Fehlermeldung nach jedem Start

[nhavy]

Hallo,

ich bekomme seit kurzem nach jedem Start oder Neustart von Windows folgende Fehlermeldung. Weiß jemand woran das liegt?
Könnte das eventuell sogar eine Schadsoftware sein?
Beim googlen nach OperationLink.Ink konnte ich nicht wirklich etwas finden.

Wäre dankbar für Hilfe.
LG

 

[CoMo]

Erstell mal ein FRST-Log. Als Admin ausführen, Haken setzen bei Shortcut.txt und Addition.txt und auf Untersuchen klicken. Im Code Tag hier posten.

 

[nhavy]

Einfach so als Beitrag mit "" ? Ist ja ziemlich lang. Oder soll ich es als Datei anhängen?

 

[CoMo]

Du kannst es auch als Anhang dranhängen.

 

[nhavy]

Alles klar, habe sie angehängt.
Vielleicht noch als Info: Ich habe heute morgen einmal Tronscript laufen lassen, da ich eine Warnung von Windows Defender bekommen hatte.

Das Problem mit der Fehlermeldung kam erst danach auf.

 

[CoMo]

Die FRST.txt fehlt.

 

[nhavy]

Ist angefügt.

 

[CoMo]

Die Malware kam mit der Rich.Ladys.Slave.Role.Play.v1.0.2.rar, die du dir per BitTorrent runtergeladen hast.

Sie wurde auch ausgeführt:

Date: 2023-03-24 10:05:27
Description:
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Tiggre!rfn&threatid=2147723625&enterprise=0
Name: Trojan:Win32/Tiggre!rfn
Schweregrad: Schwerwiegend
Kategorie: Trojaner
Pfad: amsi:_\Device\HarddiskVolume4\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Erkennungsursprung: Unbekannt
Erkennungstype: FastPath
Erkennungsquelle: AMSI
Benutzer: DESKTOP-GBN6SLN\t-mob
Prozessname: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
Sicherheitsversion: AV: 1.385.977.0, AS: 1.385.977.0, NIS: 1.385.977.0
Modulversion: AM: 1.1.20100.6, NIS: 1.1.20100.6

Das war der Dropper, der die C:\Users\t-mob\CollisionBlack.ps1 erstellt und einen Autostart-Eintrag angelegt hat.

Windows Defender hat die Datei entfernt, aber der Autostart-Eintrag ist übriggeblieben

HKU\S-1-5-21-397830827-2838657052-1721481685-1001\...\Run: [OperationLink] => cmd /c start C:\Users\t-mob\OperationLink.lnk -ep unrestricted -file C:\Users\t-mob\CollisionBlack.ps1 (Keine Datei) <==== ACHTUNG

Wenn du den entfernst, wird der Fehler verschwinden. Entweder händisch oder mit Autoruns.

Du solltest das System dennoch ab jetzt als kompromittiert betrachten und bei nächster Gelegenheit neu aufsetzen. Nach weiterer Malware habe ich jetzt nicht explizit gesucht.

 

[nhavy]

Danke für die schnelle Hilfe!
Dann werde ich es wohl einmal neu Aufsetzen.

 

[Stefcom64]

Reiche Weiber Sklaven Rollenspiel....Cool