Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Unbekannter Startmenü Eintrag (https://www.trojaner-board.de/53197-unbekannter-startmenue-eintrag.html)

SuriViruS 29.05.2008 15:12
Unbekannter Startmenü Eintrag
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,

da das Notebook einer Bekannten rumsponn, hab ich mir die Sache angeschaut und folgenden Eintrag im startup gefunden. wo der herkommt ist mir schleierhaft.

Windows XP home SP3, alle updates

Im angehängten Bild, sieht man in der Mitte den betreffenden Eintrag.
Auffälliges Merkmal: %computername%.vbs.

Also gesucht, gefunden, an zwei verschiedenen Orten
c:\
%systemroot%\system32\

benutzt/geöffnet wird das ganze vom MS Windows Based Script Host

löscht man den autostart eintrag, taucht er nach dem boot wieder auf.
die datei kann man nicht löschen, da sie benutzt wird...

die datei enthält folgende Einträge (lachen sie JETZT) :


****


alle Systemrelevanten Einträge werden gemacht und aktualisiert.
Meine Frage: Was ist das und wie werde ich es los.
Antivir ignoriert das ganze :headbang:

bin über jeden hinweis dankbar

Sunny 29.05.2008 15:16
Hallo SuriViruS und

http://www.mysmilie.de/generator/ablage/156/257.png


Das sieht nach einem Wurm aus einer email aus, daher mal folgendes:


Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Zitat:
c:\%computername%.vbs
c:\windows\system32\%computername%.vbs
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

KarlKarl 29.05.2008 16:55
Hi,

und bitte den Code aus dem ersten Beitrag löschen. Das sind immer wieder Kopien desselben, dummen, schlecht programmierten Scripts, in denen nur der Name geändert wird. Wir wollen doch nicht dazu beitragen, dass alle kleinen Kinder das hier rauskopieren und damit anfangen weiter zu infizieren, oder?

Danke und Gruß, Karl

MightyMarc 29.05.2008 17:24
Die Wiederherstellungskonsole ist Dein Freund, nicht Dein Feind!

%ComSpec%

Sunny 29.05.2008 18:40
Zitat:
Zitat von KarlKarl (Beitrag 342035)
Hi,

und bitte den Code aus dem ersten Beitrag löschen. Das sind immer wieder Kopien desselben, dummen, schlecht programmierten Scripts, in denen nur der Name geändert wird. Wir wollen doch nicht dazu beitragen, dass alle kleinen Kinder das hier rauskopieren und damit anfangen weiter zu infizieren, oder?

Danke und Gruß, Karl
Oh man, die Außentemperaturen scheinen schon ihre Wirkung zu zeigen.. :headbang:

Danke @Karl .. :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:33 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28