In den Autostarts nichts Verdächtiges gefunden - solange Gangster ihre Software heutzutage nicht schon von einer root-verification-Stelle als "vertrauenswürdig" verifizieren lassen. Vermutlich erfolgt der Re-Start nicht direkt, sondern über einen priviledge elevation exploit - Ich habe ehrlich keine Ahnung, von was ich da schreibe ...
If Fileexists("C:\\.......")
-
-
-
Der Autostart erfolgt wahrscheinlich über die Registry. Mal diesen Thread genau lesen: TROJ_SCAR.ALR
Der Programmname usw. wird sich aber wohl inzwischen geändert haben. Ich denke mal nicht, dass er sich noch als Volleyball ausgibt.
Um eine Neuinstallation wirst Du wohl kaum herumkommen. -
Hallo p. specht,
In den Autostarts nichts Verdächtiges gefunden
Meinst Du bei Autoruns?
Hast Du Autoruns mal als Administrator gestartet?
Ob Du eine Neuinstallation willst, kann ich nicht sagen.
Ich vermute Du willst der Mal(e)ware den Zahn ziehen, ihr auf die Spur kommen.
- Keine Ahnung ob ich da richtig liege.Tschau
-
@Oldi-40: Ja, Autoruns als Admin gestartet. Alle *.bat durchforstet: Es sind erstaunlich viele, aber alle in plausiblen Foldern.
Deine Vermutung, daß ich der Sache auf den Grund gehen möchte, ist richtig. Fragt sich nur, ob Grips, Zeit und Energie dazu reichen.
Neuinstallation vorläufig nicht, ich habe eine Menge Programme darauf, und möchte die nicht alle nochmal konfigurieren müssen.
GrussEDIT: Fund: Ein WMI-Befehl mit Eintrag fuckamm2 startet cmd.exe. Hab mal das Häkchen entfernt - seit 100 min nun Ruhe.
Mal sehen ob es so bleibt. -
Hallo p. specht,
also *.bat ist garantiert nicht der Übeltäter.
Da Du der Sache auf den Grund gehen willst, brauchst Du ein externes System auf einem USB-Stick.
Erstelle mal einen Windows 10 Installations-Stick, damit kann man Tools ausführen um den Übeltäter zu finden.
Die andere Sache ist der Test bei Virustotal, wenn die Malware läuft.
Tschau
-
Ich bin absolut kein Fan von Krimis, aber diesen Threads verfolge von Anfang an und sitze hier auf meinem sofa mit Popcorn und Cola und bin gespannt wie's es weitergeht. Mach dich schon mal bereit, dass die großen Bosse aus Hollywood anrufen das verfilmen wollen.
-
Hmm... AVG schaltet beim Systemstart offenbar meine Internet-Startpage auf die normale Firebird-Übersicht mit den anklickbaren Logos der letzten Internetseiten zurück. Macht man den Firefox zu, wartet und startet ihn erneut, kommt die leere "about:blank" Seite, obwohl als Startseite nach wie vor die einfache Google-Suchseite eingetragen ist. Verdächtig?
Ich will´s nicht verschreien, aber vorläufig kam kein wina.exe mehr in der Prozessliste des Taskmanagers vor. Der Taskmanager erwischt übrigens auch nicht alles, weil die Abfragerate relativ niedrig ist, um überhaupt was erkennen zu können. Wina.exe ist angeblich ein kleiner Proxy-Server - zumindest gab es vor hm-zehn Jahren mal einen solchen. Wenn der auch noch einen eigenen socket2 hat, dann hilft "aus dem Internet gehen" auch nichts - also: Leitung immer physisch abhängen, und WLAN abschalten. Manchmal kommen ja Autobusse vorbei, was man an der temporär eingeblendeten ÖBB-WLAN-Meldung sieht. Da war ich aber nie drin, folglich gibt es auch kein Passwort auszuspionieren.
Die Datei mit dem chinesischen Schriftzeichen habe ich umbenannt - mal sehen, was passiert. Der Krimi geht also weiter...
Gruss
P.S.: ts-soft: Alle Angaben in der registry gesucht: Null gefunden. Dürfte ein anderer Trojaner sein.
-
Hallo p. specht,
warum lässt Du die "wina.exe" nicht bei Virustotal überprüfen?
Wina.exe ist angeblich ein kleiner Proxy-Server
Nach der Prüfung gibt es dann keine Spekulationen mehr.
Wenn das Teil 10 Jahre alt ist findet es seine Mutti nicht mehr.Tschau
-
Ich denke, Anmeldung erforderlich - dann kostenpflichtig.
P.S.: Bisher kein Restart von wina.exe. Dein Tipp mit AutoRuns64 war goldrichtig!
-
Hallo p. specht,
Virustotal ist nicht kostenpflichtig und eine Anmeldung braucht es auch nicht.
Bei Autoruns gibt es eine Option um suspekte direkt zu Prüfen.
Man kann es aber auch spannend machen und Google bemühen.
Da gibt es tausende Tipps wie man "wina.exe" unschädlicht macht.
Tschau
-
War da nicht was mit "Impossible" ?
Externer Inhalt www.youtube.comInhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt. -
Dann suche ich jetzt noch nach dem Bagel, der auf den "Roten Knopf" fallen könnte.
"Das Leben ist lebensgefährlich. Am besten, man bleibt im Paradies.
Aber wer hat schon so viel Glück, unter Tausenden kaum Einer ..."
(Frei nach Ephraim Kishon+)P.S.: Verdächtig war Port 228, aber SpeedGuide-Testsite sagt, die Firewalls meines Computers seien da dicht - (bzw. die meines Providers, ich sitze ja in einem gemanageten VPN statt im direkten Net. Nachteil: Keine fixe URI).
-
Hallo p. specht,
ich habe Autoruns mal frisch auf einem Rechner installiert. Da muss man wirklich die Geschäftsbedingungen einmal akzeptieren.
Danach kann man testen und bekommt nach wenigen Sekunden ein Ergebnis.
Ich bin gespannt ob Du den Feind erlegt hast.
Tschau
-
Wina.exe wurde bisher gem. Taskmanager im Adminmode nicht mehr gesichtet, und auch kein File identischer Größe. AVAST sieht auch nix, und Autoruns64-Vergleichsmodus liefert keine Unterschiede. Bin aber weiter vorsichtig.
Ausserdem: Was ist ein kleiner Tojaner schon gegen WINDOWS. Was allein der CompatTelRunner-Prozess für Daten nach Redmont liefert, weiss hier kein Mensch. Und welche Programme die 18 svchost.exe-Prozesse womit beauftragt haben, habe ich auch nie rausgekriegt.
-
Oh my: Quarks-Beitrag zu Ransomware-Trojanern. Mir ist übel ...
-
@Oldi-40: Nochmals vielen Dank für den guten Tipp mit AutoRuns64. Bisher ist wieder alles OK.
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!