P52/72 Joker-Foto statt Lenovo-Logo

R

Robyn

New member
Themenstarter
Registriert
15 Feb. 2025
Beiträge
8
Hallo,
ich habe am 12.02.25 in einer spontanen Update-Laune zusätzlich zu dem anstehenden Windows-Update auch die optionalen Treiber-Updates von Lenovo und Intel mitinstalliert auf unserem Familien-Laptop, ein ThinkPad P52. Genauer gesagt diese laut Windows Updateverlauf:
- Lenovo - System - 1.69.20.0
- Lenovo Ltd. - Firmware - 12.0.95.2489
- Lenovo Ltd. - Firmware - 1.0.0.55
- Intel(R) Corporation - System - 17.4.80.94
Lief alles nebenher und unauffällig ab, hab mir weiter keine Gedanken gemacht.
Heute sagt mein Kind, dass beim Booten so ein horrorartiges Bild angezeigt wurde.
Ich schau sofort nach, tatsächlich: Beim Booten grinst mich Batmans Erzfeind Joker an wo bisher immer fett das rote Rechteck mit dem Lenovo-Schriftzug prangte. Siehe Anhang.
Nun bin ich sehr irritiert und beunruhigt. Was meint Ihr?
 

Anhänge

  • IMG_2146.jpg
    IMG_2146.jpg
    99,5 KB · Aufrufe: 83
@disappearer Also, das in dem Reddit-Post verlinkte Tutorial von ittutorials.net sieht schon physikalischen Zugriff (ich meine: benutzergeführt) auf den Rechner vor. Aber ist ja nicht auszuschließen, dass eine Malware den ganzen Vorgang automatisiert und ohne Benutzerinteraktion durchführt. Nur warum sollte sie dann so eine auffällige Änderung des Splashscreens vornehmen?
Auf dem Rechner ist kein Teamviewer drauf, der wird hauptsächlich für Netflix und Schularbeiten verwendet. Die Nutzung ist generell nur eingeschränkt erlaubt.
Zugriff durch andere Kinder... nicht unmöglich, aber unwahrscheinlich. Da ist kein mir bekannter Nerd dabei und meine eigenen Kinder haben auch keine nerdigen Ambitionen.

@Prosch Den Rechner haben wir zwar gebraucht von einem Händler gekauft. Wie meinst Du "das Update hat ne Einstellung überschrieben"?

Hab zwischenzeitlich zu LogoFAIL recherchiert, leider kein Tool gefunden zum Detektieren eines LogoFAIL-Befalls.

Komisch: Das BIOS sagt: UEFI BIOS Version = N2CET72W (1.55 )
Auf der Lenovo BIOS-Treiber-Seite zum P52 geht's aber nur bis 1.54. Aber vielleicht sind das nur die für die manuelle Intallation verfügbaren Versionen? Meine 1.55 hier wurde ja über Windows Update installiert. Macht das Sinn?
Beitrag automatisch zusammengeführt:

Die zentralen Fragen sind eigentlich:
1. Wie kam das Joker-Bild ins BIOS?
2. Was wurde evtl. noch am System geändert (Malware?)?
Wenn diese Fragen offen bleiben, kann dieses Laptop nicht mehr sicher betrieben werden.
Und wenn das BIOS kompromittiert sein sollte, kann dieses Laptop auch nicht wieder sauber/neu aufgesetzt werden, da jegliches Bootmedium aus dem BIOS heraus infiziert werden könnte.
 
Zuletzt bearbeitet:
@Robyn ich meinte, dass evtl eingestellt war, dass kein Logo gezeigt wird und erst nach dem Update war die Einstellung gesetzt. Sehe aber gerade, dass du ja vorher das original Logo gesehen hast. Kann also auch nicht sein.
 
- Also das Logo lässt sich mit dem Bios Update Tool bzw. auch command line / Befehl alleine (ohne BIOS) updaten.
- LogoFAIL würde das Logo ersetzen! - Es würde jedoch drauf ankommen wie ausgeklügelt der Hack wäre (ggf. vorher das Logo einlesen, exploit, wiederherstellen). Halte ich es für wahrscheinlich das LogoFAIL hier zum Einsatz kommt. Die Wahrscheinlichkeit geht meinem Empfinden nach gegen 0.
- Würde ich mir Gedanken machen das mein Gerät unsicher ist? Eher nicht... ausgenommen du bist eine Person von sehr viel Interesse.

