Author Topic: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung  (Read 809 times)

0 Members and 1 Guest are viewing this topic.

Offline berwen

  • Jr. Member
  • **
  • Posts: 34
Gleich nach der Micosoft-Update-Installation vom 15.06.22 erscheint ständig eine gleichlautende Meldung:
Bedrohung gesichert Wir haben powershell.exe blockiert, da es mit
IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung infiziert war
Weitere Bedrohungen könnten vorhanden sein!
Meldungen der seitdem durchgeführten Startzeitüberprüfungen:
Datei C:\Windows\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.004 ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.005 ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.006 ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Was kann ich machen?

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76118
  • Urlaub/Vacation
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
« Reply #1 on: June 19, 2022, 12:18:06 PM »
Hi, teste die Dateien bei VT (https://www.virustotal.com) und poste die Ergebnislinks.

G Asyn
W8.1 [x64] - Avast PremSec 22.7.7366.BC [UI.713] - Firefox ESR 91.11 [NS/uBO/PB] - Thunderbird 91.11
Avast-Tools: Secure Browser 103.0 - Cleanup 22.2 - SecureLine 5.18 - DriverUpdater 22.2 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline berwen

  • Jr. Member
  • **
  • Posts: 34
Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
« Reply #2 on: June 19, 2022, 01:58:33 PM »
Hochladen auf Virustotal habe ich versucht.
Es kam stets eine Meldung, das ich dazu Administratorrechte benötige, obwohl ich als Administrator angemeldet war.
Ob die Meldung vom Betriebsystem oder von Avast kam, konnte ich nicht unterscheiden.
Bei den ersten beanstandeten Dateien ist mir aufgefallen, dass ihr Erstelldatum im Februar 2022 war,
also lange vor der ersten Beanstandung, die wie bereits gesagt, gleich nach dem Neustart nach er Installation der Updates war.

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76118
  • Urlaub/Vacation
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
« Reply #3 on: June 19, 2022, 02:32:22 PM »
Hi, ohne VT-Analyse der Dateien kann ich leider nichts dazu sagen.

Du kannst es direkt aus der Quarantäne ans Avast-Virenlabor senden.
-> https://support.avast.com/de-de/article/Use-Antivirus-Quarantine
W8.1 [x64] - Avast PremSec 22.7.7366.BC [UI.713] - Firefox ESR 91.11 [NS/uBO/PB] - Thunderbird 91.11
Avast-Tools: Secure Browser 103.0 - Cleanup 22.2 - SecureLine 5.18 - DriverUpdater 22.2 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline berwen

  • Jr. Member
  • **
  • Posts: 34
Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
« Reply #4 on: June 20, 2022, 02:03:27 PM »
Habe ich gemacht, es waren 3 Dateien in der Quarantäne.
Dummerweise erhält man keine Antwort.
Noch etwas seltsames:
Die Startzeitprüfung hat nichts gefunden, aber beim darauffolgendem Start erscheint sofort die oben angeführte Meldung
und eine neue Datei ist in Quarantäne.
Was soll ich also tun?

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76118
  • Urlaub/Vacation
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
« Reply #5 on: June 20, 2022, 02:11:14 PM »
Hi, ich würde erst mal abwarten, falls es ein FP ist, wird es zeitnah behoben.

G Asyn
W8.1 [x64] - Avast PremSec 22.7.7366.BC [UI.713] - Firefox ESR 91.11 [NS/uBO/PB] - Thunderbird 91.11
Avast-Tools: Secure Browser 103.0 - Cleanup 22.2 - SecureLine 5.18 - DriverUpdater 22.2 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0

Offline berwen

  • Jr. Member
  • **
  • Posts: 34
Re: Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung
« Reply #6 on: June 29, 2022, 04:33:38 PM »
Auch nach dem Avast-Update 22.6.7355.0 kam die oben angeführte Meldung wieder.
Ich habe die während einer Startzeitprüfung beanstandete Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.004
aus der Avast-Quarantäne in einen anderen Ordner extrahiert und dann zu Virustotal hochgeladen.
Die einzige Beanstandung kam von Avast: PwrSh:Cryptostealer-B[Pws].
Wie kriege ich die Meldung weg?

Offline Asyn

  • Avast Überevangelist
  • Certainly Bot
  • *****
  • Posts: 76118
  • Urlaub/Vacation
    • >>>  Avast Forum - Deutschsprachiger Bereich  <<<
W8.1 [x64] - Avast PremSec 22.7.7366.BC [UI.713] - Firefox ESR 91.11 [NS/uBO/PB] - Thunderbird 91.11
Avast-Tools: Secure Browser 103.0 - Cleanup 22.2 - SecureLine 5.18 - DriverUpdater 22.2 - CCleaner 6.01
Avast Wissenswertes (Downloads, Anleitungen & Infos): https://forum.avast.com/index.php?topic=60523.0