Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ msjfmibr.scr

Geschrieben von: FreshWhyte 18.09.2013, 13:39

Hey Leute. Seit vorhin erscheint nach einem Neustart kurz folgendes Fenster und verschwindet nach nichtmal einer Sekunde wieder. Hijackthis zeigt mir folgenden Log:

O4 - HKLM\..\Policies\Explorer\Run: [51050] C:\PROGRA~3\LOCALS~1\Temp\msjfmibr.scr

Bin mir nichtmal sicher, ob ich mit diesem Anliegen hier richtig bin, aber ein Versuch ist es ja wert. Kann mir jemand sagen, was das ist?

Geschrieben von: scu 18.09.2013, 14:16

Lad die msjfmibr.scr bitte mal bei VirusTotal.com hoch und poste den Link zur Analyse hier.

Die RegSvcS.exe ist Teil von .NET (siehe z.B. hier: http://msdn.microsoft.com/de-de/library/04za0hca(v=vs.80).aspx ), aber einen Parameter /s gibt es (wie auch im Screenshot zu sehen) nicht.
Da in dem Pfad von Hijackthis keine Parameter zu sehen sind, ist es wohl die msjfmibr.scr, die den Parameter setzt.

Geschrieben von: FreshWhyte 18.09.2013, 14:26

Der Local Settings/Temp Ordner ist leer. Die Datei msjfmibr.scr liefert auch kein Suchergebniss. Deshalb kann ich die Datei leider nicht prüfen lassen. Habe vorhin lediglich mit Avast eine Startzeit-Überprüfung durchgeführt, welche keine Treffer ergab.


Des Weiteren war in meinem msconfig noch folgendes:

Systemstartelement: Games
Befehl: C/users/eqlwi/BEMZDOXYLC-FHESR-GPKGODHBIJ.vbe

In diesem Ordner befindet sich auch eine gewisse RATRI.exe welche dadurch gestartet wurde. Habe ich aber aus dem Autostart entfernt. Und das, obwohl ich nichts installiert bzw. verändert habe.

Geschrieben von: FreshWhyte 18.09.2013, 15:21

Habe den "Games" Eintrag eben mal aktiviert und geschaut was passiert. Bei Systemstart erscheint im Taskmanager 3x eine mshta.exe, eine RATRI.exe und eine singa.exe. Verschwinden aber dann auch gleich wieder. Ebenfalls erschien im Taskmanager wscript.exe *32 welche ca 270.000 K Arbeitsspeicher gebraucht hat und aber auch wieder von alleine weg war.

Eine macan.exe wurde von Avast gefunden und in den Container verschoben.


Was ist da los? confused.gif

Geschrieben von: scu 18.09.2013, 17:24

Lad die Dateien mal bei VirusTotal hoch. Ggf. musst du vorher noch versteckte Dateien und Ordner anzeigen lassen, damit du die Dateien sehen kannst.

Geschrieben von: FreshWhyte 18.09.2013, 18:04

Ich finde keine von den Dateien. confused.gif Der Eintrag Games erscheint im msconfig auch garnicht mehr. Alles sehr komisch.

Edit: Die BEMZDOXYLC-FHESR-GPKGODHBIJ.vbe habe ich noch gefunden. VirusTotal gibt grünes Licht. Das Fenster erscheint bei Systemstart dennoch kurz.

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)