Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows Powershell Öffnet sich immer Automatisch (https://www.trojaner-board.de/203702-windows-powershell-offnet-immer-automatisch.html)

BlackFoxy 06.03.2022 20:57
Windows Powershell Öffnet sich immer Automatisch
 
Liste der Anhänge anzeigen (Anzahl: 1)
Guten Abend.
Mein Name ist Nils
Ich habe seit heute morgen das Problem das sich immer wieder Windows PowerShell öffnet.
Ich habe mit MBAM schon einen Scan durchgeführt und diesen abgesichert. Ich habe auch schon diverse Sachen probiert um dies los zu werden. Komme allerdings nicht weiter und habe die Befürchtung das ich mir irgendeinen Virus eingefangen habe und bitte somit um Hilfe.

Mfg Nils

M-K-D-B 06.03.2022 21:08
:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.

M-K-D-B 06.03.2022 21:13
Zitat:
Gestartet von C:\Users\Monique\AppData\Local\Temp\scoped_dir9436_1751513295
FRST bitte auf dem Desktop ( C:\Users\Monique\Desktop\ ) abspeichern und von dort starten.


Schritt 1: Systemscan mit FRST
Bitte lade dir die passende Version von Farbar Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
  • Starte FRST.
  • Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.
  • Klicke auf Ja, um fortzufahren.
  • Klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
  • Poste uns die zwei Logdateien ( FRST.txt und Addition.txt ) in deinem Thema.

BlackFoxy 06.03.2022 21:23
Liste der Anhänge anzeigen (Anzahl: 1)
Hier die beiden Logdateien

M-K-D-B 06.03.2022 21:28
Zitat:
Zitat von BlackFoxy (Beitrag 1763659)
Hier die beiden Logdateien
Wieder das Gleiche:

Zitat:
Gestartet von C:\Users\Monique\AppData\Local\Temp\scoped_dir17208_931766074
Kannst du bitte FRST auf den Desktop downloaden bzw. dorthin kopieren und von dort starten?

Du lädst das Programm herunter und startest es scheinbar direkt vom Browser aus... der temporäre Ordner ist aber kein guter Platz für FRST.

M-K-D-B 06.03.2022 21:30
Ich schau später nochmal hier rein. :)

BlackFoxy 06.03.2022 21:33
Liste der Anhänge anzeigen (Anzahl: 1)
So diesmal müsste das vom Desktop aus gestartet worden sein.
Hier die neuen Logs

M-K-D-B 06.03.2022 22:13
Danke für die Logdateien... ich analysiere sie gerade.

M-K-D-B 06.03.2022 22:27
Es ist noch etwas an Malware auf dem System, aber wir kümmern uns darum. :)





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    HKLM\...\Run: [RZSurroundHelper] => C:\WINDOWS\system32\RZSurroundHelper.exe (Keine Datei)
    HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Keine Datei)
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Keine Datei)
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2449581080-1132274306-1389538717-1001\...\Run: [] => [X]
    Unlock: C:\Windows\System32\Tasks\Blitz App
    VirusTotal: C:\Windows\System32\Tasks\Blitz App
    Task: {1FA913FF-8DBC-4553-82DF-87C1758C25AF} - System32\Tasks\Blitz App => C:\Users\Monique\AppData\Roaming\Blitz [Argument = Applications\Blitz Apps\Blitz App.exe]
    C:\USERS\MONIQUE\APPDATA\ROAMING\BLITZ APPLICATIONS
    Unlock: C:\Windows\System32\Tasks\Vxhyhj
    VirusTotal: C:\Windows\System32\Tasks\Vxhyhj
    Task: {95ABE0FC-F937-462D-8274-6224CB7C05E6} - System32\Tasks\Vxhyhj => powershell -ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -Command [System.Reflection.Assembly]::Load((Get-ItemProperty HKCU:\Software\Vxhyh\).hyhxV).EntryPoint.Invoke($Null,$Null)
    Unlock: HKCU\Software\Vxhyh
    CMD: reg query "HKCU\Software\Vxhyh" /s
    DeleteKey: HKCU\Software\Vxhyh
    GroupPolicy: Beschränkung ? <==== ACHTUNG
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
    Unlock: C:\Users\Monique\AppData\Roaming\Windows
    Folder: C:\Users\Monique\AppData\Roaming\Windows
    S3 mracsvc; C:\WINDOWS\System32\mracsvc.exe [X]
    S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv1.sys [20986200 2021-06-09] (Mail.Ru LLC -> LLC Mail.Ru)
    C:\WINDOWS\System32\drivers\mracdrv1.sys
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset catalog
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: Winmgmt /salvagerepository
    CMD: Winmgmt /resetrepository
    CMD: winmgmt /resyncperf
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
    Code:
    SearchAll: Vxhyh;hyhxV
  • Klicke auf den Button Datei-Suche.
  • FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
  • Am Ende wird eine Textdatei Search.txt erstellt.
  • Poste mir deren Inhalt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei des FRST-Suchlaufs (Search.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

