Avast WEBforum

Non-English Zone => Deutsch => Topic started by: berwen on June 19, 2022, 11:18:28 AM

Title: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
Post by: berwen on June 19, 2022, 11:18:28 AM
Gleich nach der Micosoft-Update-Installation vom 15.06.22 erscheint ständig eine gleichlautende Meldung:
Bedrohung gesichert Wir haben powershell.exe blockiert, da es mit
IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung infiziert war
Weitere Bedrohungen könnten vorhanden sein!
Meldungen der seitdem durchgeführten Startzeitüberprüfungen:
Datei C:\Windows\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.004 ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.005 ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.006 ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Was kann ich machen?
Title: Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
Post by: Asyn on June 19, 2022, 12:18:06 PM
Hi, teste die Dateien bei VT (https://www.virustotal.com) und poste die Ergebnislinks.

G Asyn
Title: Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
Post by: berwen on June 19, 2022, 01:58:33 PM
Hochladen auf Virustotal habe ich versucht.
Es kam stets eine Meldung, das ich dazu Administratorrechte benötige, obwohl ich als Administrator angemeldet war.
Ob die Meldung vom Betriebsystem oder von Avast kam, konnte ich nicht unterscheiden.
Bei den ersten beanstandeten Dateien ist mir aufgefallen, dass ihr Erstelldatum im Februar 2022 war,
also lange vor der ersten Beanstandung, die wie bereits gesagt, gleich nach dem Neustart nach er Installation der Updates war.
Title: Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
Post by: Asyn on June 19, 2022, 02:32:22 PM
Hi, ohne VT-Analyse der Dateien kann ich leider nichts dazu sagen.

Du kannst es direkt aus der Quarantäne ans Avast-Virenlabor senden.
-> https://support.avast.com/de-de/article/Use-Antivirus-Quarantine
Title: Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
Post by: berwen on June 20, 2022, 02:03:27 PM
Habe ich gemacht, es waren 3 Dateien in der Quarantäne.
Dummerweise erhält man keine Antwort.
Noch etwas seltsames:
Die Startzeitprüfung hat nichts gefunden, aber beim darauffolgendem Start erscheint sofort die oben angeführte Meldung
und eine neue Datei ist in Quarantäne.
Was soll ich also tun?
Title: Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
Post by: Asyn on June 20, 2022, 02:11:14 PM
Hi, ich würde erst mal abwarten, falls es ein FP ist, wird es zeitnah behoben.

G Asyn
Title: Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
Post by: berwen on June 29, 2022, 04:33:38 PM
Auch nach dem Avast-Update 22.6.7355.0 kam die oben angeführte Meldung wieder.
Ich habe die während einer Startzeitprüfung beanstandete Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.004
aus der Avast-Quarantäne in einen anderen Ordner extrahiert und dann zu Virustotal hochgeladen.
Die einzige Beanstandung kam von Avast: PwrSh:Cryptostealer-B[Pws].
Wie kriege ich die Meldung weg?
Title: Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
Post by: Asyn on June 29, 2022, 05:17:46 PM
Klingt nach einer Infektion, poste hier: https://www.bleepingcomputer.com/forums/f/22/virus-trojan-spyware-and-malware-removal-help

G Asyn