Meldung von Malwarebytes

[Lausbub]

Guten Morgen Forum , ich habe eben mal im Taskmanager die Zeile mit dem MSAS CuiL aufgerufen und die Befehlszeile gelesen :
C:\ProgramFiles\Windows\Defender\MSAS....... ( weiter läßt sich das nicht lesen )
Meldung heute morgen von MalwareBytess :

alwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 27.11.20
Scan-Zeit: 08:42
Protokolldatei: 0a223c01-3084-11eb-865d-74d4352dacce.json

-Softwaredaten-
Version: 4.2.3.96
Komponentenversion: 1.0.1122
Version des Aktualisierungspakets: 1.0.33482
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19041.630)
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Zeitplaner
Ergebnis: Abgeschlossen
Gescannte Objekte: 320559
Erkannte Bedrohungen: 2
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 4 Min., 36 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 1
RiskWare.Script.Base64, HKU\S-1-5-21-1642502390-4034359793-1916805551-1000\SOFTWARE\abefbaffcebf, Keine Aktion durch Benutzer, 6464, 883372, 1.0.33482, , ame, , ,

Registrierungswert: 1
RiskWare.Script.Base64, HKU\S-1-5-21-1642502390-4034359793-1916805551-1000\SOFTWARE\abefbaffcebf|0, Keine Aktion durch Benutzer, 6464, 883372, 1.0.33482, , ame, , ,

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

Neu :
Erkannt: Trojan:Win32/Injector
Status: Aktiv
Aktive Bedrohungen wurden nicht behoben und werden auf ihrem Gerät ausgeführt.
Datum: 27.11.2020 09:20
Details: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.
Betreffende Elemente: amsi: C:\\Windows\SysWOW64\WindowsPowershell\v1.0{powershell.exe .

Ich bekomme ja in ein paar Tagen meinen neuen Laptop ( habe ich in einem anderen Beitrag hier auch geschrieben) und werde dann den "alten PC" sozusagen platt machen .
Ein Bekannter von mir würde den gerne übernehmen , aber davor muß er sauber sein .

Powershell habe ich im Startmenu deaktiviert .

 

[Wolf.J]

MSAS CuiL kannst Du wohl ignorieren, das sollte es seit der Version 1809 schon gar nicht mehr geben.
Das war dazu da, das Defender-Icon in der Taskleiste zu starten.
Warum das bei Dir noch im Autostart war, kann ich nicht sagen, aber davon berichten auch andere Quellen.
Jedenfalls wurde an der Stelle einiges umgestellt.
Bleiben immer noch die Scripte, die ja offensichtlich als Trojaner fungieren.
Du könntest den ganzen Rechner nach Dateien absuchen, die die Dateiendung .ps1 haben.
Ob das aber gelingt?
Wenn der Rechner abgegeben wird, dann vorher clean installieren, dazu bei der Installation alle Partitionen löschen lassen und dann die Installationsroutine alles neu machen lassen.
Damit bist Du dann auf der sicheren Seite.

 

[Sabine]

@Lausbub

ich denke, Dein Rechner ist kompromittiert mit einem Trojaner. Wenn Du ihn aktuell noch weiter betreibst, gefährdest Du Deine Daten. Evtl. ist der Rechner auch Teil eines Bot-Netzes. Deshalb empfehle ich, den Rechner außer Betrieb zu nehmen oder sich Hilfe bei der Beseitigung des Schädlings zu suchen.

Unser Forum ist für die Beseitigung von Viren oder Trojanern nicht spezialisiert. Ich würde Dich bitten, Dich an das Trojaner Board zu wenden. Da sind die Spezialisten für sowas.

 

[runit]

Ja @Argor , das verlinkte Thema ist interessant.

Mir ist noch eingefallen, man kann die angeführten Adressen in der Host-Datei blocken, da den Port über die Firewall zu blocken ja suboptimal ist, wenn dieser allgemein verwendet wird, um ins Internet zu gehen.

Auch könnte man bei der Gelegenheit sehen, ob das evtl. vorhandene Script selbst dort bereits Einträge getätigt hat, um Aufrufe an Schadseiten umzuleiten. Diese Einträge kann man dann entfernen.

Um die Adressen zu blocken, geht man wie folgt vor:

Man öffnet den Editor (Startmenü oder Win-Suche) per Rechtsklick "als Administrator".

Im Editor oben links Datei - öffnen : Pfad C/Windows/System32/Drivers/etc/hosts

nun macht man - in diesem Fall - unten in den freien Platz folgende Einträge

127.0.0.1 ibegardingstoque.com
127.0.0.1 blacksar.date
127.0.0.1 foxload.com
127.0.0.1 securitystronghol.com

Nun wieder oben - Datei - speichern - und anschließend schließen. Dann öffnet man die hosts-Datei noch einmal, um zu schauen, ob die Einträge gespeichert wurden und nun vorhanden sind.

Die Einträge führen dazu, dass die Verbindungen nicht aufgebaut werden können. Sie werden zum localhost, also zur eigenen IP, also zum eigenen PC, umgeleitet. Anfragen an diese Adressen laufen nun ins Leere.

@Sabine
Eine Neuinstallation hatte ich schon empfohlen. Je länger ich mich mit dem Thema beschäftige, für um desto ratsamer halte ich das und stütze daher auch den ersten Absatz Deines Beitrages.

Ich bekomme ja in ein paar Tagen meinen neuen Laptop ( habe ich in einem anderen Beitrag hier auch geschrieben) und werde dann den "alten PC" sozusagen platt machen .
Ein Bekannter von mir würde den gerne übernehmen , aber davor muß er sauber sein .

Dann ist gut. Lösche die Partition und formatiere 1 x die Platte. Dann sollte sie sauber sein und Du kannst bis zur Anmeldung neu installieren. Die Anmeldung kann dann Dein Bekannter fortführen und sein Windows weiter einrichten. Oder er kann es auch vollständig selber installieren. Aktiviert wird es automatisch, da das BS bereits einmal installiert war.

 

[Lausbub]

Ich habe die Host-Datei mit den o.g. Einträgen versehen , sie sind auch gespeichert worden .
Jetzt kann ich es kaum erwarten bis der neue Laptop eintrifft , dann hat die Sache ein Ende .

P.S. kann ich Powershell nicht einfach löschen ??

 

[Thomas62]

mach doch einfach ein Neuinstallation von Windows.

Du kannst sogar die ganze Partition löschen wo Windows drauf soll.

Dann hat der SPUK ein ende für dich.

 

[runit]

Man kann Win 10 Apps mit Hilfe der PowerShell löschen. Das geht ja nicht, wenn Du die App entfernen willst, die Du gerade verwendest.

Sie ist Bestandteil des BS. Ich weiß außerdem nicht, aber vermute es, dass Win die Powershell benötigt, mindestens bei Updates. Ein Entfernen hielte ich von daher nicht für ratsam.

Sofern die Powershell im Autostart nicht gestartet wird, kann mit ihr kein Schaden angerichtet werden.

 

[Lausbub]

Komplette Neuinstallation läuft . Daten privaterseits sind vorher gesichert worden. Mal sehen ....

Beitrag automatisch zusammengeführt: 27.11.2020

Neuinstallation fehlgeschlagen, bei Eingabe von Deutschland - Deutsche Tastatur- natürlich sich der PC aufgehängt und fragt dieses Thema immer wieder .Ich habe 10 mal versucht , immer das gleiche . Dann hatte ich die Nase voll und habe den Hammer geholt. Das wars dann .Alles Stromlos gemacht .Kauf-DVD rausbekommen, neu gestartet aber der Rechner machte an derselben Stelle weiter, gleiches Prozedere. Jetzt kommt der Wertstoffhof dran

 

[Thomas62]

hattest du die Partition gelöscht wie empfohlen wurde ?

 

[Lausbub]

Ja mein Kumpel hat mir dabei geholfen. Der war dann auch ratlos. Naja bald geht's ja wieder weiter , zur Zeit bin ich noch mit Handy im Internet.

 

[Wolf.J]

Du hast jetzt ernsthaft aufgegeben?
Wenn Du nur die Festplatte drin lässt, auf die Windows soll und dann als ersten Schritt alle Partition löschen lässt, dann muss das funktionieren. Ihr dürft natürlich nicht drüber installieren.

 

[Lausbub]

Ich wollte das Gerät eh verkümmeln, aber da gibt's eh nicht viel zu holen preislich gesehen. Ich habe ihn dann meinem Kumpel mitgegeben denn er wollte ihn nicht auf dem Werkstoff sehen , noch nicht , er wird sich noch ein paar Teile wie RAM und Grafikkarte rausholen . Das Gerät ist ja schon fast antik . Aus den Augen aus dem Sinn.

 

[Thomas62]

Ja mein Kumpel hat mir dabei geholfen. Der war dann auch ratlos. Naja bald geht's ja wieder weiter , zur Zeit bin ich noch mit Handy im Internet.

geht noch einfacher. Bau die HDD aus und dein Kumpel soll einer seiner eigenen HDD / SSD

einbauen und Windows selbst installieren. Später kann man ja die Boot-Platte zur externen machen.

Nachdem sie komplett Formatiert wurde.

lg

 

[IT-SK]

Hmm,
ich frage mich aber schon, warum Du nicht mal von einem externen Bootmedium gestartet bist zur Schädlingssuche?
Auf einem laufenden korumpierten System finde ich
" Boardmittel" Immer fragwürdig.

Bei den MalwareBytes Scanoptionen war

Scanoption Rootkits: Deaktiviert.

Genau da würde ein "gut gemachter" Schädling schon starten.

Kauf-DVD rausbekommen,

Bedeutet was?
Das Bootmedium für die Neuinstallatuon solltest Du möglichst so erstellen:

Windows 10 Datenträger für Update oder Neuinstallation von Stick und DVD

 

[Lausbub]

Er wird es schon richten , aber ich habe mich auch sehr gefreut hierzu so viele Hilfe bekommen zu haben . Super Forum .

 

[Argor]

Also, mal so eine klitzkleine Erklärung...

ein User klickt einen Link auf einer Internetseite und der wird in den temporären Internetfiles abgelegt und mittel Registryeintrag oder was auch immer in die Startroutine übernommen. Damit ruft eine powershell-Instanz ein irgendwo gespeichertes Textfragment als Script auf und schon hat man den Salat. Als Übeltäter wird dann die powershell identifiziert, weil das ja die aufrufende Anwendung ist. Ein Wunder an der Stelle ist schon, dass ein Malwarescanner das identifiziert, da muss sich der Coder schon zemlich doof dran gestellt haben. Das kann man wirklich besser verschleiern