Schau doch einfach mal auf deiner Festplatte ob du irgendwo eine "logo." Datei findest... bmp, jpg usw. oder such mal nach: winuptp.exe vielleicht findest du dazu noch was und da liegt dann ggf. eine logo Datei bei, dann ist das schnell aufgelöst.

Das Logo wird in einen Teil der Bios Region auf dem Chip geschrieben. Man kann das Custom Logo nicht so einfach wie bei HP (zumindest damals) ein oder ausschalten.
 
Robyn schrieb:
Komisch: Das BIOS sagt: UEFI BIOS Version = N2CET72W (1.55 )

Auf der Lenovo BIOS-Treiber-Seite zum P52 geht's aber nur bis 1.54. Aber vielleicht sind das nur die für die manuelle Intallation verfügbaren Versionen? Meine 1.55 hier wurde ja über Windows Update installiert. Macht das Sinn?
Zum Vergrößern anklicken....
Wenn ich nach N2CET72W google, erhalte ich nur Treffer auf Linux-Seiten.

Aber:
Die README zum BIOS 1.54 zeigt unter "Version History" an:
Code: 
1.54      (N2CUJ42W)  1.54 (N2CET71W)
Demzufolge hätte das BIOS-Paket der 1.55 den Dateinamen (N2CUJ43W) (aber in Kleinbuchstaben).

Google ich nun nach dem Paketnamen "N2CUJ43W", erhalte ich in der Tat einen Treffer im Lenovo-Forum vom Januar 2025, und zwar Linux-Bezogen:

Mein Rückschluss und die Tatsache, dass Dein BIOS-Update von Microsoft, die eh nur Mist in den Erläuterungen zu Updates schreiben, installiert wurde, beinhaltete das Paket
Lenovo Ltd. - Firmware - 1.0.0.55 Windows 10, version 1903 and later, Servicing Drivers Drivers (Firmware) 23.07.2024 k.A. 6,4 MB

nicht nur die Firmware des Embedded Controllers, sondern das komplette BIOS, das aber bei Lenovo selbst nicht angeboten wird.
 
Mornsgrans schrieb:
nicht nur die Firmware des Embedded Controllers, sondern das komplette BIOS, das aber bei Lenovo selbst nicht angeboten wird.
Zum Vergrößern anklicken....

Dann sollte ja ein Rollback auf die 1.54 per Hand und das Blockieren des eventuell über Windows Update gelieferten Updates helfen.

Andererseits ist es schon wieder merkwürdig, dass das "automatisch" draufgeprügelt worden sein soll und ich glaube ja viel, aber das MS Update "lustige Logos" implementiert, halte ich für Unsinn. Das würde ja eher bedeuten, dass der Update Katalog gehäggt worden wäre und dann gäbe es mehr Eintrage und Fundstellen. Das wäre eine schöne Räuberpistole.
 
Wenn sowas häufiger passiert, dann sollte man per Google-Suche ziemlich schnell darauf stossen.
 
...und das ist bisher nicht der Fall.
Sowohl über das BIOS-Update über fwupdate noch den Microsoft Katalog-Server gibt es bislang keine Reaktionen im Netz.
 
Cool ... erinnert mich ein bischen an ein easter egg in SuSE anno Schnee, wo beim GRUB manchmal kleine Tuxe im Stil der Lemminge rumgelaufen sind :)
 
Mornsgrans schrieb:
Wenn ich nach N2CET72W google, erhalte ich nur Treffer auf Linux-Seiten.

Aber:
Die README zum BIOS 1.54 zeigt unter "Version History" an:
Code: 
1.54      (N2CUJ42W)  1.54 (N2CET71W)
Demzufolge hätte das BIOS-Paket der 1.55 den Dateinamen (N2CUJ43W) (aber in Kleinbuchstaben).

