Meldung von Malwarebytes

Diskutiere Meldung von Malwarebytes im Windows 10 Sicherheit Forum im Bereich Windows 10 Foren; Guten Morgen Forum , ich habe eben mal im Taskmanager die Zeile mit dem MSAS CuiL aufgerufen und die Befehlszeile gelesen ...

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Guten Morgen Forum , ich habe eben mal im Taskmanager die Zeile mit dem MSAS CuiL aufgerufen und die Befehlszeile gelesen :
C:\ProgramFiles\Windows\Defender\MSAS....... ( weiter läßt sich das nicht lesen )
Meldung heute morgen von MalwareBytess :

alwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 27.11.20
Scan-Zeit: 08:42
Protokolldatei: 0a223c01-3084-11eb-865d-74d4352dacce.json

-Softwaredaten-
Version: 4.2.3.96
Komponentenversion: 1.0.1122
Version des Aktualisierungspakets: 1.0.33482
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 19041.630)
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Zeitplaner
Ergebnis: Abgeschlossen
Gescannte Objekte: 320559
Erkannte Bedrohungen: 2
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 4 Min., 36 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 1
RiskWare.Script.Base64, HKU\S-1-5-21-1642502390-4034359793-1916805551-1000\SOFTWARE\abefbaffcebf, Keine Aktion durch Benutzer, 6464, 883372, 1.0.33482, , ame, , ,

Registrierungswert: 1
RiskWare.Script.Base64, HKU\S-1-5-21-1642502390-4034359793-1916805551-1000\SOFTWARE\abefbaffcebf|0, Keine Aktion durch Benutzer, 6464, 883372, 1.0.33482, , ame, , ,

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)


(end)

Neu :
Erkannt: Trojan:Win32/Injector
Status: Aktiv
Aktive Bedrohungen wurden nicht behoben und werden auf ihrem Gerät ausgeführt.
Datum: 27.11.2020 09:20
Details: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.
Betreffende Elemente: amsi: C:\\Windows\SysWOW64\WindowsPowershell\v1.0{powershell.exe .

Ich bekomme ja in ein paar Tagen meinen neuen Laptop ( habe ich in einem anderen Beitrag hier auch geschrieben) und werde dann den "alten PC" sozusagen platt machen .
Ein Bekannter von mir würde den gerne übernehmen , aber davor muß er sauber sein .

Powershell habe ich im Startmenu deaktiviert .
 
Zuletzt bearbeitet:

Wolf.J

Erfahrener Benutzer
Dabei seit
28.02.2017
Beiträge
4.439
Version
Verschiedene WIN 10
MSAS CuiL kannst Du wohl ignorieren, das sollte es seit der Version 1809 schon gar nicht mehr geben.
Das war dazu da, das Defender-Icon in der Taskleiste zu starten.
Warum das bei Dir noch im Autostart war, kann ich nicht sagen, aber davon berichten auch andere Quellen.
Jedenfalls wurde an der Stelle einiges umgestellt.
Bleiben immer noch die Scripte, die ja offensichtlich als Trojaner fungieren.
Du könntest den ganzen Rechner nach Dateien absuchen, die die Dateiendung .ps1 haben.
Ob das aber gelingt?
Wenn der Rechner abgegeben wird, dann vorher clean installieren, dazu bei der Installation alle Partitionen löschen lassen und dann die Installationsroutine alles neu machen lassen.
Damit bist Du dann auf der sicheren Seite.
 

Sabine

Super-Moderator
Dabei seit
14.08.2015
Beiträge
3.914
Ort
Münster (Westf)
Version
Windows 10 Pro
@Lausbub

ich denke, Dein Rechner ist kompromittiert mit einem Trojaner. Wenn Du ihn aktuell noch weiter betreibst, gefährdest Du Deine Daten. Evtl. ist der Rechner auch Teil eines Bot-Netzes. Deshalb empfehle ich, den Rechner außer Betrieb zu nehmen oder sich Hilfe bei der Beseitigung des Schädlings zu suchen.

Unser Forum ist für die Beseitigung von Viren oder Trojanern nicht spezialisiert. Ich würde Dich bitten, Dich an das Trojaner Board zu wenden. Da sind die Spezialisten für sowas.
 

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.248
Version
.............20H2 Pro 64 bit Build 19042.746
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Ja @Argor , das verlinkte Thema ist interessant.

Mir ist noch eingefallen, man kann die angeführten Adressen in der Host-Datei blocken, da den Port über die Firewall zu blocken ja suboptimal ist, wenn dieser allgemein verwendet wird, um ins Internet zu gehen.

Auch könnte man bei der Gelegenheit sehen, ob das evtl. vorhandene Script selbst dort bereits Einträge getätigt hat, um Aufrufe an Schadseiten umzuleiten. Diese Einträge kann man dann entfernen.

Um die Adressen zu blocken, geht man wie folgt vor:

Man öffnet den Editor (Startmenü oder Win-Suche) per Rechtsklick "als Administrator".

Im Editor oben links Datei - öffnen : Pfad C/Windows/System32/Drivers/etc/hosts

nun macht man - in diesem Fall - unten in den freien Platz folgende Einträge

127.0.0.1 ibegardingstoque.com
127.0.0.1 blacksar.date
127.0.0.1 foxload.com
127.0.0.1 securitystronghol.com

Nun wieder oben - Datei - speichern - und anschließend schließen. Dann öffnet man die hosts-Datei noch einmal, um zu schauen, ob die Einträge gespeichert wurden und nun vorhanden sind.

Die Einträge führen dazu, dass die Verbindungen nicht aufgebaut werden können. Sie werden zum localhost, also zur eigenen IP, also zum eigenen PC, umgeleitet. Anfragen an diese Adressen laufen nun ins Leere.

@Sabine
Eine Neuinstallation hatte ich schon empfohlen. Je länger ich mich mit dem Thema beschäftige, für um desto ratsamer halte ich das und stütze daher auch den ersten Absatz Deines Beitrages.


Ich bekomme ja in ein paar Tagen meinen neuen Laptop ( habe ich in einem anderen Beitrag hier auch geschrieben) und werde dann den "alten PC" sozusagen platt machen .
Ein Bekannter von mir würde den gerne übernehmen , aber davor muß er sauber sein .
Dann ist gut. Lösche die Partition und formatiere 1 x die Platte. Dann sollte sie sauber sein und Du kannst bis zur Anmeldung neu installieren. Die Anmeldung kann dann Dein Bekannter fortführen und sein Windows weiter einrichten. Oder er kann es auch vollständig selber installieren. Aktiviert wird es automatisch, da das BS bereits einmal installiert war.
 
Zuletzt bearbeitet:

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Ich habe die Host-Datei mit den o.g. Einträgen versehen , sie sind auch gespeichert worden .
Jetzt kann ich es kaum erwarten bis der neue Laptop eintrifft , dann hat die Sache ein Ende .

P.S. kann ich Powershell nicht einfach löschen ??
 

Thomas62

Erfahrener Benutzer
Dabei seit
30.07.2015
Beiträge
3.876
Ort
Wunderschönen Berlin
Version
DESKTOP Win 10 Pro 64 bit Build aktuell
System
ASUS Prime A320M-K RYZEN 5 3600 6C/12TR x 3.60GHz +32 GB Ram PALIT 1660 STORMx 6GB Ram Win 10 Pro
mach doch einfach ein Neuinstallation von Windows.

Du kannst sogar die ganze Partition löschen wo Windows drauf soll.

Dann hat der SPUK ein ende für dich.
 

runit

Erfahrener Benutzer
Dabei seit
18.11.2015
Beiträge
8.248
Version
.............20H2 Pro 64 bit Build 19042.746
System
Desktop HP 290 G2, CPU i5 8500, Ram 8 GB DDR4-2666, M2 NVMe EVO 980 PRO 1 TB, Intel Graphic UHD 630
Man kann Win 10 Apps mit Hilfe der PowerShell löschen. Das geht ja nicht, wenn Du die App entfernen willst, die Du gerade verwendest.

Sie ist Bestandteil des BS. Ich weiß außerdem nicht, aber vermute es, dass Win die Powershell benötigt, mindestens bei Updates. Ein Entfernen hielte ich von daher nicht für ratsam.

Sofern die Powershell im Autostart nicht gestartet wird, kann mit ihr kein Schaden angerichtet werden.
 

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Komplette Neuinstallation läuft . Daten privaterseits sind vorher gesichert worden. Mal sehen ....
Beitrag automatisch zusammengeführt:

Neuinstallation fehlgeschlagen, bei Eingabe von Deutschland - Deutsche Tastatur- natürlich sich der PC aufgehängt und fragt dieses Thema immer wieder .Ich habe 10 mal versucht , immer das gleiche . Dann hatte ich die Nase voll und habe den Hammer geholt. Das wars dann .Alles Stromlos gemacht .Kauf-DVD rausbekommen, neu gestartet aber der Rechner machte an derselben Stelle weiter, gleiches Prozedere. Jetzt kommt der Wertstoffhof dran
 
Zuletzt bearbeitet:

Thomas62

Erfahrener Benutzer
Dabei seit
30.07.2015
Beiträge
3.876
Ort
Wunderschönen Berlin
Version
DESKTOP Win 10 Pro 64 bit Build aktuell
System
ASUS Prime A320M-K RYZEN 5 3600 6C/12TR x 3.60GHz +32 GB Ram PALIT 1660 STORMx 6GB Ram Win 10 Pro
hattest du die Partition gelöscht wie empfohlen wurde ?
 

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Ja mein Kumpel hat mir dabei geholfen. Der war dann auch ratlos. Naja bald geht's ja wieder weiter , zur Zeit bin ich noch mit Handy im Internet.
 

Wolf.J

Erfahrener Benutzer
Dabei seit
28.02.2017
Beiträge
4.439
Version
Verschiedene WIN 10
Du hast jetzt ernsthaft aufgegeben?
Wenn Du nur die Festplatte drin lässt, auf die Windows soll und dann als ersten Schritt alle Partition löschen lässt, dann muss das funktionieren. Ihr dürft natürlich nicht drüber installieren.
 

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Ich wollte das Gerät eh verkümmeln, aber da gibt's eh nicht viel zu holen preislich gesehen. Ich habe ihn dann meinem Kumpel mitgegeben denn er wollte ihn nicht auf dem Werkstoff sehen , noch nicht , er wird sich noch ein paar Teile wie RAM und Grafikkarte rausholen . Das Gerät ist ja schon fast antik . Aus den Augen aus dem Sinn.
 

Thomas62

Erfahrener Benutzer
Dabei seit
30.07.2015
Beiträge
3.876
Ort
Wunderschönen Berlin
Version
DESKTOP Win 10 Pro 64 bit Build aktuell
System
ASUS Prime A320M-K RYZEN 5 3600 6C/12TR x 3.60GHz +32 GB Ram PALIT 1660 STORMx 6GB Ram Win 10 Pro
Ja mein Kumpel hat mir dabei geholfen. Der war dann auch ratlos. Naja bald geht's ja wieder weiter , zur Zeit bin ich noch mit Handy im Internet.
geht noch einfacher. Bau die HDD aus und dein Kumpel soll einer seiner eigenen HDD / SSD

einbauen und Windows selbst installieren. Später kann man ja die Boot-Platte zur externen machen.

Nachdem sie komplett Formatiert wurde.

lg
 

IT-SK

Erfahrener Benutzer
Dabei seit
01.11.2015
Beiträge
9.394
Ort
Hummel Hummel, Mors Mor....
Version
Version 20H2 ( Build 19042.746) Pro 64 + Div. Builds
System
I5, 16GB Ram, Nvidia Geforce GTX 760M, SSD Samsung 850 EVO
Hmm,
ich frage mich aber schon, warum Du nicht mal von einem externen Bootmedium gestartet bist zur Schädlingssuche?
Auf einem laufenden korumpierten System finde ich
" Boardmittel" Immer fragwürdig.

Bei den MalwareBytes Scanoptionen war

Scanoption Rootkits: Deaktiviert.

Genau da würde ein "gut gemachter" Schädling schon starten.

Kauf-DVD rausbekommen,

Bedeutet was?
Das Bootmedium für die Neuinstallatuon solltest Du möglichst so erstellen:

Windows 10 Datenträger für Update oder Neuinstallation von Stick und DVD
 
Zuletzt bearbeitet:

Lausbub

Benutzer
Threadstarter
Dabei seit
27.11.2019
Beiträge
46
Ort
Oppenheim, im schönen Rheinhessen
Version
WIN 10 Home 64 bit
System
Acer Nitro 5 -AN517-52-59GG, Intel Core i510300H,16GB RAM, GeForce GTX 1650TI 4GB, 512GB SSD.
Er wird es schon richten , aber ich habe mich auch sehr gefreut hierzu so viele Hilfe bekommen zu haben . Super Forum .
 

Argor

Erfahrener Benutzer
Dabei seit
30.04.2019
Beiträge
714
Ort
Saarland
Version
Win 10 x 64 Pro 2004
System
X-570, R9 3900X, 32 GB, RTX 3080 STRIX OC, PG348Q
Also, mal so eine klitzkleine Erklärung...

ein User klickt einen Link auf einer Internetseite und der wird in den temporären Internetfiles abgelegt und mittel Registryeintrag oder was auch immer in die Startroutine übernommen. Damit ruft eine powershell-Instanz ein irgendwo gespeichertes Textfragment als Script auf und schon hat man den Salat. Als Übeltäter wird dann die powershell identifiziert, weil das ja die aufrufende Anwendung ist. Ein Wunder an der Stelle ist schon, dass ein Malwarescanner das identifiziert, da muss sich der Coder schon zemlich doof dran gestellt haben. Das kann man wirklich besser verschleiern :-)
 
Thema:

Meldung von Malwarebytes

Meldung von Malwarebytes - Ähnliche Themen

Malwarbytes Meldungen: Moin moin, seit dem Firefox57 bekommen ich Meldungen von Malwarebytes. Heute ist es besonders schlimm. Es passiert bei verschiedenen Seiten, auch...
Dev Channel Insider Preview 20161.1000 rs_prerelease steht zum Download bereit: Eine neue Build ist heute spät abends eingetrudelt. Es darf nun wieder getestet werden. :D Zusätzlich ist die neueste...
Edge - Normale Links öffnen bösartiges PopUp: Hallo, ich habe jetzt schon seit einiger Zeit das Problem, dass in MS Edge in unregelmäßigen Abständen beim Klicken auf normale Links eindeutig...
Oben