen, in denen die Nahimic-Erweiterung beschrieben ist. Diese Dateien liegen im Verzeichnis C:\Windows\system32\INF. Bei meiner MSI-Hauptplatine heißen diese Dateien "oem22.inf", "oem39.inf" und "oem9.inf". Auf Ihrem System könnten die Dateien durchaus anders benannt werden, denn die Dateinamen werden ganz willkürlich durch den Treiberprogrammierer benannt!

Verwenden Sie ein Programm, welches Textdateien basierend auf ihrem Inhalt finden kann. Der TotalCommander ist ein gutes Beispiel für solch ein Tool. Ich muss Ihnen dieses als Übungsaufgabe überlassen.

Nachdem Sie die korrekten Dateien herausgefunden haben (in diesem Beispiel verwende ich exemplarisch die erwähnten "oem22.inf", "oem39.inf" und "oem9.inf" geben Sie also folgende Befehle auf der Konsole (mit den von Ihnen herausgefundenen INF-Dateinamen!) ein:

pnputil /delete-driver oem22.inf /uninstall /force

pnputil /delete-driver oem39.inf /uninstall /force

pnputil /delete-driver oem9.inf /uninstall /force

Nahimic ist nun inaktiv und wird auch zunächst nicht erscheinen, vorausgesetzt daß Windows-Update es nicht erneut installiert. Sie können nun die nutzlosen Dateien aus dem Verzeichnis C:\Windows\system32 löschen:

  • drivers\Nahimic_Mirroring.sys

  • NahimicService.exe

  • NahimicService.ini

  • NahimicAPO3ConfiguratorDaemonModule.dll

  • NahimicAPO4ConfiguratorDaemonModule.dll

  • NahimicPnPAPO4ConfiguratorDaemonModule.dll

  • NahimicSvc64.exe

  • NAHIMICV3apo.dll

  • NAHIMICV3NSControl.dll

  • NAHIMICV3NSControlExpert.dll

  • NahimicSvc32.exe

Um Ihnen die Arbeit zu vereinfachen, können Sie anhängendes Shellscript verwenden, nachdem Sie Ihre individuellen INF-Dateien für Nahimic dort eingetragen haben! Rechtsklicken Sie auf die Datei und wählen Sie im Menü "Als Administrator ausführen". Folgen Sie den (englischen) Anweisungen.

Fazit

Es ist eine Krankheit, dass seit Jahren Systemgeräte nur noch mit zweifelhaften "Hilfsprogrammen" ausgeliefert werden. Während solche Tools z.B. bei SSD-Festplatten noch sinnreich sind, erschließt sich der Nutzen von "Nahimic" für mich überhaupt nicht. Zur Zeit kann ich vom Kauf einer MSI-Hauptplatine daher nur abraten! Suchen Sie lieber nach geeigneten Platinen der Firmen ASUS oder Gigabyte. Installieren Sie nie grundlos die CDs von Mainboard- oder Geräteherstellern!

Bei Problemen

Spielen Sie Ihre Datensicherung bzw. Ihren Systemwiderherstellungspunkt zurück!

Zurück
virus-1889413_1920__Medium_.jpg
Virus (Abbildung: geralt / Pixabay)