Google ich nun nach dem Paketnamen "N2CUJ43W", erhalte ich in der Tat einen Treffer im Lenovo-Forum vom Januar 2025, und zwar Linux-Bezogen:

Mein Rückschluss und die Tatsache, dass Dein BIOS-Update von Microsoft, die eh nur Mist in den Erläuterungen zu Updates schreiben, installiert wurde, beinhaltete das Paket
Lenovo Ltd. - Firmware - 1.0.0.55 Windows 10, version 1903 and later, Servicing Drivers Drivers (Firmware) 23.07.2024 k.A. 6,4 MB

nicht nur die Firmware des Embedded Controllers, sondern das komplette BIOS, das aber bei Lenovo selbst nicht angeboten wird.
Zum Vergrößern anklicken....
Aha, danke! In dem verlinkten Thread verweist Lorenzo_Lenovo auf die Version 1.55, die es wohl (nur) für Windows 10 und 11 gibt: https://download.lenovo.com/pccbbs/mobiles/n2cuj43w.html
Dort ist N2CUJ43W die Package ID, N2CET72W ist die korrespondierende BIOS ID. Insofern würde das schon passen.
Überlegung: Manuell diese Version installieren (vermutlich von einem Windows-Updateserver) und dann schauen, ob das Lenovo-Logo wiederhergestellt wird (und gg.falls jegliche Malware hoffentlich entfernt).
Ich werde als Nächstes die Logs durchforsten und versuche, herauszufinden, woher genau Windows Update das BIOS-Update bezogen hat. Vielleicht liegt es sogar noch auf der Festplatte. Eine schnelle Suche nach "n2cuj43w" war jedenfalls schon mal ergebnislos.
Hatte heute eigentlich was anderes vor...

@KNARZ: Gute Idee, hab ich gemacht – keine Dateien namens "logo" und "winuptp*". Bei einer Malware oder einem Streich wäre es aber auch ein Leichtes, diese Dateien hinterher zu löschen.
 
Mein Jung sagt gerade das das Windowslogo der Taskleiste nach dem eben erfolgten Update verschwunden ist. Windows zieht den 1.April vor. 🤣
Beitrag automatisch zusammengeführt:

Foto dazu
 

Anhänge

  • IMG-20250216-WA0000.jpg
    IMG-20250216-WA0000.jpg
    66,6 KB · Aufrufe: 16
Ja, die Lenovo Ltd. - Firmware - 1.0.0.55 - 23.07.2024 beinhaltet ein BIOS Update
Treibermodell: ThinkPad P52/P72 System Firmware 1.55

Das *.cab Archiv enthält mehrstufig verschachtelt
-> N2CET72W.bin
-> SystemFlashUpdateDriverDxe.efi und 6C60EE00
-> diverse *.efi, z.B. BiosVideoDxe.efi, *.raw und *.rom Dateien.

Mir ist unklar, ist ein Bild enthalten? Welches Bild ist enthalten?
 
Bei BIOS-Updates wird in der Regel kein Boot-Logo mitgeliefert und ein BIOS-Downgrade dürfte das Logo auch nicht ändern.

Wir hatten vor langer Zeit einen Thread, in dem beschrieben wurde, wie man das Boot-Logo durch ein eigenes ersetzt - war aber noch zu reinen BIOS-Zeiten, als es UEFI noch nicht gab. - Das Logo müsste AFAIK im BMP-Format vorliegen.
 
