Meldung von Malwarebytes

Diskutiere Meldung von Malwarebytes im Windows 10 Sicherheit Forum im Bereich Windows 10 Foren; Hallo Forum , ich habe mir Malwarebytes und den ADW-Cleaner runtergeladen und durchlaufen lassen . Malwarebytes hat folgendes gefunden: Folgende...

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Hallo Forum , ich habe mir Malwarebytes und den ADW-Cleaner runtergeladen und durchlaufen lassen . Malwarebytes hat folgendes gefunden:
Folgende Website scheint bösartig zu sein : ibegardingstorque.com
Berichte: Blockierte Website
Domäne: ibegardingstoque.com
Datum: 26.11.2020 14:07
Datei: \Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe
Kategorie: Riskware
Typ: ausgehende Verbindung
Port: 443
Kann mir jemand weiterhelfen , ich weiß nicht wie ich das angehen soll .
Die oben geschriebene Medung erscheint immer wieder .
Beitrag automatisch zusammengeführt:

Nachtragzu oben :
gefunden wurde eben noch :
blacksar.date Trojaner
www.foxload.com Trojaner
securitystronghol.com Trojaner

alle in der Datei: \Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe
 
Zuletzt bearbeitet:

Wolf.J

Erfahrener Benutzer
Dabei seit
28.02.2017
Beiträge
4.432
Version
Verschiedene WIN 10
Lade die Datei powershell.exe aus dem Verzeichnis mal auf Virustotal hoch und lass die mal prüfen.
VirusTotal

Das ist die powershell version für 32 Bit. Jedenfalls ein sehr merkwürdiger Fund.
 

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.238
Version
.............20H2 Pro 64 bit Build 19042.746
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Folgende Website scheint bösartig zu sein : ibegardingstorque.com
Berichte: Blockierte Website
Domäne: ibegardingstoque.com
Datum: 26.11.2020 14:07
Die Seite habe ich nicht gefunden im Netz.

Datei: \Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe
Kategorie: Riskware
Typ: ausgehende Verbindung
Port: 443
Das ist der normale Pfad der in Windows enthaltenen Powershell. Die selber kann keine Malware enthalten. Sie kann aber aufgrund ihrers Verhaltens von Fremdscannern als schädlich eingestuft werden - Stichwort: false/positiv (Fehlalarm) Das Verhalten hat zwar den Charakter, den auch bösartige Dateien enthalten, ist hier aber gutartig. Eine ausgehende Verbindung ist aber m.E. nicht normal.

Ich empfehle Dir, einen Vollscan mit Windows Defender zu machen. Wenn es eine Bedrohung gibt, wird der Defender Dir die sehr wahrscheinlich anzeigen.

gefunden wurde eben noch :
blacksar.date Trojaner
www.foxload.com Trojaner
securitystronghol.com Trojaner

alle in der Datei: \Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe
Beim Aufruf der Seite foxload com hat mich mein Linkchecker gewarnt. Ich habe die Seite trotzdem temporär genehmigt, um zu sehen, was das für eine Seite ist. Dort kann man Software downloaden. Also entweder gibt es auf der Seite selbst versteckte Schadware, oder man holt sie sich, wenn man etwas downloadet. - also diese Seite besser meiden.

securitystronghol.com ist auch lt. Virus Total keine auffindbare Adresse.

blacksar.date ist tatsächlich auch lt. Virus Total eine Malware/Pishing-Seite.

Was das nun zusammen mit Windows Power Shell zu tun haben soll, kann ich nicht nachvollziehen. Wie gesagt, mache bitte einen Vollscan mit dem Defender und zeige bitte das Ergebnis.

Vielleicht hast Du Schadware, woanders versteckt, die reguläre Dateien, hier vlt. die PowerShell exe manipuliert. Das wäre natürlich gefährlich, weil die viel kann und zumeist mit Admin-Recht läuft.
 
Zuletzt bearbeitet:

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Ich habe mit Vius Total die Datei untersuchen lassen , alle Verzeichnisse werden mit undetected bezeichnet . Leider sind meine Englischkenntnisse sehr bescheiden ansonsten hätte ich die angezeigte Seite , wenn möglich , mal kopiert um sie hier einzustellen .
 

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.238
Version
.............20H2 Pro 64 bit Build 19042.746
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Du kannst die Seite übersetzen lassen - Rechtsklick auf die Webseite sollte Dir einen Übersetzer anbieten. Kannst Du aber auch im englischen Original hierher kopieren. Wir werden das wohl lesen und verstehen können.

Wie schon geschrieben, mache bitte einen Vollscan mit Windows Defender.
 

Wolf.J

Erfahrener Benutzer
Dabei seit
28.02.2017
Beiträge
4.432
Version
Verschiedene WIN 10
\Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe
Das ist die Version für 32 Bit (also die Version, die unter Windows over Windows ausgeführt würde)
Die "normale" Version für ein System mit 64 Bit ist die hier: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Das wäre auch die Version, die ausgeführt wird, wenn Powershell gestartet wird.

Hier mal im Vergleich, selbst die Dateigrößen sind unterschiedlich.

1606403110259.png


Das erklärt aber nicht die Virus-Meldung.
 

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.238
Version
.............20H2 Pro 64 bit Build 19042.746
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Der gemeldete ausgehende Port macht mir Sorgen. Da wird dann wohl die Verbindung zu den ominösen Adressen aufgebaut. Das ist aber meines Erachtens keine Vorgehensweise der normalen power shell exe. Den Port kann man in der Firewall blocken. Ich weiß allerdings nicht, was sonst noch über den Port läuft und laufen muss, was andere Funktionen behindern könnte, wenn der geblockt ist.

Ich hoffe, @Lausbub macht den Defender Scan. Danach sind wir vielleicht ein Stück weit schlauer.
 
Zuletzt bearbeitet:

Wolf.J

Erfahrener Benutzer
Dabei seit
28.02.2017
Beiträge
4.432
Version
Verschiedene WIN 10
Der Port 443 ist der TCP-Standard für HTTPS.
Da will also wirklich jemand ins Internet.
Und Powershell ist das definitiv nicht.
Deshalb wollte ich ja genau die Datei mal überprüft haben.
@Lausbub, auch wenn Du mit dem englischen Text nicht viel anfangen kannst, trotzdem hier mal einstellen, andere können das lesen.
Wie ist denn die genaue Dateigröße? Am besten den gleichen Screenshot machen, den ich oben eingehängt habe.
 

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Acronis





Undetected

Ad-Aware



Undetected

AegisLab



Undetected

AhnLab-V3



Undetected

Alibaba



Undetected

ALYac



Undetected

Antiy-AVL



Undetected

SecureAge APEX



Undetected

Arcabit



Undetected

Avast



Undetected

AVG



Undetected

Avira (no cloud)



Undetected

Baidu



Undetected

BitDefender



Undetected

BitDefenderTheta



Undetected

Bkav



Undetected

CAT-QuickHeal



Undetected

ClamAV



Undetected

CMC



Undetected

Comodo



Undetected

CrowdStrike Falcon



Undetected

Cybereason



Undetected

Cylance



Undetected

Cynet



Undetected

Cyren



Undetected

DrWeb



Undetected

eGambit



Undetected

Elastic



Undetected

Emsisoft



Undetected

eScan



Undetected

ESET-NOD32



Undetected

F-Secure



Undetected

FireEye



Undetected

Fortinet



Undetected

GData



Undetected

Gridinsoft



Undetected

Ikarus



Undetected

Jiangmin



Undetected

K7AntiVirus



Undetected

K7GW



Undetected

Kaspersky



Undetected

Kingsoft



Undetected

Malwarebytes



Undetected

MAX



Undetected

MaxSecure



Undetected

McAfee



Undetected

McAfee-GW-Edition



Undetected

Microsoft



Undetected

NANO-Antivirus



Undetected

Palo Alto Networks



Undetected

Panda



Undetected

Qihoo-360



Undetected

Rising



Undetected

Sangfor Engine Zero



Undetected

SentinelOne (Static ML)



Undetected

Sophos



Undetected

SUPERAntiSpyware



Undetected

Symantec



Undetected

TACHYON



Undetected

Tencent



Undetected

TrendMicro



Undetected

TrendMicro-HouseCall



Undetected

VBA32



Undetected

VIPRE



Undetected

ViRobot



Undetected

Webroot



Undetected

Yandex



Undetected

Zillya



Undetected

ZoneAlarm by Check Point



Undetected

Zoner



Undetected

Avast-Mobile



Unable to process file type

Symantec Mobile Insight



Unable to process file type

Trapmine



Unable to process file type

Trustlook


Unable to process file type
Beitrag automatisch zusammengeführt:

ich versuche verzweifelt wie man mit dem Defender einen Vollscan durchführt , ich hab das noch nie gemacht .
 

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.238
Version
.............20H2 Pro 64 bit Build 19042.746
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Ich habe das auch gerade bei mir probiert. Virus Total bzw. die ganzen Scan-Maschinen kennen diese Datei nicht. Ich vermute, die ist deshalb unbekannt, weil es eine Win-Datei ist, die zum System gehört und deshalb in keiner Datenbank geführt wird. Hier kommen wir also offenbar nicht weiter.
 

MSFreak

Erfahrener Benutzer
Dabei seit
18.06.2015
Beiträge
5.095
Ort
Hamburg
Version
Windows 10 Pro Version immer aktuelles Release
System
Aldi-PC Medion P2150 D mit Intels Kaby-Lake-CPU, 8 GB RAM und SSD
ich versuche verzweifelt wie man mit dem Defender einen Vollscan durchführt , ich hab das noch nie gemacht .
Schau hier:
screenshot.1.jpeg

screenshot.2.jpeg

screenshot.3.jpeg

Alternativ auch ein Offline-Scan möglich (das System wird dabei heruntergefahren)

screenshot.3 - Kopie.jpeg
 

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Super , danke für die Anleitung .
Ich habe den Scan durchgeführt und es wurdern keine Bedrohungen erkannt ,
aber direkt nach dem Neustart meldet sich Malwarebytes mit den Meldungen wie oben geschrieben und dazu noch eine neue :
pillygreamstronh.com ---als Trojaner angezeigt . (auch über die Powershell).

Ich hätte gerne was gelistet über den genauen Verlauf und Ergebnisse des Defenderscann , aber Details dazu finde ich nicht .
Nur die meldung das keine Bedrohungen erkannt wurden .
 

Wolf.J

Erfahrener Benutzer
Dabei seit
28.02.2017
Beiträge
4.432
Version
Verschiedene WIN 10
Was ist im Taskmanager denn im Autostart zu finden?
Ich habe den Verdacht, dass bei Dir etwas beim Systemstart ein Script startet.

Was mich stutzig macht, ist eben die Powershell.exe aus SYSWOW64.
 

MSFreak

Erfahrener Benutzer
Dabei seit
18.06.2015
Beiträge
5.095
Ort
Hamburg
Version
Windows 10 Pro Version immer aktuelles Release
System
Aldi-PC Medion P2150 D mit Intels Kaby-Lake-CPU, 8 GB RAM und SSD
Ich hätte gerne was gelistet über den genauen Verlauf und Ergebnisse des Defenderscann , aber Details dazu finde ich nicht .
... wozu auch da ja der Defender keine Bedrohung gefunden hat, ansonsten hättest du entsprechende Meldungen erhalten.
 

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Autostart Taskmanager:
Bezeichnung Herausgeber Status Start Auswirkung
Canon Quick Menu Canon deaktiviert keiner
Cortona Microsoft deaktiviert keiner
iTunesHelper Apple aktiviert keiner
Java Update Scheduler Oracle aktiviert niedrig
MSAS Cuil aktiviert nicht gemessen
Skype Skype deaktiviert keiner
Windows Powershell Microsoft aktiviert hoch
Windows Security notificat. Microsoft aktiviert niedrig
your Phone Microsoft deaktiviert keiner
 

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.238
Version
.............20H2 Pro 64 bit Build 19042.746
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Nimm Windows Powershell aus dem Autostart raus. Die gehört standardmäßig da nicht rein. Die anderen Einträge sind ok.

Ich habe den Verdacht, auch wenn der Defender nichts gefunden hat, da werkelt gut versteckt und/oder getarnt (vielleicht sogar im Rootverzeichnis) irgendein Schädling, der dann auch die Powershell exe in den Autostart gestellt hat.

Empfehlenwert wäre es, eigene Dateien zu sichern und eine Neuinstallation von Win zu machen, nachdem die Partition gelöscht wurde.
 
Zuletzt bearbeitet:

Wolf.J

Erfahrener Benutzer
Dabei seit
28.02.2017
Beiträge
4.432
Version
Verschiedene WIN 10
Wichtig wäre im zweiten Schritt schon, dieses Powershell-Script zu finden.
Der Start von Powershell an sich führt ja noch nicht zu irgendwelchen Aktionen.
 

MSFreak

Erfahrener Benutzer
Dabei seit
18.06.2015
Beiträge
5.095
Ort
Hamburg
Version
Windows 10 Pro Version immer aktuelles Release
System
Aldi-PC Medion P2150 D mit Intels Kaby-Lake-CPU, 8 GB RAM und SSD
MSAS Cuil aktiviert nicht gemessen
... lasse dir mal den Pfad im Taskmanager anzeigen, Rechtsklick auf "Statusauswirkungen" und entsprechende Option wählen

screenshot.1.jpeg

Und uns den Pfad mitteilen. Die "MSAS Cuil" gehört auch nicht in den Autostart. Wenn der Pfad nicht dem Standard entspricht, könnte es durchaus ein Virus sein.
Was ist msascuil.exe?

screenshot.2.jpeg
 

IT-SK

Erfahrener Benutzer
Dabei seit
01.11.2015
Beiträge
9.381
Ort
Hummel Hummel, Mors Mor....
Version
Version 20H2 ( Build 19042.746) Pro 64 + Div. Builds
System
I5, 16GB Ram, Nvidia Geforce GTX 760M, SSD Samsung 850 EVO
Hallo Lausbub,
ein guter Test ist auch von einem externen Medium zu booten
und eine Kontrolle anzustoßen.
Perfekt wäre es sogar, dieses an einem Anderen Gerät zu erstellen.

Programm zur Desinfektion des Betriebssystems​

Zwei Boot CD' s zur Auswahl.
Du kannst auch einen USB Stick nutzen.

Avira ist etwas schneller, Kaspersky bietet mehr Auswahl im angebotenen
Menü:

Ein Avira Rescue System erstellen und verwenden


Kaspersky Rescue Disk 18

Schreiben des Abbildes von Kaspersky Rescue Disk 18
 

Argor

Erfahrener Benutzer
Dabei seit
30.04.2019
Beiträge
714
Ort
Saarland
Version
Win 10 x 64 Pro 2004
System
X-570, R9 3900X, 32 GB, RTX 3080 STRIX OC, PG348Q
Thema:

Meldung von Malwarebytes

Meldung von Malwarebytes - Ähnliche Themen

Malwarbytes Meldungen: Moin moin, seit dem Firefox57 bekommen ich Meldungen von Malwarebytes. Heute ist es besonders schlimm. Es passiert bei verschiedenen Seiten, auch...
Dev Channel Insider Preview 20161.1000 rs_prerelease steht zum Download bereit: Eine neue Build ist heute spät abends eingetrudelt. Es darf nun wieder getestet werden. :D Zusätzlich ist die neueste...
Edge - Normale Links öffnen bösartiges PopUp: Hallo, ich habe jetzt schon seit einiger Zeit das Problem, dass in MS Edge in unregelmäßigen Abständen beim Klicken auf normale Links eindeutig...
Oben