Virus getarnt als Powershell?
Malwarebytes zeigt mir die ganze Zeit an, dass eine Website aufgrund von Trojanern blockiert wurde. Die Website heißt "beautyiconltd.cn" und ich habe diese noch nie besucht. Laut Malwarebytes sitzt die schädliche Datei in C:/Windows/System32/WinowsPowerShell/v1.0/powershell.exe .
Ich habe diese Datei verfolgt und soweit ich weiß ist dass eine normale Datei, die Windows braucht.
Mein Windows Defender findet bei einer Überprüfung nichts.
Was soll ich machen?
Ergänzung: Malwarebytes selbst findet bei einem Scan auch keine Bedrohungen mehr, jedoch bekomme ich immernoch die Nachricht, dass die Website blockiert wurde und das alle 10 Sekunden.
Habe noch gesehen, dass Windows Powershell fast 2.000 MB Arbeitsspeicher verbraucht.
2 Antworten
Normalerweise dürfte Powershell nur im Taskmanager angezeigt werden, wenn Du ein Powershellscript gestartet hast.
Powershell.exe dürfte Sauber sein. Problematisch dürfte ein ausgeführtes Script sein. (Diese werden in der Regel nicht von Virenscannern geprüft!)
So ermittelst Du den Übeltäter:
Lass Dir im Taskmanager den Tab Details anzeigen.
Rechtsklick auf die Spaltenüberschiften. Spalte auswählen. Schalte die Spalte "Befehlszeile" ein.
Am Ende de nun eingeblendeten Befehlszeile von Powershell findest Du die ausgeführte Datei!
Bei Dir dürfte das Script nicht Demo.ps1 heißen .😏
Merke dir die Adresse , rechtsklick Task beenden.
Suche unter der angegeben Adresse das betreffende Script und lösche es oder benenne die Endung nach .txt um bzw. verschiebe es irgendwo anders hin.
Wenn es an dem ist, so muss das Script irgendwo gestartet worden sein. Dies kann nur mit Hilfe einer .EXE, .VBS, .LNK oder .CMD geschehen. (Powershellscripte lassen sich nicht direkt durch Doppelklick oder aus dem Autostart ausführen)
Ergo musst Du herausfinden "wer" dieses generiert und/oder startet.
Schau unter dem Tab Autostart nach, ob dort etwas ungewöhnliches zu finden ist. (Im Prinzip ist es kein Problem den dort gelisteten Kram per Rechtsklick zu deaktivieren).
Normale Programme im Autostart sind Cortana, googledrivesync.exe, Java Update Scheduler , OneDrive, Skype, Security notification icon, Realtek HD Audio-Manager.
Sachen von den Du nicht weißt wofür die Da sind erstmal gnadenlos deaktivieren.
Dann kannst Du Das System neu starten, und hoffen, das das Ding nicht wiederkommt.
Mach das erstmal , dann sehen wir weiter.
Kaputtgehen kann dabei erst mal nichts. Zumindest was das entfernen des Scripts betrifft.
Ich weiß nicht, was da los ist, aber du kannst die powershell.exe zusätzlich bei https://www.virustotal.com/gui/home/upload prüfen lassen.
Ich kann nur sagen, was ich machen würde: Mich sofort vom Internet trennen, PC runterfahren. Dann die Platte über eine andere Installation, also als Datenplatte, nochmal in Ruhe prüfen lassen. Wenn sie infiziert ist, Daten retten, dann platt machen und neu aufsetzen.
Ob das in deinem Fall angemessen ist, kann ich nicht einschätzen.
Habe meinen PC neugestartet und jetzt scheint alles wieder okay zu sein.
Da wird nichts Bedrohliches gefunden: "No security vendors flagged this file as malicious"