Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Thema geschlossen
Alt 05.07.2023, 06:39   #1
mehlmonster
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Icon17

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Hallo zusammen,
ich habe einen W10 Desktop der direkt nach dem Start des OS einen ca. 2 minütigen Upload mit voller Bandbreite verursacht. Auch wenn kein Benutzer angemeldet ist. Kommt also eher vom System als vom Benutzer. Ich habe keinerlei Schlangenöl im Einsatz, Standard ist natürlich der MS Defender.

Leider sind meine logs viel zu groß, also habe ich sie mal angehängt.

Ich wollte mich gestern ja schon melden, merkwürdigerweise akzeptiert GMAIL wohl keine Mails von euch!? Mit GMX kam die Bestätigungsmail sofort.

Vielen Dank und viele Grüße
Torben
Angehängte Dateien
Dateityp: txt FRST.txt (23,8 KB, 14x aufgerufen)
Dateityp: 7z Addition.7z (14,2 KB, 6x aufgerufen)

Alt 05.07.2023, 14:44   #2
M-K-D-B
/// TB-Ausbilder
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt







Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.



Ich analysiere die Logdateien und melde mich später wieder.
__________________


Alt 05.07.2023, 14:56   #3
M-K-D-B
/// TB-Ausbilder
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Servus,




seit wann besteht das Problem?



Wir entfernen verwaiste Einträge und kontrollieren die Systemdateien auf Fehler. Dies kann einige Minuten dauern.

Beschreibe, ob es sich nach dem Schritt gebessert hat.




Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    SystemRestore: On 
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\Run: [EADM] => "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart (Keine Datei)
    HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
    HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Keine Datei)
    GroupPolicy: Beschränkung ? <==== ACHTUNG
    Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
    startpowershell:
    Function Remove-all-windefend-excludes {
    $Paths=(Get-MpPreference).ExclusionPath
    $Extensions=(Get-MpPreference).ExclusionExtension
    $Processes=(Get-MpPreference).ExclusionProcess
    foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
    foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
    foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
    }
    Set-MpPreference -DisableAutoExclusions $true -Force
    Remove-all-windefend-excludes
    endpowershell:
    CMD: netsh winsock reset
    CMD: netsh int ip reset
    CMD: ipconfig /release
    CMD: ipconfig /renew
    CMD: ipconfig /flushdns
    CMD: ipconfig /registerdns
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: netsh winhttp reset proxy
    CMD: Bitsadmin /Reset /Allusers
    CMD: Winmgmt /salvagerepository 
    CMD: Winmgmt /resetrepository 
    CMD: winmgmt /resyncperf
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
    CMD: sfc /scannow
    Hosts:
    RemoveProxy:
    EmptyTemp:
    Reboot:
    End::
             
  • Starte nun FRST und klicke direkt auf den Button Reparieren.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

  • Wichtig:
    • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
      Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
    • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
    • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.

  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.
__________________

Alt 05.07.2023, 15:36   #4
mehlmonster
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Hallo. Vielen Dank für Deinen Support.
So richtig aufgefallen ist es mit seit ca. 3 Tagen.
Ich hatte schon einmal das gleich Phänomen, damals habe ich den Rechner neu installiert, aber das möchte ich eigentlich nicht schon wieder machen. Klar, wenn alles nichts hilft.

Leider änderte die Aktion an meinem Problem nichts. Sobald der PC gestartet ist, wieder eine volle Belegung des Upstreams.


Code:
ATTFilter
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 05-07-2023
durchgeführt von torben (05-07-2023 16:26:40) Run:1
Gestartet von C:\Users\LumiS\Downloads
Geladene Profile: LumiS & torben
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Start::
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\Run: [EADM] => "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart (Keine Datei)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Keine Datei)
HKU\S-1-5-21-798176963-3606410126-1855180366-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\torben\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Keine Datei)
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
startpowershell:
Function Remove-all-windefend-excludes {
$Paths=(Get-MpPreference).ExclusionPath
$Extensions=(Get-MpPreference).ExclusionExtension
$Processes=(Get-MpPreference).ExclusionProcess
foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
}
Set-MpPreference -DisableAutoExclusions $true -Force
Remove-all-windefend-excludes
endpowershell:
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository 
CMD: Winmgmt /resetrepository 
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
Reboot:
End::
         
*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\Software\Microsoft\Windows\CurrentVersion\Run\\EADM" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Delete Cached Update Binary" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Delete Cached Standalone Update Binary" => erfolgreich entfernt
C:\Windows\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\Windows\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben

========= Powershell: =========


========= Ende von Powershell: =========


========= netsh winsock reset =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.



========= Ende von CMD: =========


========= netsh int ip reset =========

Depotweiterleitung wird zurckgesetzt... OK
Depot wird zurckgesetzt... OK
Steuerungsprotokoll wird zurckgesetzt... OK
Echosequenzanforderung wird zurckgesetzt... OK
Global wird zurckgesetzt... OK
Schnittstelle wird zurckgesetzt... OK
Anycastadresse wird zurckgesetzt... OK
Multicastadresse wird zurckgesetzt... OK
Unicastadresse wird zurckgesetzt... OK
Nachbar wird zurckgesetzt... OK
Pfad wird zurckgesetzt... OK
Potentiell wird zurckgesetzt... OK
Pr„fixrichtlinie wird zurckgesetzt... OK
Proxynachbar wird zurckgesetzt... OK
Route wird zurckgesetzt... OK
Standordpr„fix wird zurckgesetzt... OK
Unterschnittstelle wird zurckgesetzt... OK
Reaktivierungsmuster wird zurckgesetzt... OK
Nachbar aufl”sen wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... Fehler
Zugriff verweigert

 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
Starten Sie den Computer neu, um die Aktion abzuschlieáen.



========= Ende von CMD: =========


========= ipconfig /release =========


Windows-IP-Konfiguration

Es kann kein Vorgang auf Ethernet ausgefhrt werden, solange dessen Medium nicht
verbunden ist.
Es kann kein Vorgang auf Ethernet 2 ausgefhrt werden, solange dessen Medium nicht
verbunden ist.

Ethernet-Adapter Ethernet:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 

Ethernet-Adapter Ethernet 2:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 

Ethernet-Adapter Ethernet 3:

   Verbindungsspezifisches DNS-Suffix: 
   IPv6-Adresse. . . . . . . . . . . : 2003:c0:574f:9c00:297a:12d2:51c3:ea81
   Tempor„re IPv6-Adresse. . . . . . : 2003:c0:574f:9c00:ac65:e038:4009:298f
   Verbindungslokale IPv6-Adresse  . : fe80::49e9:8306:9d5a:84cf%6
   Standardgateway . . . . . . . . . : fe80::464e:6dff:feab:e338%6


========= Ende von CMD: =========


========= ipconfig /renew =========


Windows-IP-Konfiguration

Es kann kein Vorgang auf Ethernet ausgefhrt werden, solange dessen Medium nicht
verbunden ist.
Es kann kein Vorgang auf Ethernet 2 ausgefhrt werden, solange dessen Medium nicht
verbunden ist.

Ethernet-Adapter Ethernet:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 

Ethernet-Adapter Ethernet 2:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: 

Ethernet-Adapter Ethernet 3:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   IPv6-Adresse. . . . . . . . . . . : 2003:c0:574f:9c00:297a:12d2:51c3:ea81
   Tempor„re IPv6-Adresse. . . . . . : 2003:c0:574f:9c00:ac65:e038:4009:298f
   Verbindungslokale IPv6-Adresse  . : fe80::49e9:8306:9d5a:84cf%6
   IPv4-Adresse  . . . . . . . . . . : 10.10.10.104
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : fe80::464e:6dff:feab:e338%6
                                       10.10.10.1


========= Ende von CMD: =========


========= ipconfig /flushdns =========


Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.


========= Ende von CMD: =========


========= ipconfig /registerdns =========


Windows-IP-Konfiguration

Die Registrierung der DNS-Ressourceneintr„ge fr alle Adapter dieses Computer wurde initialisiert. Fehler werden in der Ereignisanzeige in 15 Minuten aufgefhrt.


========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.



========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.



========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).



========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to cancel {9720FDFB-9E5A-4C30-841F-34BA765C9E8C}.
Unable to cancel {FD23E3EB-8E43-4C0B-BD77-2312BB01BA5A}.
0 out of 2 jobs canceled.


========= Ende von CMD: =========


========= Winmgmt /salvagerepository =========

Das WMI-Repository ist konsistent.


========= Ende von CMD: =========


========= Winmgmt /resetrepository =========

Das WMI-Repository wurde zurckgesetzt.


========= Ende von CMD: =========


========= winmgmt /resyncperf =========

0

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= sfc /scannow =========



Systemsuche wird gestartet. Dieser Vorgang kann einige Zeit dauern.



Überprüfungsphase der Systemsuche wird gestartet.


Überprüfung 0 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 2 % abgeschlossen.
Überprüfung 3 % abgeschlossen.
Überprüfung 3 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 5 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 7 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 10 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 12 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 15 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 17 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 20 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 23 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 25 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 27 % abgeschlossen.
Überprüfung 27 % abgeschlossen.
Überprüfung 28 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 30 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 33 % abgeschlossen.
Überprüfung 34 % abgeschlossen.
Überprüfung 34 % abgeschlossen.
Überprüfung 35 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 38 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 41 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 43 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 46 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 48 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 50 % abgeschlossen.
Überprüfung 50 % abgeschlossen.
Überprüfung 51 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 53 % abgeschlossen.
Überprüfung 54 % abgeschlossen.
Überprüfung 54 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 56 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 58 % abgeschlossen.
Überprüfung 58 % abgeschlossen.
Überprüfung 59 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 61 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 64 % abgeschlossen.
Überprüfung 65 % abgeschlossen.
Überprüfung 65 % abgeschlossen.
Überprüfung 66 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 69 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 71 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 74 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 77 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 79 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 81 % abgeschlossen.
Überprüfung 81 % abgeschlossen.
Überprüfung 82 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 84 % abgeschlossen.
Überprüfung 85 % abgeschlossen.
Überprüfung 85 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 87 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 89 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 92 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 95 % abgeschlossen.
Überprüfung 96 % abgeschlossen.
Überprüfung 96 % abgeschlossen.
Überprüfung 97 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 100 % abgeschlossen.


Der Windows-Ressourcenschutz hat beschädigte Dateien gefunden und erfolgreich repariert.

Bei Onlinereparaturen finden Sie Details in der CBS-Protokolldatei unter 

windir\Logs\CBS\CBS.log. Beispiel C:\Windows\Logs\CBS\CBS.log. Bei Offlinereparaturen

finden Sie Details in der durch das /OFFLOGFILE-Kennzeichen angegebenen Protokolldatei.



========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-798176963-3606410126-1855180366-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 12632558 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 9878776 B
Windows/system/drivers => 150265 B
Edge => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 514 B
LocalService => 8758 B
NetworkService => 451618 B
LumiS => 7819316 B
torben => 91712249 B

RecycleBin => 0 B
EmptyTemp: => 117 MB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 16:28:53 ====
         

Alt 05.07.2023, 15:37   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Zitat:
Zitat von mehlmonster Beitrag anzeigen
Sobald der PC gestartet ist, wieder eine volle Belegung des Upstreams.
Wie stellst du das überhaupt fest?

__________________
Logfiles bitte immer in CODE-Tags posten

Geändert von cosinus (05.07.2023 um 15:49 Uhr)

Alt 05.07.2023, 15:45   #6
mehlmonster
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



ich arbeite im Home-Office und habe öfters mal Telco's, die ebenfalls über mein WLAN laufen.
Ich telefoniere also fröhlich in meiner Telco, starte meinen Privat-PC neu und auf einmal fliegt mir der VPN Tunnel weg. Also Fehlersuche... Fritz checken, dort sehe ich wie der Upload zu 100% ausgelsatet ist. Und da ich meinen Privat-PC priorisiert habe, frisst er natülich die komplette Bandbreite.

Alt 05.07.2023, 15:54   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Dann nimm doch mal testweise die Priorisierung weg. Wozu ist die überhaupt?
Ansonsten könnte man mal mit sowas wie Wireshark nachschauen. Man müsste nur schnell sein, am besten Wireshark installieren, in den Autostart packen und dann System neu starten. Dann hoffen, dass Wireshark schnell genug startet und die Pakete aufzeichnen kann, die die Last verursachen.

Alternativ kann du auch erstmal mit ProcessHacker arbeiten. Auch das in den Autostart und dann im Network-Tab nachschauen, welcher Prozess da Upload erzeugt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 05.07.2023, 19:44   #8
M-K-D-B
/// TB-Ausbilder
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Also in den Logdateien von FRST kann ich keine Malware erkennen.

Wir können aber zur Kontrolle gerne noch ESET und KVRT laufen lassen, wenn du möchtest. Ich glaube zwar nicht wirklich, dass die fündig werden, aber eine Zweit- oder Drittmeinung kann ja nicht schaden.




Schritt 1
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe das Kaspersky Virus Removal Tool (KVRT) gemäß der bebilderten Anleitung aus und poste abschließend die Logdateien.

Alt 06.07.2023, 09:34   #9
mehlmonster
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Zitat:
Zitat von cosinus Beitrag anzeigen
Dann nimm doch mal testweise die Priorisierung weg. Wozu ist die überhaupt?
Ansonsten könnte man mal mit sowas wie Wireshark nachschauen. Man müsste nur schnell sein, am besten Wireshark installieren, in den Autostart packen und dann System neu starten. Dann hoffen, dass Wireshark schnell genug startet und die Pakete aufzeichnen kann, die die Last verursachen.

Alternativ kann du auch erstmal mit ProcessHacker arbeiten. Auch das in den Autostart und dann im Network-Tab nachschauen, welcher Prozess da Upload erzeugt.
Die Priorisierung dient doch nur der Verteilung der kompletten Bandbreite (50MBit) auf der Fritz.Box. Ich habe einen halbstarken Sohnematz, wenn ich mich nicht priorisieren würde, hätte ich wahrscheinlich nur nur noch 1MBit download!
ProcessHacker schaue ich mir gerade an.

Werde jetzt erstmal noch die anderen Virenscanner drüber jagen... ich melde mich, Danke euch!

Geändert von mehlmonster (06.07.2023 um 10:01 Uhr)

Alt 06.07.2023, 15:43   #10
M-K-D-B
/// TB-Ausbilder
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Ok, gib Bescheid.

Alt 10.07.2023, 06:26   #11
mehlmonster
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Ok, gib Bescheid.
Also ich habe ESET mal laufen lassen, hat auch etwas gefunden, allerdings etwas harmloses, ein Skript von einer damaliegen Linux-Penetration-CD vom Linux-Magazin. Es wurde in den Quarantäne Ordner verschoben, danach habe ich das komplette CD-Image gelöscht.

Jetzt habe ich ein neues Problem. Nach der Deinstallion von ESET kann ich mit dem Firefox nicht mehr auf meine Fritz.Box zugreifen. Mit Chrome ist das kein Problem. Ich habe auch schon diesen Extra-ESET-Uninstaller verwendet, keine Besserung.

Mein Initialproblem besteht auch noch weiterhin. Ich versuche es heute mal mit Wireshark. Ich melde mich...
Angehängte Grafiken
Dateityp: png 2023-07-10 07_23_06-Seiten-Ladefehler – Mozilla Firefox.png (19,6 KB, 9x aufgerufen)

Alt 10.07.2023, 08:43   #12
mehlmonster
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Zitat:
Zitat von mehlmonster Beitrag anzeigen
Also ich habe ESET mal laufen lassen, hat auch etwas gefunden, allerdings etwas harmloses, ein Skript von einer damaliegen Linux-Penetration-CD vom Linux-Magazin. Es wurde in den Quarantäne Ordner verschoben, danach habe ich das komplette CD-Image gelöscht.

Jetzt habe ich ein neues Problem. Nach der Deinstallion von ESET kann ich mit dem Firefox nicht mehr auf meine Fritz.Box zugreifen. Mit Chrome ist das kein Problem. Ich habe auch schon diesen Extra-ESET-Uninstaller verwendet, keine Besserung.

Mein Initialproblem besteht auch noch weiterhin. Ich versuche es heute mal mit Wireshark. Ich melde mich...
Also das Problem mit der Anmeldung und Zertifikatsfehler, habe ich gerade gelöst.
Einfach mal die
%APPDATA%\Mozilla\Firefox\Profiles\*DeinFirefoxProfil\cert9.db in cert9.db.old unbenant.

Das geht wieder...

Alt 10.07.2023, 12:25   #13
M-K-D-B
/// TB-Ausbilder
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Lass mal bitte KVRT wie beschrieben laufen.



Danach nochmal einen neuen Scan mit FRST:
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.

Alt 10.07.2023, 15:08   #14
mehlmonster
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Da habe ich doch tatsächlich -dontencrypt vergessen.
Sorry, ich hänge es mal an.

Zitat:
Zitat von M-K-D-B Beitrag anzeigen
Lass mal bitte KVRT wie beschrieben laufen.



Danach nochmal einen neuen Scan mit FRST:
  • Starte FRST erneut und klicke auf Untersuchen.
  • FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.
Angehängte Grafiken
Dateityp: jpg 2023-07-10 16_05_31-.jpg (105,7 KB, 17x aufgerufen)

Alt 10.07.2023, 15:14   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Standard

Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt



Der Process Hacker ist keine malware...
__________________
Logfiles bitte immer in CODE-Tags posten

Thema geschlossen

Themen zu Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt
akzeptiert, angemeldet, autostart, bandbreite, benutzer, desktop, direkt, direkt nach dem start, einsatz, gemeldet, gestern, gmail, gmx, hallo zusammen, keinerlei, mails, melden, natürlich, standard, start, system, upload, voller, win, win10, zusammen



Ähnliche Themen: Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt


  1. heise-Angebot: IT Job kompakt: Recruiting-Messe findet am 13. und 14. Juli in München statt
    Nachrichten - 07.06.2022 (0)
  2. Win10 zurückgesetzt, Gmer findet Thread und komische Prozesse
    Log-Analyse und Auswertung - 04.06.2021 (3)
  3. Win10 Avira findet TR/AD.FireHooker.BU
    Log-Analyse und Auswertung - 27.11.2020 (10)
  4. Windows 10: Avira findet nach dem PC Start TR/AD.FireHooker
    Log-Analyse und Auswertung - 06.10.2020 (30)
  5. Win10: Laptop nach 1/2 Jahr Nutzung langsam, Spybot findet Probleme bei jedem Scan (Laie)
    Alles rund um Windows - 10.08.2019 (19)
  6. ADWCleaner findet nach Neuinstallation Bedrohungen Win10
    Log-Analyse und Auswertung - 28.11.2018 (8)
  7. Win10 nach Start vorrübergehende keine Funktion der z.B: Startbuttons und Netzwerk
    Alles rund um Windows - 10.11.2018 (2)
  8. Win10: Avira findet Trojaner TR/Trash.GEN - Wie beseitigen?
    Log-Analyse und Auswertung - 11.09.2018 (1)
  9. Win10: User oobe create elevated object server meldung beim OS-start
    Plagegeister aller Art und deren Bekämpfung - 18.12.2016 (23)
  10. Offizieller Startschuss: Imagine Cup findet zum 15. Mail statt
    Nachrichten - 26.10.2016 (0)
  11. Win10: Eset findet Variante von Win32/systweak.L - Logs
    Log-Analyse und Auswertung - 14.10.2016 (19)
  12. Win10 Start-BlueScreen (BAD_SYSTEM_CONFIG_INFO)
    Alles rund um Windows - 12.10.2016 (5)
  13. PC ist seit letztem Start extrem langsam win10 64bit
    Alles rund um Windows - 12.05.2016 (0)
  14. Extrem langer Win10 start
    Alles rund um Windows - 06.03.2016 (2)
  15. WIN10: Beim Start öffnet sich Baidu Suchmaschine
    Log-Analyse und Auswertung - 29.09.2015 (4)
  16. Minütiger Fund von Antivir: TR/Sirefef.BP.1 wurde gefunden
    Plagegeister aller Art und deren Bekämpfung - 10.03.2012 (32)
  17. Upload weg nach Umzug
    Netzwerk und Hardware - 05.07.2010 (1)

Zum Thema Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt - Hallo zusammen, ich habe einen W10 Desktop der direkt nach dem Start des OS einen ca. 2 minütigen Upload mit voller Bandbreite verursacht. Auch wenn kein Benutzer angemeldet ist. Kommt - Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt...
Archiv
Du betrachtest: Win10: Nach OS Start findet ein ca. 2 minütiger Upload statt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.