Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> msjfmibr.scr
FreshWhyte
Beitrag 18.09.2013, 13:39
Beitrag #1



Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 18.09.2013
Mitglieds-Nr.: 9.701

Betriebssystem:
Windows 7 SP1^
Virenscanner:
Avast



Hey Leute. Seit vorhin erscheint nach einem Neustart kurz folgendes Fenster und verschwindet nach nichtmal einer Sekunde wieder. Hijackthis zeigt mir folgenden Log:

O4 - HKLM\..\Policies\Explorer\Run: [51050] C:\PROGRA~3\LOCALS~1\Temp\msjfmibr.scr

Bin mir nichtmal sicher, ob ich mit diesem Anliegen hier richtig bin, aber ein Versuch ist es ja wert. Kann mir jemand sagen, was das ist?

Angehängte Datei  123.jpg ( 92.65KB ) Anzahl der Downloads: 24
Go to the top of the page
 
+Quote Post
scu
Beitrag 18.09.2013, 14:16
Beitrag #2



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.187
Mitglied seit: 07.08.2007
Mitglieds-Nr.: 6.352
Virenscanner:
G Data



Lad die msjfmibr.scr bitte mal bei VirusTotal.com hoch und poste den Link zur Analyse hier.

Die RegSvcS.exe ist Teil von .NET (siehe z.B. hier: http://msdn.microsoft.com/de-de/library/04...a(v=vs.80).aspx ), aber einen Parameter /s gibt es (wie auch im Screenshot zu sehen) nicht.
Da in dem Pfad von Hijackthis keine Parameter zu sehen sind, ist es wohl die msjfmibr.scr, die den Parameter setzt.

Der Beitrag wurde von scu bearbeitet: 18.09.2013, 14:18
Go to the top of the page
 
+Quote Post
FreshWhyte
Beitrag 18.09.2013, 14:26
Beitrag #3


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 18.09.2013
Mitglieds-Nr.: 9.701

Betriebssystem:
Windows 7 SP1^
Virenscanner:
Avast



Der Local Settings/Temp Ordner ist leer. Die Datei msjfmibr.scr liefert auch kein Suchergebniss. Deshalb kann ich die Datei leider nicht prüfen lassen. Habe vorhin lediglich mit Avast eine Startzeit-Überprüfung durchgeführt, welche keine Treffer ergab.


Des Weiteren war in meinem msconfig noch folgendes:

Systemstartelement: Games
Befehl: C/users/eqlwi/BEMZDOXYLC-FHESR-GPKGODHBIJ.vbe

In diesem Ordner befindet sich auch eine gewisse RATRI.exe welche dadurch gestartet wurde. Habe ich aber aus dem Autostart entfernt. Und das, obwohl ich nichts installiert bzw. verändert habe.
Go to the top of the page
 
+Quote Post
FreshWhyte
Beitrag 18.09.2013, 15:21
Beitrag #4


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 18.09.2013
Mitglieds-Nr.: 9.701

Betriebssystem:
Windows 7 SP1^
Virenscanner:
Avast



Habe den "Games" Eintrag eben mal aktiviert und geschaut was passiert. Bei Systemstart erscheint im Taskmanager 3x eine mshta.exe, eine RATRI.exe und eine singa.exe. Verschwinden aber dann auch gleich wieder. Ebenfalls erschien im Taskmanager wscript.exe *32 welche ca 270.000 K Arbeitsspeicher gebraucht hat und aber auch wieder von alleine weg war.

Eine macan.exe wurde von Avast gefunden und in den Container verschoben.


Was ist da los? confused.gif

Der Beitrag wurde von FreshWhyte bearbeitet: 18.09.2013, 15:23
Go to the top of the page
 
+Quote Post
scu
Beitrag 18.09.2013, 17:24
Beitrag #5



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.187
Mitglied seit: 07.08.2007
Mitglieds-Nr.: 6.352
Virenscanner:
G Data



Lad die Dateien mal bei VirusTotal hoch. Ggf. musst du vorher noch versteckte Dateien und Ordner anzeigen lassen, damit du die Dateien sehen kannst.
Go to the top of the page
 
+Quote Post
FreshWhyte
Beitrag 18.09.2013, 18:04
Beitrag #6


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 18.09.2013
Mitglieds-Nr.: 9.701

Betriebssystem:
Windows 7 SP1^
Virenscanner:
Avast



Ich finde keine von den Dateien. confused.gif Der Eintrag Games erscheint im msconfig auch garnicht mehr. Alles sehr komisch.

Edit: Die BEMZDOXYLC-FHESR-GPKGODHBIJ.vbe habe ich noch gefunden. VirusTotal gibt grünes Licht. Das Fenster erscheint bei Systemstart dennoch kurz.

Der Beitrag wurde von FreshWhyte bearbeitet: 18.09.2013, 18:22
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 20.06.2018, 04:33
Impressum