Ich habe mir mal beim UEFI/BIOS-Update für mein System (P14s Gen 1 AMD) die entpackten Dateien angesehen.
  1. Es gibt darin eine Datei BIOS_LOGO.TXT, in der erläutert wird, wie man ein eigenes Logo erzeugt und anzeigen lässt. Kurz gesagt muss eine Grafikdatei (Dateigröße max. 60 KB, Bildgröße max. 40% der Displayauflösung) mit dem Namen LOGO.BMP, LOGO.JPG oder LOGO.GIF in den selben Ordner wie das ThinkPad BIOS Flash Update Utility namens WINUPTP.EXE (oder WINUPTP64.EXE) kopiert und das Programm dann gestartet werden.
  2. Im entpackten Ordner ist keine solche Datei enthalten, d.h. das originale Logo wird im UEFI/BIOS-Code selbst hinterlegt sein und würde dann ggf. durch ein eigenes überschrieben.
Und über eine Google-Suche mit "lenovo thinkpad bios restore image" habe ich einen Thread im Lenovo-Forum genau zu der Frage gefunden, wie man ein solches eigenes Logo wieder entfernt. Demnach würde es schon reichen, das Updateprogramm WINUPTP64.EXE händisch zu starten. Das sollte dann das Nichtstandard-Logo selbst erkennen und anbieten, es beim Flashen zu löschen. Es sollte zuvor im UEFI/BIOS die Sperre gegen einen UEFI/BIOS-Downgrade (Secure Rollback Prevention) entfernt werden. Aus dem Thread geht auch hervor, dass ein Rücksetzen des Logos allein wohl nicht möglich ist, sondern immer das UEFI/BIOS neu geflasht werden muss.

Edith sagt Pardon, das hatte @der_ingo etwas weiter oben schon geschrieben gehabt.

@Robyn, existiert denn auf deinem P52 ein Ordner C:\DRIVERS\Flash\n2cuj43w\YYYYDDMM.hhmmssxx (d.h. ein Zahlencode mit zweimal 8 Stellen für Datum und Uhrzeit)?
 
Zuletzt bearbeitet:
ahoellrigl schrieb:
@Robyn, existiert denn auf deinem P52 ein Ordner C:\DRIVERS\Flash\n2cuj43w\YYYYDDMM.hhmmssxx (d.h. ein Zahlencode mit zweimal 8 Stellen für Datum und Uhrzeit)?
Zum Vergrößern anklicken....
Nein, aber ich habe die N2CET72W.bin in zwei Ordnern gefunden:
C:\Windows\Firmware\{1e1fe415-74e8-49e1-9508-106b3d13d50d}
C:\Windows\System32\DriverStore\FileRepository\n2cet.inf_amd64_c6eb7b13d800c8be

Ich habe die N2CET72W.bin mit binwalk inspiziert, sie ist unglaublich verschachtelt, und sie enthält einige GIF-Bilder, darunter auch einige Varianten des roten Lenovo-Logos, also vermutlich auch das, welches im UEFI-Splashscreen normalerweise angezeigt werden sollte.
Ich habe noch nicht ganz raus, ob und wie man rekursiv alle GIF-Bilder extrahieren kann... womöglich steckt irgendwo darin auch das Joker-Bild...
Ist alles ziemlich zeitaufwändig. Letztlich muss ich das System ja doch irgendwie komplett zurücksetzen, also nicht nur das Betriebssystem, sondern vor allem das UEFI. Und muss erst noch rausfinden, wie genau.
Beitrag automatisch zusammengeführt:

bodu schrieb:
Ja, die Lenovo Ltd. - Firmware - 1.0.0.55 - 23.07.2024 beinhaltet ein BIOS Update
Treibermodell: ThinkPad P52/P72 System Firmware 1.55

Das *.cab Archiv enthält mehrstufig verschachtelt
-> N2CET72W.bin
-> SystemFlashUpdateDriverDxe.efi und 6C60EE00
-> diverse *.efi, z.B. BiosVideoDxe.efi, *.raw und *.rom Dateien.

Mir ist unklar, ist ein Bild enthalten? Welches Bild ist enthalten?
Zum Vergrößern anklicken....
Danke für die Hinweise. Aber wo hast Du die .cab-Dateien gefunden?
Ich konnte in den Windows-Logs leider noch keine URL finden, von denen Windows Update die Firmware heruntergeladen hat.
 
Robyn schrieb:
Ich konnte in den Windows-Logs leider noch keine URL finden
Zum Vergrößern anklicken....
Die Logs sind hier beschrieben:
learn.microsoft.com

Windows Update-Protokolldateien

Erfahren Sie mehr über die Windows Update-Protokolldateien, und darüber, wie Sie Windows Update-Ablaufverfolgungsdateien (ETL-Dateien) in eine einzige lesbare WindowsUpdate.log-Datei zusammenführen und konvertieren.
learn.microsoft.com
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben