Meldung von Malwarebytes

[Lausbub]

Hallo Forum , ich habe mir Malwarebytes und den ADW-Cleaner runtergeladen und durchlaufen lassen . Malwarebytes hat folgendes gefunden:
Folgende Website scheint bösartig zu sein : ibegardingstorque.com
Berichte: Blockierte Website
Domäne: ibegardingstoque.com
Datum: 26.11.2020 14:07
Datei: \Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe
Kategorie: Riskware
Typ: ausgehende Verbindung
Port: 443
Kann mir jemand weiterhelfen , ich weiß nicht wie ich das angehen soll .
Die oben geschriebene Medung erscheint immer wieder .

Beitrag automatisch zusammengeführt: 26.11.2020

Nachtragzu oben :
gefunden wurde eben noch :
blacksar.date Trojaner
www.foxload.com Trojaner
securitystronghol.com Trojaner
alle in der Datei: \Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe

 

[Wolf.J]

Lade die Datei powershell.exe aus dem Verzeichnis mal auf Virustotal hoch und lass die mal prüfen.
VirusTotal

Das ist die powershell version für 32 Bit. Jedenfalls ein sehr merkwürdiger Fund.

 

[runit]

Folgende Website scheint bösartig zu sein : ibegardingstorque.com
Berichte: Blockierte Website
Domäne: ibegardingstoque.com
Datum: 26.11.2020 14:07

Die Seite habe ich nicht gefunden im Netz.

Datei: \Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe
Kategorie: Riskware
Typ: ausgehende Verbindung
Port: 443

Das ist der normale Pfad der in Windows enthaltenen Powershell. Die selber kann keine Malware enthalten. Sie kann aber aufgrund ihrers Verhaltens von Fremdscannern als schädlich eingestuft werden - Stichwort: false/positiv (Fehlalarm) Das Verhalten hat zwar den Charakter, den auch bösartige Dateien enthalten, ist hier aber gutartig. Eine ausgehende Verbindung ist aber m.E. nicht normal.

Ich empfehle Dir, einen Vollscan mit Windows Defender zu machen. Wenn es eine Bedrohung gibt, wird der Defender Dir die sehr wahrscheinlich anzeigen.

gefunden wurde eben noch :
blacksar.date Trojaner
www.foxload.com Trojaner
securitystronghol.com Trojaner
alle in der Datei: \Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe

Beim Aufruf der Seite foxload com hat mich mein Linkchecker gewarnt. Ich habe die Seite trotzdem temporär genehmigt, um zu sehen, was das für eine Seite ist. Dort kann man Software downloaden. Also entweder gibt es auf der Seite selbst versteckte Schadware, oder man holt sie sich, wenn man etwas downloadet. - also diese Seite besser meiden.

securitystronghol.com ist auch lt. Virus Total keine auffindbare Adresse.

blacksar.date ist tatsächlich auch lt. Virus Total eine Malware/Pishing-Seite.

Was das nun zusammen mit Windows Power Shell zu tun haben soll, kann ich nicht nachvollziehen. Wie gesagt, mache bitte einen Vollscan mit dem Defender und zeige bitte das Ergebnis.

Vielleicht hast Du Schadware, woanders versteckt, die reguläre Dateien, hier vlt. die PowerShell exe manipuliert. Das wäre natürlich gefährlich, weil die viel kann und zumeist mit Admin-Recht läuft.

 

[Lausbub]

Ich habe mit Vius Total die Datei untersuchen lassen , alle Verzeichnisse werden mit undetected bezeichnet . Leider sind meine Englischkenntnisse sehr bescheiden ansonsten hätte ich die angezeigte Seite , wenn möglich , mal kopiert um sie hier einzustellen .

 

[runit]

Du kannst die Seite übersetzen lassen - Rechtsklick auf die Webseite sollte Dir einen Übersetzer anbieten. Kannst Du aber auch im englischen Original hierher kopieren. Wir werden das wohl lesen und verstehen können.

Wie schon geschrieben, mache bitte einen Vollscan mit Windows Defender.

 

[Wolf.J]

\Windows\SysWOW64\WindowsPowershell\v1.0\powershell.exe
Das ist die Version für 32 Bit (also die Version, die unter Windows over Windows ausgeführt würde)
Die "normale" Version für ein System mit 64 Bit ist die hier: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Das wäre auch die Version, die ausgeführt wird, wenn Powershell gestartet wird.

Hier mal im Vergleich, selbst die Dateigrößen sind unterschiedlich.

Das erklärt aber nicht die Virus-Meldung.

 

[runit]

Der gemeldete ausgehende Port macht mir Sorgen. Da wird dann wohl die Verbindung zu den ominösen Adressen aufgebaut. Das ist aber meines Erachtens keine Vorgehensweise der normalen power shell exe. Den Port kann man in der Firewall blocken. Ich weiß allerdings nicht, was sonst noch über den Port läuft und laufen muss, was andere Funktionen behindern könnte, wenn der geblockt ist.

Ich hoffe, @Lausbub macht den Defender Scan. Danach sind wir vielleicht ein Stück weit schlauer.

 

[Wolf.J]

Der Port 443 ist der TCP-Standard für HTTPS.
Da will also wirklich jemand ins Internet.
Und Powershell ist das definitiv nicht.
Deshalb wollte ich ja genau die Datei mal überprüft haben.
@Lausbub, auch wenn Du mit dem englischen Text nicht viel anfangen kannst, trotzdem hier mal einstellen, andere können das lesen.
Wie ist denn die genaue Dateigröße? Am besten den gleichen Screenshot machen, den ich oben eingehängt habe.

 

[Lausbub]

Acronis





Undetected

Ad-Aware



Undetected

AegisLab



Undetected

AhnLab-V3



Undetected

Alibaba



Undetected

ALYac



Undetected

Antiy-AVL



Undetected

SecureAge APEX



Undetected

Arcabit



Undetected

Avast



Undetected

AVG



Undetected

Avira (no cloud)



Undetected

Baidu



Undetected

BitDefender



Undetected

BitDefenderTheta



Undetected

Bkav



Undetected

CAT-QuickHeal



Undetected

ClamAV



Undetected

CMC



Undetected

Comodo



Undetected

CrowdStrike Falcon



Undetected

Cybereason



Undetected

Cylance



Undetected

Cynet



Undetected

Cyren



Undetected

DrWeb



Undetected

eGambit



Undetected

Elastic



Undetected

Emsisoft



Undetected

eScan



Undetected

ESET-NOD32



Undetected

F-Secure



Undetected

FireEye



Undetected

Fortinet



Undetected

GData



Undetected

Gridinsoft



Undetected

Ikarus



Undetected

Jiangmin



Undetected

K7AntiVirus



Undetected

K7GW



Undetected

Kaspersky



Undetected

Kingsoft



Undetected

Malwarebytes



Undetected

MAX



Undetected

MaxSecure



Undetected

McAfee



Undetected

McAfee-GW-Edition



Undetected

Microsoft



Undetected

NANO-Antivirus



Undetected

Palo Alto Networks



Undetected

Panda



Undetected

Qihoo-360



Undetected

Rising



Undetected

Sangfor Engine Zero



Undetected

SentinelOne (Static ML)



Undetected

Sophos



Undetected

SUPERAntiSpyware



Undetected

Symantec



Undetected

TACHYON



Undetected

Tencent



Undetected

TrendMicro



Undetected

TrendMicro-HouseCall



Undetected

VBA32



Undetected

VIPRE



Undetected

ViRobot



Undetected

Webroot



Undetected

Yandex



Undetected

Zillya



Undetected

ZoneAlarm by Check Point



Undetected

Zoner



Undetected

Avast-Mobile



Unable to process file type

Symantec Mobile Insight



Unable to process file type

Trapmine



Unable to process file type

Trustlook


Unable to process file type

Beitrag automatisch zusammengeführt: 26.11.2020

ich versuche verzweifelt wie man mit dem Defender einen Vollscan durchführt , ich hab das noch nie gemacht .

 

[runit]

Ich habe das auch gerade bei mir probiert. Virus Total bzw. die ganzen Scan-Maschinen kennen diese Datei nicht. Ich vermute, die ist deshalb unbekannt, weil es eine Win-Datei ist, die zum System gehört und deshalb in keiner Datenbank geführt wird. Hier kommen wir also offenbar nicht weiter.

 

[MSFreak]

ich versuche verzweifelt wie man mit dem Defender einen Vollscan durchführt , ich hab das noch nie gemacht .

Schau hier:






Alternativ auch ein Offline-Scan möglich (das System wird dabei heruntergefahren)

 

[Lausbub]

Super , danke für die Anleitung .
Ich habe den Scan durchgeführt und es wurdern keine Bedrohungen erkannt ,
aber direkt nach dem Neustart meldet sich Malwarebytes mit den Meldungen wie oben geschrieben und dazu noch eine neue :
pillygreamstronh.com ---als Trojaner angezeigt . (auch über die Powershell).

Ich hätte gerne was gelistet über den genauen Verlauf und Ergebnisse des Defenderscann , aber Details dazu finde ich nicht .
Nur die meldung das keine Bedrohungen erkannt wurden .

 

[Wolf.J]

Was ist im Taskmanager denn im Autostart zu finden?
Ich habe den Verdacht, dass bei Dir etwas beim Systemstart ein Script startet.

Was mich stutzig macht, ist eben die Powershell.exe aus SYSWOW64.

 

[MSFreak]

Ich hätte gerne was gelistet über den genauen Verlauf und Ergebnisse des Defenderscann , aber Details dazu finde ich nicht .

... wozu auch da ja der Defender keine Bedrohung gefunden hat, ansonsten hättest du entsprechende Meldungen erhalten.

 

[Lausbub]

Autostart Taskmanager:
Bezeichnung Herausgeber Status Start Auswirkung
Canon Quick Menu Canon deaktiviert keiner
Cortona Microsoft deaktiviert keiner
iTunesHelper Apple aktiviert keiner
Java Update Scheduler Oracle aktiviert niedrig
MSAS Cuil aktiviert nicht gemessen
Skype Skype deaktiviert keiner
Windows Powershell Microsoft aktiviert hoch
Windows Security notificat. Microsoft aktiviert niedrig
your Phone Microsoft deaktiviert keiner

 

[runit]

Nimm Windows Powershell aus dem Autostart raus. Die gehört standardmäßig da nicht rein. Die anderen Einträge sind ok.

Ich habe den Verdacht, auch wenn der Defender nichts gefunden hat, da werkelt gut versteckt und/oder getarnt (vielleicht sogar im Rootverzeichnis) irgendein Schädling, der dann auch die Powershell exe in den Autostart gestellt hat.

Empfehlenwert wäre es, eigene Dateien zu sichern und eine Neuinstallation von Win zu machen, nachdem die Partition gelöscht wurde.

 

[Wolf.J]

Wichtig wäre im zweiten Schritt schon, dieses Powershell-Script zu finden.
Der Start von Powershell an sich führt ja noch nicht zu irgendwelchen Aktionen.

 

[MSFreak]

MSAS Cuil aktiviert nicht gemessen

... lasse dir mal den Pfad im Taskmanager anzeigen, Rechtsklick auf "Statusauswirkungen" und entsprechende Option wählen



Und uns den Pfad mitteilen. Die "MSAS Cuil" gehört auch nicht in den Autostart. Wenn der Pfad nicht dem Standard entspricht, könnte es durchaus ein Virus sein.
Was ist msascuil.exe?

 

[IT-SK]

Hallo Lausbub,
ein guter Test ist auch von einem externen Medium zu booten
und eine Kontrolle anzustoßen.
Perfekt wäre es sogar, dieses an einem Anderen Gerät zu erstellen.

Programm zur Desinfektion des Betriebssystems​

Zwei Boot CD' s zur Auswahl.
Du kannst auch einen USB Stick nutzen.

Avira ist etwas schneller, Kaspersky bietet mehr Auswahl im angebotenen
Menü:

Ein Avira Rescue System erstellen und verwenden


Kaspersky Rescue Disk 18

Schreiben des Abbildes von Kaspersky Rescue Disk 18

 

[Argor]

Ein sehr interesaanter Beitrag:

Powershell v1.0 Script Exploit on windows 10 - Virus, Trojan, Spyware, and Malware Removal Help

Ich gehe mal davon aus, dass hier u.U. nicht mal die powershell selbst das Problem ist, sondern ein script, welches aufgerufen wird.

Man könnteden MS Net Monitor installieren udn sehen ,was sich bewegt und anschließend darauf schießen