Forum Mjukvara Microsoft Windows Tråd

PowerShell error meddelande

1
Skriv svar
Permalänk
Medlem

PowerShell error meddelande

Hej

Har haft en powershell som poppat upp speciellt vid start av datorn och idag såg jag denna texten.

"Exception calling "Load" with "1" argument(s): "Det går inte att läsa in filen eller sammansättningen 241664 bytes load
ed from Anonymously Hosted DynamicMethods Assembly, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null eller ett av
dess beroenden. Ett försök att läsa in ett program med ogiltigt format gjordes."
At line:1 char:1
+ [System.Reflection.Assembly]::Load([System.Convert]::FromBase64String ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [], MethodInvocationException
+ FullyQualifiedErrorId : BadImageFormatException

PS C:\WINDOWS\system32>"

Vad är det som händer eller vad är det som inte hände denna gången?

Senast redigerat felstavning
Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
Permalänk
Keeper of the Bamse

Hm. "Load([System.Convert]::FromBase64String" Betyder kanske att det ligger ett powershell-skript i autostart som är såkallad "Obfuscated powershell. Kolla igenom din autostart.

Visa signatur

i7 10770K, NH-D15. 16GB corsair. RTX 3080. 3TB nvme. Samsung G9. Fractal Torrent Compact. Corsair RM850.
Logitech G pro wireless mouse. Logitech TKL915 wireless. Logitech Pro X Wireless.
Macbook M3 (16GB, 512GB). HP Reverb G2.
www.bamseclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Printscreen:

Hm. "Load([System.Convert]::FromBase64String" Betyder kanske att det ligger ett powershell-skript i autostart som är såkallad "Obfuscated powershell. Kolla igenom din autostart.

Gå till inlägget

Tack, hittar inget alls med powershell.

Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av ToddeSwe:

Tack, hittar inget alls med powershell.

https://www.dropbox.com/s/h1zbo54vnkirec5/Autostart.jpg?dl=0

Gå till inlägget

Shit vad mycket skräp du har i autostart. Du verkar ha 3x så många autostartande program som jag har på min dator. Kan verkligen rekommendera en utrensning. Och då får nog gå igenom dem en och en för att veta om det är PowerShell som gömmer sig där, för det är ju inte vidare svårt att ge dem ett namn och en icon så att man tror att det är något annat.

Visa signatur

Använd gilla för att markera nyttiga inlägg!

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

@ToddeSwe Håller med inlägget ovan, men framför allt Taskmgr.vbs känns extremt tveksamt. Låter precis som något fult som försöker dölja sig under ett "trovärdigt namn". Samma gäller Taskmgr som ligger precis ovanför.

Håller HELT klart med ovanstående att du bör rensa rejält, men framför allt de två. Någon anti-malware-scan skulle nog inte sitta fel direkt heller.
Jag har 25 saker under Startup på min dator, men av dem har jag själv stängt av 13.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av giplet:

Shit vad mycket skräp du har i autostart. Du verkar ha 3x så många autostartande program som jag har på min dator. Kan verkligen rekommendera en utrensning. Och då får nog gå igenom dem en och en för att veta om det är PowerShell som gömmer sig där, för det är ju inte vidare svårt att ge dem ett namn och en icon så att man tror att det är något annat.

Gå till inlägget

Och då är det bara en del av listan du ser på bilden.
Det är år av installationer och har aldrig ens tänk på detta. Hur går man igenom dom och kollar vad dom gör?
Vad är viktigt att starta med datorn?

Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Thomas:

@ToddeSwe Håller med inlägget ovan, men framför allt Taskmgr.vbs känns extremt tveksamt. Låter precis som något fult som försöker dölja sig under ett "trovärdigt namn". Samma gäller Taskmgr som ligger precis ovanför.

Håller HELT klart med ovanstående att du bör rensa rejält, men framför allt de två. Någon anti-malware-scan skulle nog inte sitta fel direkt heller.
Jag har 25 saker under Startup på min dator, men av dem har jag själv stängt av 13.

Gå till inlägget

Tack, jag har kört tdsskiller några gånger, kan du rekommendera något bra gratis alternativ?

Vågar inte stänga av bara så där... men ska kolla listan iaf.

Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
Permalänk
Keeper of the Bamse
Skrivet av ToddeSwe:

Tack, jag har kört tdsskiller några gånger, kan du rekommendera något bra gratis alternativ?

Vågar inte stänga av bara så där... men ska kolla listan iaf.

Gå till inlägget

Har du kört tdsskiller lokalt på datorn? Chansen är att dina virus/rootkits döljer sig för antivirus-mjukvara det första dom gör.

Jag tror din dator är totalägd, jag hade bara installerat om Windows, med bara systemdisken i (om du har andra diskar) och sen stoppa i andra diskarna och scanna dem med antivirus-mjukvara. Windows egna är bra nog.

Visa signatur

i7 10770K, NH-D15. 16GB corsair. RTX 3080. 3TB nvme. Samsung G9. Fractal Torrent Compact. Corsair RM850.
Logitech G pro wireless mouse. Logitech TKL915 wireless. Logitech Pro X Wireless.
Macbook M3 (16GB, 512GB). HP Reverb G2.
www.bamseclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Printscreen:

Har du kört tdsskiller lokalt på datorn? Chansen är att dina virus/rootkits döljer sig för antivirus-mjukvara det första dom gör.

Jag tror din dator är totalägd, jag hade bara installerat om Windows, med bara systemdisken i (om du har andra diskar) och sen stoppa i andra diskarna och scanna dem med antivirus-mjukvara. Windows egna är bra nog.

Gå till inlägget

Ja jag kollade nyss i Windows egna och den hade hittat ett hot som den sa inte var allvarligt men det var en misstänksam verksamhet med powershell stod det så jag kör en full scan nu. Men du har nog rätt att installera om windows. Kan man inte bara ta återställ med alla program? SÅ jävla mycket jobb att återställa allt. Kör ju Acronis backup men då för jag ju bara över samma problem igen.

Ska köra Windows defender offline sen och blir det inga hot där så får vi se... Drar mig som fan för att installera om.

Vad menar du med lokalt på datorn? Jag har en exe fil som jag kör från datorn.

Senast redigerat glömde en sak
Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
Permalänk
Medlem

Fått samma hot igen nu och det heter: uwamson-aml, men kan man lita på att programmet under till i länken är på riktigt och inte något som fuckar upp min dator ännu mer för det har jag varit med om en gång.

https://howtofix.guide/programwin32-uwamson-aml/

Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
Permalänk
Medlem

Här är en skärmdump på hotet:

https://www.dropbox.com/s/72ig7dgmang5iqg/Uwamson.jpg?dl=0

Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
Permalänk
Keeper of the Bamse
Skrivet av ToddeSwe:

Ja jag kollade nyss i Windows egna och den hade hittat ett hot som den sa inte var allvarligt men det var en misstänksam verksamhet med powershell stod det så jag kör en full scan nu. Men du har nog rätt att installera om windows. Kan man inte bara ta återställ med alla program? SÅ jävla mycket jobb att återställa allt. Kör ju Acronis backup men då för jag ju bara över samma problem igen.

Ska köra Windows defender offline sen och blir det inga hot där så får vi se... Drar mig som fan för att installera om.

Vad menar du med lokalt på datorn? Jag har en exe fil som jag kör från datorn.

Gå till inlägget

Det spelar nog ingen roll och du är uppkopplad eller inte när du kör. Problemet med att köra antivirus på en redan infekterad dator är att ofta spelar det ingen roll. Viruset berättar för ditt antivirus att allt är lugnt, så att säga.

Motsatsen till "lokalt på datorn" är att stoppa in disken i en "ren" dator och scanna disken från ett annat operativsystem som inte är infekterat.

Men, ingen här vet vad du har för något på datorn, och eftersom du har VBS som körs vid uppstart, och (troligen) obfuskerade powershell-script, så kan jag lova att det kommer ta längre tid att rensa det här, än det tar att bara bita i sura äpplet och installera om.

Vid nästa ominstallation, stäng inte av UAC, och kör inbyggda antivirusprogrammet som kommer med Windows.

Tråkigt som sjutton, men se det som lite söndagsnöje att installera om Windows och alla program?

Visa signatur

i7 10770K, NH-D15. 16GB corsair. RTX 3080. 3TB nvme. Samsung G9. Fractal Torrent Compact. Corsair RM850.
Logitech G pro wireless mouse. Logitech TKL915 wireless. Logitech Pro X Wireless.
Macbook M3 (16GB, 512GB). HP Reverb G2.
www.bamseclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Printscreen:

Det spelar nog ingen roll och du är uppkopplad eller inte när du kör. Problemet med att köra antivirus på en redan infekterad dator är att ofta spelar det ingen roll. Viruset berättar för ditt antivirus att allt är lugnt, så att säga.

Motsatsen till "lokalt på datorn" är att stoppa in disken i en "ren" dator och scanna disken från ett annat operativsystem som inte är infekterat.

Men, ingen här vet vad du har för något på datorn, och eftersom du har VBS som körs vid uppstart, och (troligen) obfuskerade powershell-script, så kan jag lova att det kommer ta längre tid att rensa det här, än det tar att bara bita i sura äpplet och installera om.

Vid nästa ominstallation, stäng inte av UAC, och kör inbyggda antivirusprogrammet som kommer med Windows.

Tråkigt som sjutton, men se det som lite söndagsnöje att installera om Windows och alla program?

Gå till inlägget

Du har rätt men fan det är flera år av inställningar och skit som ska tillbaka. Får väl "bita i äpplet snart" för jag hade 16 hot enligt mailwarebytes nyss.

Tack för svar!

P.S Jag kom på en sak, jag har en version av windows som jag fick uppgraderad till fullversion som jag inte vill bli av med. Hur går det med den vid en ny installation?
D.S

Senast redigerat Glömde en sak
Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
Permalänk
Medlem

Kollade i min PowerShell mapp nyss och blir lite mysko på dom två omdöpta filerna powershell.exe och powershell.exe.config som fått nya namn, är det så att man har bytt ut min riktiga powershell mot sin skadliga programvara och bara döpt om mina filer för att dom är skyddade mot radering?!

Se bild: https://www.dropbox.com/s/ph20xdgbhtgc3l2/PowerShell_folder.j...

Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
Permalänk
Keeper of the Bamse
Skrivet av ToddeSwe:

Du har rätt men fan det är flera år av inställningar och skit som ska tillbaka. Får väl "bita i äpplet snart" för jag hade 16 hot enligt mailwarebytes nyss.

Tack för svar!

P.S Jag kom på en sak, jag har en version av windows som jag fick uppgraderad till fullversion som jag inte vill bli av med. Hur går det med den vid en ny installation?
D.S

Gå till inlägget

Din licens av Windows bör vara länkad till ditt microsoftkonto, om du högerklickar på startmenyn och väljer "system" (fjärde uppifrån), och sen klickar på "Change product key or upgrade your edition of Windows" så kan du se status där. Min ser ut såhär:

När du sen installerar, t.ex. via Windows creation tool så kan du klicka på alternativet "Jag har ingen nyckel", då kan du aktivera inne i Windows sen, förutsatt att du loggar in med samma MS-konto.

