von Karl_34 » 23.10.2016, 19:17
Die Vorgeschichte:
Meine ehem. Kollegin fing sich auf ihrem Notebook (HP Compaq Presario CQ71) via E-Mail Viren ein.
Gemäss Ratschlägen aus ihrem Bekanntenkreis unternahm sie Einiges: z.B. Dateien aus der Quarantäne löschen, einen anderen Antiviren Scanner-Programm installiert usw. Da gar nichts half, gab sie dann auf. Kurz vor ihrem Urlaub brachte sie mir den Laptop, ob ich da weiterhelfen könnte.
Bin zwar kein Spezialist aber immerhin seit Windows 3.0 dabei..
Ich habe Folgendes unternommen:
⦁ Laptop mit Kaspersky Rescue CD 10 gebootet -> Kaspersky hat einige Trojaner & Malware lokalisiert & neutralisiert
⦁ nach Neustart die neuste Version Kaspersky Internet Security 2017 (30 Tage Probezeit) heruntergeladen und nochmals Virenscan gestartet -> weitere Malware gefunden & neutralisiert
⦁ neuste Windows Updates installiert (Windows 10 Home, Version 1607, 64-bit)
⦁ das alte Antivirusprogramm und weitere, nach der Infektion neu installierte Programme sauber deinstalliert, und nochmals auf Viren gescannt
⦁ usw. bis es problemlos und virenfrei gelaufen ist
Das Problem:
Nach dem Start öffnen sich jedes Mal 2 Powershell-Fenster, die man dann nach einiger Zeit wegklicken muss [C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe].
Gut, man könnte sagen es ist ein Schönheitsfehler, aber die Shells sind vermutlich irgendein Rest der Vorgeschichte und die möchte man bereinigen.
Ich habe viel Zeit damit verbracht, um herauszufinden, wo die Ursache liegen könnte. Habe einige, auch ziemlich verzweifelte Versuche unternommen, z.B.:
⦁ im Task-Manager im Autostart alles deaktiviert + Neustart
⦁ mit AutoRuns noch mehr deaktiviert + Neustart
⦁ mit OOSU10 im Windows alles ausgeschaltet + Neustart
⦁ gemäss ProcessExplorer werden die beiden powershell.exe durch den Prozess "taskhostw.exe" [Hostprozess für Windows-Aufgaben] angestossen. Es sieht eventuell nach einer Windows-Geschichte aus, da weiss ich nicht, wie und wo man weitersuchen kann
⦁ die beiden powershell.exe stossen dann ihrerseits den Prozess conhost.exe an. In meiner Verzweiflung habe ich sogar in der Registry die Schlüssel "Console" gelöscht...
Es hat aber NICHTS geholfen!
Meine Fragen:
1. weiss jemand Bescheid, was die Ursache sein könnte?
2. gibt es eine Möglichkeit, alle Prozesse beim Windows-Start aufzuzeichnen um festzustellen, wie die Shells entstehen und wo man sie blockieren könnte?
[u]Die Vorgeschichte:[/u]
Meine ehem. Kollegin fing sich auf ihrem Notebook ([i]HP Compaq Presario CQ71[/i]) via E-Mail Viren ein.
Gemäss Ratschlägen aus ihrem Bekanntenkreis unternahm sie Einiges: z.B. Dateien aus der Quarantäne löschen, einen anderen Antiviren Scanner-Programm installiert usw. Da gar nichts half, gab sie dann auf. Kurz vor ihrem Urlaub brachte sie mir den Laptop, ob ich da weiterhelfen könnte.
Bin zwar kein Spezialist aber immerhin seit Windows 3.0 dabei..
[u]Ich habe Folgendes unternommen:[/u]
⦁ Laptop mit [i]Kaspersky Rescue CD 10[/i] gebootet -> Kaspersky hat einige Trojaner & Malware lokalisiert & neutralisiert
⦁ nach Neustart die neuste Version [i]Kaspersky Internet Security 2017[/i] (30 Tage Probezeit) heruntergeladen und nochmals Virenscan gestartet -> weitere Malware gefunden & neutralisiert
⦁ neuste Windows Updates installiert (Windows 10 Home, Version 1607, 64-bit)
⦁ das alte Antivirusprogramm und weitere, nach der Infektion neu installierte Programme sauber deinstalliert, und nochmals auf Viren gescannt
⦁ usw. [u]bis es problemlos und virenfrei gelaufen ist[/u]
[u][b]Das Problem:[/b][/u]
Nach dem Start öffnen sich jedes Mal 2 Powershell-Fenster, [u]die man dann nach einiger Zeit wegklicken muss[/u] [C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe].
Gut, man könnte sagen es ist ein Schönheitsfehler, aber die Shells sind vermutlich irgendein Rest der Vorgeschichte und die möchte man bereinigen.
Ich habe viel Zeit damit verbracht, um herauszufinden, wo die Ursache liegen könnte. Habe einige, auch ziemlich verzweifelte Versuche unternommen, z.B.:
⦁ im Task-Manager im Autostart alles deaktiviert + Neustart
⦁ mit [i]AutoRuns[/i] noch mehr deaktiviert + Neustart
⦁ mit [i]OOSU10[/i] im Windows alles ausgeschaltet + Neustart
⦁ gemäss [i]ProcessExplorer[/i] werden die beiden [i]powershell.exe[/i] durch den Prozess "taskhostw.exe" [Hostprozess für Windows-Aufgaben] angestossen. Es sieht eventuell nach einer Windows-Geschichte aus, da weiss ich nicht, wie und wo man weitersuchen kann
⦁ die beiden [i]powershell.exe[/i] stossen dann ihrerseits den Prozess [i]conhost.exe[/i] an. In meiner Verzweiflung habe ich sogar in der Registry die Schlüssel "Console" gelöscht...
Es hat aber NICHTS geholfen!
[u]Meine Fragen:[/u]
1. weiss jemand Bescheid, was die Ursache sein könnte?
2. gibt es eine Möglichkeit, alle Prozesse beim Windows-Start aufzuzeichnen um festzustellen, wie die Shells entstehen und wo man sie blockieren könnte?