BlackFoxy 06.03.2022 22:42
Liste der Anhänge anzeigen (Anzahl: 1)
Hier die Erwünschten Logdateien:)

M-K-D-B 07.03.2022 13:58
Sehr gut gemacht. :dankeschoen:

Was kannst du mir zu diesem Ordner sagen? Kennst du den?
C:\ProgramData\Propagation


Wir schieben gleich noch einen weiteren Fix mit FRST hinterher. Dabei werden auch die Windows-Systemdateien auf Fehler überprüft. Daher kann der Fix ein paar Minuten dauern, bitte gedulde dich. :)
Kontrollen mit MBAM und Adw im Anschluss. :)






Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [10]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [10]
    AlternateDataStreams: C:\ProgramData\rsEngine.config.backup:CF02139FF4 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Badlion Client.lnk:8BD81608B2 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinSCP.lnk:DF0424E24D [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zello.lnk:8601AA6017 [10]
    AlternateDataStreams: C:\Users\Monique\Anwendungsdaten:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Monique\Anwendungsdaten:d4f5d244a0909d75573750c06e9db24d [394]
    AlternateDataStreams: C:\Users\Monique\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Monique\AppData\Roaming:d4f5d244a0909d75573750c06e9db24d [394]
    AlternateDataStreams: C:\Users\Monique\AppData\Local\Temp:$DATA​ [16]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2898]
    HKLM\...\StartupApproved\Run: => "Wondershare Helper Compact.exe"
    HKLM\...\StartupApproved\Run32: => "Wondershare Helper Compact.exe"
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    Unlock: C:\Program Files\ruxim\ruximics.exe
    VirusTotal: C:\Program Files\ruxim\ruximics.exe
    Unlock: C:\ProgramData\Propagation
    Folder: C:\ProgramData\Propagation
    CMD: RD /S /Q "C:\Users\Monique\AppData\Roaming\Windows"
    CMD: sfc /scannow
    Reboot:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von MBAM
  • die Logdatei von AdwCleaner

BlackFoxy 07.03.2022 20:39
Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:
C:\ProgramData\Propagation
Ne dazu kann ich tatsächlich nix sagen sehe diesen zum ersten mal.
Sorry das die Antwort nun so Spät kommt. Im Anhang findest du die 3 Log Dateien:)

M-K-D-B 07.03.2022 20:41
Zitat:
Zitat von BlackFoxy (Beitrag 1763697)
Ne dazu kann ich tatsächlich nix sagen sehe diesen zum ersten mal.
Sorry das die Antwort nun so Spät kommt. Im Anhang findest du die 3 Log Dateien:)
Danke für die Logs, ich schaus mir gleich an... :)

M-K-D-B 07.03.2022 20:46
Ich sehe die Logdatei von AdwCleaner nicht, stattdessen eine Datei "config.lua" ? :D

BlackFoxy 07.03.2022 20:47
Zitat:
Zitat von M-K-D-B (Beitrag 1763700)
Ich sehe die Logdatei von AdwCleaner nicht, stattdessen eine Datei "config.lua" ? :D
dies ist die Log datei mir wurde die als LUA gegeben und mit dem Namen Config


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:43 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131