Visa signatur

i7 10770K, NH-D15. 16GB corsair. RTX 3080. 3TB nvme. Samsung G9. Fractal Torrent Compact. Corsair RM850.
Logitech G pro wireless mouse. Logitech TKL915 wireless. Logitech Pro X Wireless.
Macbook M3 (16GB, 512GB). HP Reverb G2.
www.bamseclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem

Hej

Hittade detta och nu har jag inte några hot i defender mer:

"Windows Defender is defaulted to scan its own "Scans/History". Resulting in the discovery of the malware over

and over again. Even though, other scanners see no evidence of the malware on the PC. It doesn't exist!

Until Microsoft sees fit to fix this problem, you can prevent the repeating error indication, by deleting the

items that are described in Windows Defender Protection History. You can delete them by accessing their files,

that are located in C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service.

In the "Service" folder, find and delete "Detection History".

Note: ProgramData is a hidden file. In order to access it, the "Hidden Items" option in "File Explorer" must be

checked. Find the "Hidden Items" check box under the "View Tab".

And, the first time that you access "Scans", you must select "continue", to obtain the permission.

Restart and try another scan. Notifications for the current malware should stop.

However, this program miscue will probably reoccur, when the next PUP / Malware is encountered. "

Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
Permalänk
Keeper of the Bamse
Skrivet av ToddeSwe:

Hej

Hittade detta och nu har jag inte några hot i defender mer:

"Windows Defender is defaulted to scan its own "Scans/History". Resulting in the discovery of the malware over

and over again. Even though, other scanners see no evidence of the malware on the PC. It doesn't exist!

Until Microsoft sees fit to fix this problem, you can prevent the repeating error indication, by deleting the

items that are described in Windows Defender Protection History. You can delete them by accessing their files,

that are located in C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service.

In the "Service" folder, find and delete "Detection History".

Note: ProgramData is a hidden file. In order to access it, the "Hidden Items" option in "File Explorer" must be

checked. Find the "Hidden Items" check box under the "View Tab".

And, the first time that you access "Scans", you must select "continue", to obtain the permission.

Restart and try another scan. Notifications for the current malware should stop.

However, this program miscue will probably reoccur, when the next PUP / Malware is encountered. "

Gå till inlägget

Var hittade du detta? Om du bara hittade det nånstans på internet så är det ju inte bra tips att följa, att bara ta bort filer och sen lita på "Just trust me bro".

Så, är allt borta ur din autostart nu när Windows Defender inte hittar några hot?

Visa signatur

i7 10770K, NH-D15. 16GB corsair. RTX 3080. 3TB nvme. Samsung G9. Fractal Torrent Compact. Corsair RM850.
Logitech G pro wireless mouse. Logitech TKL915 wireless. Logitech Pro X Wireless.
Macbook M3 (16GB, 512GB). HP Reverb G2.
www.bamseclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Printscreen:

Var hittade du detta? Om du bara hittade det nånstans på internet så är det ju inte bra tips att följa, att bara ta bort filer och sen lita på "Just trust me bro".

Så, är allt borta ur din autostart nu när Windows Defender inte hittar några hot?

Gå till inlägget

Jag Googlade på mitt problem och fick fram denna sidan: https://answers.microsoft.com/en-us/protect/forum/all/i-found...

Längst ned kan man läsa om detta och att windows återskapar denna historik. Dom kalalr det för false positive. Läs sidan så förstår du.

Ingen annan antimailware mjukvara jag har kört på datorn hittar just detta problemet. Idag testade jag ett annat av tipsen i länken du fick "Superantispyware" och den hittade bara en massa kakor i firefox som inte var ok. Dom är nu borttagna.

Känner nog att mitt system har fått en uppsving av det jag har gjort. Inte sett till PowerShell heller sedan jag gjorde detta.

Visa signatur

ToddeSwe
Model : ASUS Sabertooth 990FX/GEN3 R2.0 Chassis : Corsair 300R : BIOS: Always latest Total Memory : 16GB DIMM DDR3 1333 Processor : AMD FX6300 Socket AM3+

Redigera
Citera flera Citera
1
Skriv svar