Win10 - nach dem Start öffnen sich 2 Powershells - man muss sie jedes Mal wegklicken! [gelöst]
Win10 - nach dem Start öffnen sich 2 Powershells - man muss sie jedes Mal wegklicken!
Die Vorgeschichte:
Meine ehem. Kollegin fing sich auf ihrem Notebook (HP Compaq Presario CQ71) via E-Mail Viren ein.
Gemäss Ratschlägen aus ihrem Bekanntenkreis unternahm sie Einiges: z.B. Dateien aus der Quarantäne löschen, einen anderen Antiviren Scanner-Programm installiert usw. Da gar nichts half, gab sie dann auf. Kurz vor ihrem Urlaub brachte sie mir den Laptop, ob ich da weiterhelfen könnte.
Bin zwar kein Spezialist aber immerhin seit Windows 3.0 dabei..
Ich habe Folgendes unternommen:
⦁ Laptop mit Kaspersky Rescue CD 10 gebootet -> Kaspersky hat einige Trojaner & Malware lokalisiert & neutralisiert
⦁ nach Neustart die neuste Version Kaspersky Internet Security 2017 (30 Tage Probezeit) heruntergeladen und nochmals Virenscan gestartet -> weitere Malware gefunden & neutralisiert
⦁ neuste Windows Updates installiert (Windows 10 Home, Version 1607, 64-bit)
⦁ das alte Antivirusprogramm und weitere, nach der Infektion neu installierte Programme sauber deinstalliert, und nochmals auf Viren gescannt
⦁ usw. bis es problemlos und virenfrei gelaufen ist
Das Problem:
Nach dem Start öffnen sich jedes Mal 2 Powershell-Fenster, die man dann nach einiger Zeit wegklicken muss [C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe].
Gut, man könnte sagen es ist ein Schönheitsfehler, aber die Shells sind vermutlich irgendein Rest der Vorgeschichte und die möchte man bereinigen.
Ich habe viel Zeit damit verbracht, um herauszufinden, wo die Ursache liegen könnte. Habe einige, auch ziemlich verzweifelte Versuche unternommen, z.B.:
⦁ im Task-Manager im Autostart alles deaktiviert + Neustart
⦁ mit AutoRuns noch mehr deaktiviert + Neustart
⦁ mit OOSU10 im Windows alles ausgeschaltet + Neustart
⦁ gemäss ProcessExplorer werden die beiden powershell.exe durch den Prozess "taskhostw.exe" [Hostprozess für Windows-Aufgaben] angestossen. Es sieht eventuell nach einer Windows-Geschichte aus, da weiss ich nicht, wie und wo man weitersuchen kann
⦁ die beiden powershell.exe stossen dann ihrerseits den Prozess conhost.exe an. In meiner Verzweiflung habe ich sogar in der Registry die Schlüssel "Console" gelöscht...
Es hat aber NICHTS geholfen!
Meine Fragen:
1. weiss jemand Bescheid, was die Ursache sein könnte?
2. gibt es eine Möglichkeit, alle Prozesse beim Windows-Start aufzuzeichnen um festzustellen, wie die Shells entstehen und wo man sie blockieren könnte?
Meine ehem. Kollegin fing sich auf ihrem Notebook (HP Compaq Presario CQ71) via E-Mail Viren ein.
Gemäss Ratschlägen aus ihrem Bekanntenkreis unternahm sie Einiges: z.B. Dateien aus der Quarantäne löschen, einen anderen Antiviren Scanner-Programm installiert usw. Da gar nichts half, gab sie dann auf. Kurz vor ihrem Urlaub brachte sie mir den Laptop, ob ich da weiterhelfen könnte.
Bin zwar kein Spezialist aber immerhin seit Windows 3.0 dabei..
Ich habe Folgendes unternommen:
⦁ Laptop mit Kaspersky Rescue CD 10 gebootet -> Kaspersky hat einige Trojaner & Malware lokalisiert & neutralisiert
⦁ nach Neustart die neuste Version Kaspersky Internet Security 2017 (30 Tage Probezeit) heruntergeladen und nochmals Virenscan gestartet -> weitere Malware gefunden & neutralisiert
⦁ neuste Windows Updates installiert (Windows 10 Home, Version 1607, 64-bit)
⦁ das alte Antivirusprogramm und weitere, nach der Infektion neu installierte Programme sauber deinstalliert, und nochmals auf Viren gescannt
⦁ usw. bis es problemlos und virenfrei gelaufen ist
Das Problem:
Nach dem Start öffnen sich jedes Mal 2 Powershell-Fenster, die man dann nach einiger Zeit wegklicken muss [C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe].
Gut, man könnte sagen es ist ein Schönheitsfehler, aber die Shells sind vermutlich irgendein Rest der Vorgeschichte und die möchte man bereinigen.
Ich habe viel Zeit damit verbracht, um herauszufinden, wo die Ursache liegen könnte. Habe einige, auch ziemlich verzweifelte Versuche unternommen, z.B.:
⦁ im Task-Manager im Autostart alles deaktiviert + Neustart
⦁ mit AutoRuns noch mehr deaktiviert + Neustart
⦁ mit OOSU10 im Windows alles ausgeschaltet + Neustart
⦁ gemäss ProcessExplorer werden die beiden powershell.exe durch den Prozess "taskhostw.exe" [Hostprozess für Windows-Aufgaben] angestossen. Es sieht eventuell nach einer Windows-Geschichte aus, da weiss ich nicht, wie und wo man weitersuchen kann
⦁ die beiden powershell.exe stossen dann ihrerseits den Prozess conhost.exe an. In meiner Verzweiflung habe ich sogar in der Registry die Schlüssel "Console" gelöscht...
Es hat aber NICHTS geholfen!
Meine Fragen:
1. weiss jemand Bescheid, was die Ursache sein könnte?
2. gibt es eine Möglichkeit, alle Prozesse beim Windows-Start aufzuzeichnen um festzustellen, wie die Shells entstehen und wo man sie blockieren könnte?
-
moinmoin
- ★ Team Admin ★
- Beiträge: 59867
- Registriert: 14.11.2003, 11:12
- Hat sich bedankt: 131 Mal
- Danke erhalten: 587 Mal
- Gender:
Re: Win10 - nach dem Start öffnen sich 2 Powershells - man muss sie jedes Mal wegklicken!
Hallo Karl und 
Die ganze Zeit hättest du nutzen sollen, um Windows 10 neu zu installieren. Gerade bei einem Virenbefall ist dies die erste Wahl.
Denn sicher kannst du nicht sein, ob noch irgendetwas auf dem Rechner vorhanden ist.
Im Prinzip hast du schon soweit alles unternommen, was möglich ist.
Einzig die Aufgabenplanung, die ich vermute könnte dahinterstecken.
Aber wie gesagt, nach einem Virenbefall ist eine Neuinstallation immer besser.
Die ganze Zeit hättest du nutzen sollen, um Windows 10 neu zu installieren. Gerade bei einem Virenbefall ist dies die erste Wahl.
Denn sicher kannst du nicht sein, ob noch irgendetwas auf dem Rechner vorhanden ist.
Im Prinzip hast du schon soweit alles unternommen, was möglich ist.
Einzig die Aufgabenplanung, die ich vermute könnte dahinterstecken.
Aber wie gesagt, nach einem Virenbefall ist eine Neuinstallation immer besser.
Re: Win10 - nach dem Start öffnen sich 2 Powershells - man muss sie jedes Mal wegklicken!
...ich würde noch auf Schadsoftware tippen: Malwarebytes free ist hierfür ein gutes Removal-Tool.
https://de.malwarebytes.com/mwb-download/
beste Grüsse aus der Schweiz,
Tino
https://de.malwarebytes.com/mwb-download/
beste Grüsse aus der Schweiz,
Tino
Re: Win10 - nach dem Start öffnen sich 2 Powershells - man muss sie jedes Mal wegklicken! [gelöst]
Sorry war 'ne Zeit lang weg.
Also, zuerst habe ich mit Malwarebytes free experimentiert -> nichts Böses gefunden, aber danke Tino für den Tipp aus der Schweiz!
Schlussendlich war es zwar nicht der Gärtner, aber, danke moinmoin, du hast meine schöpferische Energie in die richtige Richtung gelenkt und meine Vermutung unterstützt, es war die Aufgabenplanung in der Computerverwaltung.
Zwei Aufgaben bereits gelöschter und "vergessener" Processe, die beim Trigger: "Bei der Anmeldung eines Benutzers" aktiviert wurden.
Sie haben eine taskhostw.exe und dann den Prozess conhost.exe angestossen.
Habe sie gelöscht und weg waren sie, die shells, forever, so hoffe ich!
Damit haben wir die Aufgabe mit Eure Hilfe gelöst , danke!
Also, zuerst habe ich mit Malwarebytes free experimentiert -> nichts Böses gefunden, aber danke Tino für den Tipp aus der Schweiz!
Schlussendlich war es zwar nicht der Gärtner, aber, danke moinmoin, du hast meine schöpferische Energie in die richtige Richtung gelenkt und meine Vermutung unterstützt, es war die Aufgabenplanung in der Computerverwaltung.
Zwei Aufgaben bereits gelöschter und "vergessener" Processe, die beim Trigger: "Bei der Anmeldung eines Benutzers" aktiviert wurden.
Sie haben eine taskhostw.exe und dann den Prozess conhost.exe angestossen.
Habe sie gelöscht und weg waren sie, die shells, forever, so hoffe ich!
Damit haben wir die Aufgabe mit Eure Hilfe gelöst , danke!