Trojaner-Board - Unbekannter Startmenü Eintrag

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Unbekannter Startmenü Eintrag (https://www.trojaner-board.de/53197-unbekannter-startmenue-eintrag.html)

Unbekannter Startmenü Eintrag

Hallo,

da das Notebook einer Bekannten rumsponn, hab ich mir die Sache angeschaut und folgenden Eintrag im startup gefunden. wo der herkommt ist mir schleierhaft.

Windows XP home SP3, alle updates

Im angehängten Bild, sieht man in der Mitte den betreffenden Eintrag.
Auffälliges Merkmal: %computername%.vbs.

Also gesucht, gefunden, an zwei verschiedenen Orten
c:\
%systemroot%\system32\

benutzt/geöffnet wird das ganze vom MS Windows Based Script Host

löscht man den autostart eintrag, taucht er nach dem boot wieder auf.
die datei kann man nicht löschen, da sie benutzt wird...

die datei enthält folgende Einträge (lachen sie JETZT) :

****

alle Systemrelevanten Einträge werden gemacht und aktualisiert.
Meine Frage: Was ist das und wie werde ich es los.
Antivir ignoriert das ganze :headbang:

bin über jeden hinweis dankbar

Hallo SuriViruS und

http://www.mysmilie.de/generator/ablage/156/257.png

Das sieht nach einem Wurm aus einer email aus, daher mal folgendes:

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

lass auch die versteckten Dateien anzeigen!

Zitat:

c:\%computername%.vbs
c:\windows\system32\%computername%.vbs

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Hi,

und bitte den Code aus dem ersten Beitrag löschen. Das sind immer wieder Kopien desselben, dummen, schlecht programmierten Scripts, in denen nur der Name geändert wird. Wir wollen doch nicht dazu beitragen, dass alle kleinen Kinder das hier rauskopieren und damit anfangen weiter zu infizieren, oder?

Danke und Gruß, Karl

Die Wiederherstellungskonsole ist Dein Freund, nicht Dein Feind!

%ComSpec%

Zitat:

Zitat von KarlKarl (Beitrag 342035)

Oh man, die Außentemperaturen scheinen schon ihre Wirkung zu zeigen.. :headbang:

Danke @Karl .. :party: