Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows Powershell Öffnet sich immer Automatisch

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Thema geschlossen
Alt 06.03.2022, 19:57   #1
BlackFoxy
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Guten Abend.
Mein Name ist Nils
Ich habe seit heute morgen das Problem das sich immer wieder Windows PowerShell öffnet.
Ich habe mit MBAM schon einen Scan durchgeführt und diesen abgesichert. Ich habe auch schon diverse Sachen probiert um dies los zu werden. Komme allerdings nicht weiter und habe die Befürchtung das ich mir irgendeinen Virus eingefangen habe und bitte somit um Hilfe.

Mfg Nils
Angehängte Dateien
Dateityp: rar Logdatein.rar (35,2 KB, 22x aufgerufen)

Alt 06.03.2022, 20:08   #2
M-K-D-B
/// TB-Ausbilder
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.
__________________


Alt 06.03.2022, 20:13   #3
M-K-D-B
/// TB-Ausbilder
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Zitat:
Gestartet von C:\Users\Monique\AppData\Local\Temp\scoped_dir9436_1751513295
FRST bitte auf dem Desktop ( C:\Users\Monique\Desktop\ ) abspeichern und von dort starten.


Schritt 1: Systemscan mit FRST
Bitte lade dir die passende Version von Farbar Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
  • Starte FRST.
  • Solltest du die Meldung "Der Computer wurde durch Windows geschützt" erhalten, klicke auf Weitere Informationen und dann auf Trotzdem ausführen.
  • Klicke auf Ja, um fortzufahren.
  • Klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach im selben Verzeichnis wie FRST.
  • Poste uns die zwei Logdateien ( FRST.txt und Addition.txt ) in deinem Thema.
__________________

Alt 06.03.2022, 20:23   #4
BlackFoxy
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Hier die beiden Logdateien
Angehängte Dateien
Dateityp: rar Logdateien.rar (33,2 KB, 14x aufgerufen)

Alt 06.03.2022, 20:28   #5
M-K-D-B
/// TB-Ausbilder
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Zitat:
Zitat von BlackFoxy Beitrag anzeigen
Hier die beiden Logdateien
Wieder das Gleiche:

Zitat:
Gestartet von C:\Users\Monique\AppData\Local\Temp\scoped_dir17208_931766074
Kannst du bitte FRST auf den Desktop downloaden bzw. dorthin kopieren und von dort starten?

Du lädst das Programm herunter und startest es scheinbar direkt vom Browser aus... der temporäre Ordner ist aber kein guter Platz für FRST.


Alt 06.03.2022, 20:30   #6
M-K-D-B
/// TB-Ausbilder
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Ich schau später nochmal hier rein.

Alt 06.03.2022, 20:33   #7
BlackFoxy
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



So diesmal müsste das vom Desktop aus gestartet worden sein.
Hier die neuen Logs
Angehängte Dateien
Dateityp: rar Logdateien.rar (33,7 KB, 17x aufgerufen)

Alt 06.03.2022, 21:13   #8
M-K-D-B
/// TB-Ausbilder
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Danke für die Logdateien... ich analysiere sie gerade.

Alt 06.03.2022, 21:27   #9
M-K-D-B
/// TB-Ausbilder
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Es ist noch etwas an Malware auf dem System, aber wir kümmern uns darum.





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    SystemRestore: On 
    CreateRestorePoint:
    CloseProcesses:
    HKLM\...\Run: [RZSurroundHelper] => C:\WINDOWS\system32\RZSurroundHelper.exe (Keine Datei)
    HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Keine Datei)
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Keine Datei)
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2449581080-1132274306-1389538717-1001\...\Run: [] => [X]
    Unlock: C:\Windows\System32\Tasks\Blitz App
    VirusTotal: C:\Windows\System32\Tasks\Blitz App
    Task: {1FA913FF-8DBC-4553-82DF-87C1758C25AF} - System32\Tasks\Blitz App => C:\Users\Monique\AppData\Roaming\Blitz [Argument = Applications\Blitz Apps\Blitz App.exe]
    C:\USERS\MONIQUE\APPDATA\ROAMING\BLITZ APPLICATIONS
    Unlock: C:\Windows\System32\Tasks\Vxhyhj
    VirusTotal: C:\Windows\System32\Tasks\Vxhyhj
    Task: {95ABE0FC-F937-462D-8274-6224CB7C05E6} - System32\Tasks\Vxhyhj => powershell -ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -Command [System.Reflection.Assembly]::Load((Get-ItemProperty HKCU:\Software\Vxhyh\).hyhxV).EntryPoint.Invoke($Null,$Null)
    Unlock: HKCU\Software\Vxhyh
    CMD: reg query "HKCU\Software\Vxhyh" /s
    DeleteKey: HKCU\Software\Vxhyh
    GroupPolicy: Beschränkung ? <==== ACHTUNG
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Beschränkung <==== ACHTUNG
    Unlock: C:\Users\Monique\AppData\Roaming\Windows
    Folder: C:\Users\Monique\AppData\Roaming\Windows
    S3 mracsvc; C:\WINDOWS\System32\mracsvc.exe [X]
    S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv1.sys [20986200 2021-06-09] (Mail.Ru LLC -> LLC Mail.Ru)
    C:\WINDOWS\System32\drivers\mracdrv1.sys
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset catalog
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: Winmgmt /salvagerepository 
    CMD: Winmgmt /resetrepository 
    CMD: winmgmt /resyncperf
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    Hosts:
    RemoveProxy:
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
    Code:
    ATTFilter
    SearchAll: Vxhyh;hyhxV
             
  • Klicke auf den Button Datei-Suche.
  • FRST beginnt mit dem Suchlauf. Das kann einige Zeit dauern, bitte gedulde dich!
  • Am Ende wird eine Textdatei Search.txt erstellt.
  • Poste mir deren Inhalt mit deiner nächsten Antwort.





Schritt 3
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei des FRST-Suchlaufs (Search.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Alt 06.03.2022, 21:42   #10
BlackFoxy
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Hier die Erwünschten Logdateien
Angehängte Dateien
Dateityp: rar Logdateien.rar (332,6 KB, 21x aufgerufen)

Alt 07.03.2022, 12:58   #11
M-K-D-B
/// TB-Ausbilder
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Sehr gut gemacht.

Was kannst du mir zu diesem Ordner sagen? Kennst du den?
C:\ProgramData\Propagation


Wir schieben gleich noch einen weiteren Fix mit FRST hinterher. Dabei werden auch die Windows-Systemdateien auf Fehler überprüft. Daher kann der Fix ein paar Minuten dauern, bitte gedulde dich.
Kontrollen mit MBAM und Adw im Anschluss.






Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [10]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [10]
    AlternateDataStreams: C:\ProgramData\rsEngine.config.backup:CF02139FF4 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Badlion Client.lnk:8BD81608B2 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinSCP.lnk:DF0424E24D [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zello.lnk:8601AA6017 [10]
    AlternateDataStreams: C:\Users\Monique\Anwendungsdaten:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Monique\Anwendungsdaten:d4f5d244a0909d75573750c06e9db24d [394]
    AlternateDataStreams: C:\Users\Monique\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Monique\AppData\Roaming:d4f5d244a0909d75573750c06e9db24d [394]
    AlternateDataStreams: C:\Users\Monique\AppData\Local\Temp:$DATA​ [16]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2898]
    HKLM\...\StartupApproved\Run: => "Wondershare Helper Compact.exe"
    HKLM\...\StartupApproved\Run32: => "Wondershare Helper Compact.exe"
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    Unlock: C:\Program Files\ruxim\ruximics.exe
    VirusTotal: C:\Program Files\ruxim\ruximics.exe
    Unlock: C:\ProgramData\Propagation
    Folder: C:\ProgramData\Propagation
    CMD: RD /S /Q "C:\Users\Monique\AppData\Roaming\Windows"
    CMD: sfc /scannow
    Reboot:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von MBAM
  • die Logdatei von AdwCleaner

Alt 07.03.2022, 19:39   #12
BlackFoxy
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Zitat:
C:\ProgramData\Propagation
Ne dazu kann ich tatsächlich nix sagen sehe diesen zum ersten mal.
Sorry das die Antwort nun so Spät kommt. Im Anhang findest du die 3 Log Dateien
Angehängte Dateien
Dateityp: rar Logdatein.rar (4,2 KB, 18x aufgerufen)

Alt 07.03.2022, 19:41   #13
M-K-D-B
/// TB-Ausbilder
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Zitat:
Zitat von BlackFoxy Beitrag anzeigen
Ne dazu kann ich tatsächlich nix sagen sehe diesen zum ersten mal.
Sorry das die Antwort nun so Spät kommt. Im Anhang findest du die 3 Log Dateien
Danke für die Logs, ich schaus mir gleich an...

