Dubioser Virus Link Ausführen schreibt sich auf Desktops
Sehr geehrte Mitadministratoren. Bei uns im Netzwerk scheint sich ein Virus auszubreiten, indem er sich auf mir nicht erklärliche Weise als getarnter Link auf den Desktop schreibt. Ich bitte um schnelle Hilfe, um die Ausbreitungsart und Quelle auszumachen.
Problembeschreibung:
Gestern:
- Bei meiner lokalen Anmeldung auf meinem Arbeitsrechner (mit meinem normalen Domänen-Benutzeraccount) erscheint auf meinem Desktop ein mir nicht bekanntes Icon mit der Kennzeichnung A&usführen (das & Zeichen ist tatsächlich so vorhanden).
- Da ich diese Verknüpfung nicht kenne, lösche ich sie und schaue im Systemprotokoll nach ob seit meiner letzten Abmeldung am Vortag jemand angemeldet war. Dem war nicht so. Da keine anderen Auswirkungen zu erkennen waren und ich ja auch andere Dinge zu tun habe, vergesse ich die Sache über den Tag
Heute:
- bei einem unser Mitarbeiter tritt ein dubioses Anmeldeproblem auf. Die Anmeldung wird erfolgreich durchgeführt, jedoch erfolgt unverzüglich eine Abmeldung. Der Rechner erscheint Virenverseucht. Der Benutzer "gesteht" es habe am Vortag schon Anzeichen auf einen Virenbefall gegeben (dubiose als Windows Warnmeldungen getarnte Messagefenster). Der Benutzer wurde von uns umgehend gemassregelt, und ihn erwartet in den nächsten Tagen die neunschwänzige Katze.
- Ich melde mich an einem anderen Rechner mit meinem Domadmin-Account an, weil ich mal versuchen möchte ob ich mich per Remotedesktop auf den Rechner des mittlerweile verstorbenen Mitarbeiters anmelden kann und finde, obwohl ich mich an diesem Rechner noch nie angemeldet habe auf dem jungfäulichen Desktop ein Icon Namens "A&usführen". Es ist nicht im Default-User Profil zu finden, auch nicht unter All Users und wir benutzen keine Roaming-Profiles in unserer Firma.
- Der Begriff A&usführen wird gesucht, und kann über die Seite http://www.hijackthis-forum.de/archiv/18193-win32-zlob-yt.html mit dem entsprechenden Virus in Verbindung gebracht werden.
- Entsprechende Anzeichen für den Virus auf den Rechnern mit dem dubiosen Link auf dem Desktop gab es jedoch nicht. Beispielsweise kein Verzeichnis C:\Programme\IntCodecs.
Ein Virenscan dieser Rechner blieb ebenfalls ohne Erfolg. Evtl. war der Virus noch nicht aktiv, d.h. er hätte zwar das Recht sich als getarnte Verknüpfung (die übrigens nirgendwo hinzeigt) auf beliebige Desktops zu kopieren, kann sich aber wahrscheinlich nicht selbst zur Ausführung bringen.
Nachdem Du lieber Leser nun an dieser Stelle angelesen bist, bitte, bitte, keine Hinweise auf Hijack this oder AD-Aware (diese Schritte unternehmen wir intern), sondern nur Leute, die mit ähnlichen Problemem schon zu tun hatten oder dieses Problem vielleicht sogar konkret kennen.
Bin für jede Anregung dankbar.
Grüßlis, MisterIX.
Problembeschreibung:
Gestern:
- Bei meiner lokalen Anmeldung auf meinem Arbeitsrechner (mit meinem normalen Domänen-Benutzeraccount) erscheint auf meinem Desktop ein mir nicht bekanntes Icon mit der Kennzeichnung A&usführen (das & Zeichen ist tatsächlich so vorhanden).
- Da ich diese Verknüpfung nicht kenne, lösche ich sie und schaue im Systemprotokoll nach ob seit meiner letzten Abmeldung am Vortag jemand angemeldet war. Dem war nicht so. Da keine anderen Auswirkungen zu erkennen waren und ich ja auch andere Dinge zu tun habe, vergesse ich die Sache über den Tag
Heute:
- bei einem unser Mitarbeiter tritt ein dubioses Anmeldeproblem auf. Die Anmeldung wird erfolgreich durchgeführt, jedoch erfolgt unverzüglich eine Abmeldung. Der Rechner erscheint Virenverseucht. Der Benutzer "gesteht" es habe am Vortag schon Anzeichen auf einen Virenbefall gegeben (dubiose als Windows Warnmeldungen getarnte Messagefenster). Der Benutzer wurde von uns umgehend gemassregelt, und ihn erwartet in den nächsten Tagen die neunschwänzige Katze.
- Ich melde mich an einem anderen Rechner mit meinem Domadmin-Account an, weil ich mal versuchen möchte ob ich mich per Remotedesktop auf den Rechner des mittlerweile verstorbenen Mitarbeiters anmelden kann und finde, obwohl ich mich an diesem Rechner noch nie angemeldet habe auf dem jungfäulichen Desktop ein Icon Namens "A&usführen". Es ist nicht im Default-User Profil zu finden, auch nicht unter All Users und wir benutzen keine Roaming-Profiles in unserer Firma.
- Der Begriff A&usführen wird gesucht, und kann über die Seite http://www.hijackthis-forum.de/archiv/18193-win32-zlob-yt.html mit dem entsprechenden Virus in Verbindung gebracht werden.
- Entsprechende Anzeichen für den Virus auf den Rechnern mit dem dubiosen Link auf dem Desktop gab es jedoch nicht. Beispielsweise kein Verzeichnis C:\Programme\IntCodecs.
Ein Virenscan dieser Rechner blieb ebenfalls ohne Erfolg. Evtl. war der Virus noch nicht aktiv, d.h. er hätte zwar das Recht sich als getarnte Verknüpfung (die übrigens nirgendwo hinzeigt) auf beliebige Desktops zu kopieren, kann sich aber wahrscheinlich nicht selbst zur Ausführung bringen.
Nachdem Du lieber Leser nun an dieser Stelle angelesen bist, bitte, bitte, keine Hinweise auf Hijack this oder AD-Aware (diese Schritte unternehmen wir intern), sondern nur Leute, die mit ähnlichen Problemem schon zu tun hatten oder dieses Problem vielleicht sogar konkret kennen.
Bin für jede Anregung dankbar.
Grüßlis, MisterIX.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 110504
Url: https://administrator.de/forum/dubioser-virus-link-ausfuehren-schreibt-sich-auf-desktops-110504.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
4 Kommentare
Neuester Kommentar
Hi MisterIX,
ich glaube ich hatte das auch einmal auf ein paar Systemen, kann mich leider aber nicht mehr richtig erinnern, wie ich das Problem beseitigen konnte, aber auf jeden Fall habe ich dazu Spybot (www.spybot.info) verwendet. Als Virenscanner hatten wir TrendMicro... Vieleicht hilft dir das weiter. Viel Glück !
Gruß
Dirk
PS: Nimm den Leuten die Adminrechte weg oder rechne der Geschäftsführung vor, was die Adminrechte "kosten" können. Wirkt Wunder
ich glaube ich hatte das auch einmal auf ein paar Systemen, kann mich leider aber nicht mehr richtig erinnern, wie ich das Problem beseitigen konnte, aber auf jeden Fall habe ich dazu Spybot (www.spybot.info) verwendet. Als Virenscanner hatten wir TrendMicro... Vieleicht hilft dir das weiter. Viel Glück !
Gruß
Dirk
PS: Nimm den Leuten die Adminrechte weg oder rechne der Geschäftsführung vor, was die Adminrechte "kosten" können. Wirkt Wunder