1
Windows Script Host :Regctl.js
Hallo zusammen,
ich habe seit ein paar Tagen folgendes Problem.
Terminalserver und die User melden über die Remote-Desktop-Dienste an.
Ein User bekommt derzeit regelmäßig die anliegende Meldung.
Alle anderen User nicht und ansonsten ist die Nutzung nicht eingeschränkt.
Klar, ist dies Benutzerprofil bezogen, aber hat einer eine Idee, was das sein kann?
Danke für Eure Hinweise.
Gruß FM
ich habe seit ein paar Tagen folgendes Problem.
Terminalserver und die User melden über die Remote-Desktop-Dienste an.
Ein User bekommt derzeit regelmäßig die anliegende Meldung.
Alle anderen User nicht und ansonsten ist die Nutzung nicht eingeschränkt.
Klar, ist dies Benutzerprofil bezogen, aber hat einer eine Idee, was das sein kann?
Danke für Eure Hinweise.
Gruß FM
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 545870
Url: https://administrator.de/contentid/545870
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
1 Kommentar
Da gibt es wohl eine Trojaner Infektion im Profil die der Virenscanner entdeckt und ein infiziertes JS Skript aus de NTFS-Stream der ntuser.dat entfernt hat, aber die AutoRun Einträge für den Trojaner in der Registry nicht entfernt hat.
https://any.run/report/c8aa5d58a3acd80e2175e8ed1b3a685ee0410ba1c528eab5c ...
Abschnitt Dropped files
Du solltest also dringend mal einen gründlichen offline Viren-Scan machen und die Logfiles des Virenscanners durchgehen. Im Zweifel das Ding neu aufsetzen ist immer die beste Wahl, man kann nie ausschließen daß sich da nicht noch andere Dinge eingenistet haben, gerade bei einem Terminal-Server!
https://any.run/report/c8aa5d58a3acd80e2175e8ed1b3a685ee0410ba1c528eab5c ...
Abschnitt Dropped files
PID Process Filename Type
776 wscript.exe C:\Users\admin\ntuser.dat:Regctl.js text