Alt 07.03.2022, 19:46   #14
M-K-D-B
/// TB-Ausbilder
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Ich sehe die Logdatei von AdwCleaner nicht, stattdessen eine Datei "config.lua" ?

Alt 07.03.2022, 19:47   #15
BlackFoxy
 
Windows Powershell Öffnet sich immer Automatisch - Standard

Windows Powershell Öffnet sich immer Automatisch



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Ich sehe die Logdatei von AdwCleaner nicht, stattdessen eine Datei "config.lua" ?
dies ist die Log datei mir wurde die als LUA gegeben und mit dem Namen Config

Thema geschlossen

Themen zu Windows Powershell Öffnet sich immer Automatisch
automatisch, befürchtung, diverse, durchgeführt, eingefangen, gefangen, guten, heute, immer wieder, mbam, morgen, nicht, powershell, probiert, problem, sache, sachen, scan, virus, virus eingefangen, windows



Ähnliche Themen: Windows Powershell Öffnet sich immer Automatisch


  1. Windows 10: PowerShell öffnet sich selbstständig
    Plagegeister aller Art und deren Bekämpfung - 06.01.2022 (11)
  2. W10 PowerShell öffnet sich von selbst
    Alles rund um Windows - 11.05.2021 (11)
  3. Firefox öffnet sich automatisch mit MSN Startseite beim Windows 10 Start
    Plagegeister aller Art und deren Bekämpfung - 02.03.2021 (9)
  4. Windows 10 Proxy stellt sich immer automatisch auf 127.0.0.1:86 ein
    Mülltonne - 14.11.2020 (12)
  5. DVD-Laufwerk öffnet sich immer wieder automatisch
    Mülltonne - 25.10.2018 (9)
  6. Windows Powershell öffnet sich automatisch - Malwarebytes blockiert es
    Plagegeister aller Art und deren Bekämpfung - 19.06.2017 (8)
  7. Powershell-Fenster öffnet und schließt sich aus dem Nichts. Paranoia oder Befall?
    Log-Analyse und Auswertung - 19.04.2016 (5)
  8. Firefox öffnet sich automatisch mit MSN Startseite beim Windows 10 Start
    Plagegeister aller Art und deren Bekämpfung - 09.01.2016 (7)
  9. Internet Explorer öffnet sich immer wieder automatisch
    Log-Analyse und Auswertung - 30.08.2010 (3)
  10. internet Explorer öffnet sich immer automatisch
    Log-Analyse und Auswertung - 16.07.2009 (9)
  11. IE7 öffnet sich immer Automatisch mit Werbung
    Log-Analyse und Auswertung - 09.09.2008 (17)
  12. Bei Hochfahren öffnet sich automatisch dubiose Seite (Windows Update)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2008 (32)
  13. IE7 öffnet sich immer Automatisch mit Werbung
    Log-Analyse und Auswertung - 13.07.2008 (1)
  14. Internet-Explorer öffnet sich automatisch und dann immer mehr Fenster..
    Log-Analyse und Auswertung - 30.06.2008 (9)
  15. Windows öffnet immer automatisch mit Notepad
    Alles rund um Windows - 12.07.2005 (13)
  16. CD-ROM Laufwerk öffnet und schleißt sich immer wieder automatisch!!!
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (6)

Zum Thema Windows Powershell Öffnet sich immer Automatisch - Guten Abend. Mein Name ist Nils Ich habe seit heute morgen das Problem das sich immer wieder Windows PowerShell öffnet. Ich habe mit MBAM schon einen Scan durchgeführt und diesen - Windows Powershell Öffnet sich immer Automatisch...
Archiv
Du betrachtest: Windows Powershell Öffnet sich immer Automatisch auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.