Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt
 

Hallo zusammen,
ich habe einen W10 Desktop der direkt nach dem Start des OS einen ca. 2 minütigen Upload mit voller Bandbreite verursacht. Auch wenn kein Benutzer angemeldet ist. Kommt also eher vom System als vom Benutzer. Ich habe keinerlei Schlangenöl im Einsatz, Standard ist natürlich der MS Defender.

Leider sind meine logs viel zu groß, also habe ich sie mal angehängt.

Ich wollte mich gestern ja schon melden, merkwürdigerweise akzeptiert GMAIL wohl keine Mails von euch!? Mit GMX kam die Bestätigungsmail sofort.

Vielen Dank und viele Grüße
Torben

:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Ich analysiere die Logdateien und melde mich später wieder.

Servus,




seit wann besteht das Problem?



Wir entfernen verwaiste Einträge und kontrollieren die Systemdateien auf Fehler. Dies kann einige Minuten dauern.

Beschreibe, ob es sich nach dem Schritt gebessert hat.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!

• Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\Run: [EADM] => "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart (Keine Datei)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Keine Datei)
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository
CMD: Winmgmt /resetrepository
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt auf den Button Reparieren.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  
  
• Wichtig:
  • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
    Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
  • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
  • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.
  
  
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Hallo. Vielen Dank für Deinen Support.
So richtig aufgefallen ist es mit seit ca. 3 Tagen.
Ich hatte schon einmal das gleich Phänomen, damals habe ich den Rechner neu installiert, aber das möchte ich eigentlich nicht schon wieder machen. Klar, wenn alles nichts hilft.

Leider änderte die Aktion an meinem Problem nichts. Sobald der PC gestartet ist, wieder eine volle Belegung des Upstreams.

Wie stellst du das überhaupt fest?

ich arbeite im Home-Office und habe öfters mal Telco's, die ebenfalls über mein WLAN laufen.
Ich telefoniere also fröhlich in meiner Telco, starte meinen Privat-PC neu und auf einmal fliegt mir der VPN Tunnel weg. Also Fehlersuche... Fritz checken, dort sehe ich wie der Upload zu 100% ausgelsatet ist. Und da ich meinen Privat-PC priorisiert habe, frisst er natülich die komplette Bandbreite.

Dann nimm doch mal testweise die Priorisierung weg. Wozu ist die überhaupt?
Ansonsten könnte man mal mit sowas wie Wireshark nachschauen. Man müsste nur schnell sein, am besten Wireshark installieren, in den Autostart packen und dann System neu starten. Dann hoffen, dass Wireshark schnell genug startet und die Pakete aufzeichnen kann, die die Last verursachen.

Alternativ kann du auch erstmal mit ProcessHacker arbeiten. Auch das in den Autostart und dann im Network-Tab nachschauen, welcher Prozess da Upload erzeugt.

Also in den Logdateien von FRST kann ich keine Malware erkennen.

Wir können aber zur Kontrolle gerne noch ESET und KVRT laufen lassen, wenn du möchtest. Ich glaube zwar nicht wirklich, dass die fündig werden, aber eine Zweit- oder Drittmeinung kann ja nicht schaden. :)




Schritt 1
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe das Kaspersky Virus Removal Tool (KVRT) gemäß der bebilderten Anleitung aus und poste abschließend die Logdateien.

Die Priorisierung dient doch nur der Verteilung der kompletten Bandbreite (50MBit) auf der Fritz.Box. Ich habe einen halbstarken Sohnematz, wenn ich mich nicht priorisieren würde, hätte ich wahrscheinlich nur nur noch 1MBit download!
ProcessHacker schaue ich mir gerade an.

Werde jetzt erstmal noch die anderen Virenscanner drüber jagen... ich melde mich, Danke euch!

Ok, gib Bescheid. :)

Also ich habe ESET mal laufen lassen, hat auch etwas gefunden, allerdings etwas harmloses, ein Skript von einer damaliegen Linux-Penetration-CD vom Linux-Magazin. Es wurde in den Quarantäne Ordner verschoben, danach habe ich das komplette CD-Image gelöscht.

Jetzt habe ich ein neues Problem. Nach der Deinstallion von ESET kann ich mit dem Firefox nicht mehr auf meine Fritz.Box zugreifen. Mit Chrome ist das kein Problem. Ich habe auch schon diesen Extra-ESET-Uninstaller verwendet, keine Besserung.

Mein Initialproblem besteht auch noch weiterhin. Ich versuche es heute mal mit Wireshark. Ich melde mich...

Also das Problem mit der Anmeldung und Zertifikatsfehler, habe ich gerade gelöst.
Einfach mal die
%APPDATA%\Mozilla\Firefox\Profiles\*DeinFirefoxProfil\cert9.db in cert9.db.old unbenant.

Das geht wieder...

Lass mal bitte KVRT wie beschrieben laufen.



Danach nochmal einen neuen Scan mit FRST:

• Starte FRST erneut und klicke auf Untersuchen.
• FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Da habe ich doch tatsächlich -dontencrypt vergessen.
Sorry, ich hänge es mal an.

Der Process Hacker ist keine malware... :kaffee: