If Fileexists("C:\\.......")

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • In den Autostarts nichts Verdächtiges gefunden - solange Gangster ihre Software heutzutage nicht schon von einer root-verification-Stelle als "vertrauenswürdig" verifizieren lassen. Vermutlich erfolgt der Re-Start nicht direkt, sondern über einen priviledge elevation exploit - Ich habe ehrlich keine Ahnung, von was ich da schreibe ...
    • Der Autostart erfolgt wahrscheinlich über die Registry. Mal diesen Thread genau lesen: TROJ_SCAR.ALR
      Der Programmname usw. wird sich aber wohl inzwischen geändert haben. Ich denke mal nicht, dass er sich noch als Volleyball ausgibt.
      Um eine Neuinstallation wirst Du wohl kaum herumkommen.
      Gruß Thomas

      "Die deutsche Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen – Aber sie ist nicht Open Source, d. h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen."
      ComputerInfo für PPF
    • @Oldi-40: Ja, Autoruns als Admin gestartet. Alle *.bat durchforstet: Es sind erstaunlich viele, aber alle in plausiblen Foldern.
      Deine Vermutung, daß ich der Sache auf den Grund gehen möchte, ist richtig. Fragt sich nur, ob Grips, Zeit und Energie dazu reichen.
      Neuinstallation vorläufig nicht, ich habe eine Menge Programme darauf, und möchte die nicht alle nochmal konfigurieren müssen.
      Gruss

      EDIT: Fund: Ein WMI-Befehl mit Eintrag fuckamm2 startet cmd.exe. Hab mal das Häkchen entfernt - seit 100 min nun Ruhe.
      Mal sehen ob es so bleibt.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von p. specht ()

    • Hallo p. specht,

      also *.bat ist garantiert nicht der Übeltäter.

      Da Du der Sache auf den Grund gehen willst, brauchst Du ein externes System auf einem USB-Stick.

      Erstelle mal einen Windows 10 Installations-Stick, damit kann man Tools ausführen um den Übeltäter zu finden.

      Die andere Sache ist der Test bei Virustotal, wenn die Malware läuft.

      Tschau
    • Ich bin absolut kein Fan von Krimis, aber diesen Threads verfolge von Anfang an und sitze hier auf meinem sofa mit Popcorn und Cola und bin gespannt wie's es weitergeht. Mach dich schon mal bereit, dass die großen Bosse aus Hollywood anrufen das verfilmen wollen.
      XProfan-Semiprofi (XProfan X4a+XPIA+LemonEd)
      Ryzen 1700X/MSI B350 PC MATE/16GB RAM@2933MHz/Radeon HD7770 OC/Creative X-Fi XTreme Music/90TB HDD+256GB Samsung 960 EVO/28" Samsung 4k
      TerraMaster F4-420 mit 16TB
      XBox Classic/360S/One S/One X Scorpio Edition/PS3 Super Slim 500GB/PS4 Pro (XBL-ID: jacdelad, PSN: jacdelad84)
      OnePlus 6 8GB/256GB
      jacdelad.bplaced.net
    • Hmm... AVG schaltet beim Systemstart offenbar meine Internet-Startpage auf die normale Firebird-Übersicht mit den anklickbaren Logos der letzten Internetseiten zurück. Macht man den Firefox zu, wartet und startet ihn erneut, kommt die leere "about:blank" Seite, obwohl als Startseite nach wie vor die einfache Google-Suchseite eingetragen ist. Verdächtig?

      Ich will´s nicht verschreien, aber vorläufig kam kein wina.exe mehr in der Prozessliste des Taskmanagers vor. Der Taskmanager erwischt übrigens auch nicht alles, weil die Abfragerate relativ niedrig ist, um überhaupt was erkennen zu können. Wina.exe ist angeblich ein kleiner Proxy-Server - zumindest gab es vor hm-zehn Jahren mal einen solchen. Wenn der auch noch einen eigenen socket2 hat, dann hilft "aus dem Internet gehen" auch nichts - also: Leitung immer physisch abhängen, und WLAN abschalten. Manchmal kommen ja Autobusse vorbei, was man an der temporär eingeblendeten ÖBB-WLAN-Meldung sieht. Da war ich aber nie drin, folglich gibt es auch kein Passwort auszuspionieren.

      Die Datei mit dem chinesischen Schriftzeichen habe ich umbenannt - mal sehen, was passiert. Der Krimi geht also weiter...

      Gruss

      P.S.: @TS-Soft: Alle Angaben in der registry gesucht: Null gefunden. Dürfte ein anderer Trojaner sein.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von p. specht ()

    • Hallo p. specht,

      Virustotal ist nicht kostenpflichtig und eine Anmeldung braucht es auch nicht.

      Bei Autoruns gibt es eine Option um suspekte direkt zu Prüfen.

      Man kann es aber auch spannend machen und Google bemühen.

      Da gibt es tausende Tipps wie man "wina.exe" unschädlicht macht.

      Tschau
    • Dann suche ich jetzt noch nach dem Bagel, der auf den "Roten Knopf" fallen könnte.

      "Das Leben ist lebensgefährlich. Am besten, man bleibt im Paradies.
      Aber wer hat schon so viel Glück, unter Tausenden kaum Einer ..."
      (Frei nach Ephraim Kishon+)

      P.S.: Verdächtig war Port 228, aber SpeedGuide-Testsite sagt, die Firewalls meines Computers seien da dicht - (bzw. die meines Providers, ich sitze ja in einem gemanageten VPN statt im direkten Net. Nachteil: Keine fixe URI).

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von p. specht ()

    • Wina.exe wurde bisher gem. Taskmanager im Adminmode nicht mehr gesichtet, und auch kein File identischer Größe. AVAST sieht auch nix, und Autoruns64-Vergleichsmodus liefert keine Unterschiede. Bin aber weiter vorsichtig.

      Ausserdem: Was ist ein kleiner Tojaner schon gegen WINDOWS. Was allein der CompatTelRunner-Prozess für Daten nach Redmont liefert, weiss hier kein Mensch. Und welche Programme die 18 svchost.exe-Prozesse womit beauftragt haben, habe ich auch nie rausgekriegt.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von p. specht ()