Infiziert mit IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung

Non-English Boards Deutsch
1

Gleich nach der Micosoft-Update-Installation vom 15.06.22 erscheint ständig eine gleichlautende Meldung:
Bedrohung gesichert Wir haben powershell.exe blockiert, da es mit
IDP.HELU.CMD.Generic12 - Befehlszeilenerkennung infiziert war
Weitere Bedrohungen könnten vorhanden sein!
Meldungen der seitdem durchgeführten Startzeitüberprüfungen:
Datei C:\Windows\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.004 ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.005 ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.006 ist infiziert von PwrSh:CryptoStealer-B [Pws], In Container verschoben
Was kann ich machen?

2

Hi, teste die Dateien bei VT (https://www.virustotal.com) und poste die Ergebnislinks.

G Asyn

3

Hochladen auf Virustotal habe ich versucht.
Es kam stets eine Meldung, das ich dazu Administratorrechte benötige, obwohl ich als Administrator angemeldet war.
Ob die Meldung vom Betriebsystem oder von Avast kam, konnte ich nicht unterscheiden.
Bei den ersten beanstandeten Dateien ist mir aufgefallen, dass ihr Erstelldatum im Februar 2022 war,
also lange vor der ersten Beanstandung, die wie bereits gesagt, gleich nach dem Neustart nach er Installation der Updates war.

4

Hi, ohne VT-Analyse der Dateien kann ich leider nichts dazu sagen.

Du kannst es direkt aus der Quarantäne ans Avast-Virenlabor senden.
https://support.avast.com/de-de/article/Use-Antivirus-Quarantine

5

Habe ich gemacht, es waren 3 Dateien in der Quarantäne.
Dummerweise erhält man keine Antwort.
Noch etwas seltsames:
Die Startzeitprüfung hat nichts gefunden, aber beim darauffolgendem Start erscheint sofort die oben angeführte Meldung
und eine neue Datei ist in Quarantäne.
Was soll ich also tun?

6

Hi, ich würde erst mal abwarten, falls es ein FP ist, wird es zeitnah behoben.

G Asyn

7

Auch nach dem Avast-Update 22.6.7355.0 kam die oben angeführte Meldung wieder.
Ich habe die während einer Startzeitprüfung beanstandete Datei C:\Windows\System32\LogFiles\WMI\Diagtrack-Listener.etl.004
aus der Avast-Quarantäne in einen anderen Ordner extrahiert und dann zu Virustotal hochgeladen.
Die einzige Beanstandung kam von Avast: PwrSh:Cryptostealer-B[Pws].
Wie kriege ich die Meldung weg?

8

Klingt nach einer Infektion, poste hier: https://www.bleepingcomputer.com/forums/f/22/virus-trojan-spyware-and-malware-removal-help

G Asyn