Windows Script Host :Regctl.js
Hallo zusammen,
ich habe seit ein paar Tagen folgendes Problem.
Terminalserver und die User melden über die Remote-Desktop-Dienste an.
Ein User bekommt derzeit regelmäßig die anliegende Meldung.
Alle anderen User nicht und ansonsten ist die Nutzung nicht eingeschränkt.
Klar, ist dies Benutzerprofil bezogen, aber hat einer eine Idee, was das sein kann?
Danke für Eure Hinweise.
Gruß FM
ich habe seit ein paar Tagen folgendes Problem.
Terminalserver und die User melden über die Remote-Desktop-Dienste an.
Ein User bekommt derzeit regelmäßig die anliegende Meldung.
Alle anderen User nicht und ansonsten ist die Nutzung nicht eingeschränkt.
Klar, ist dies Benutzerprofil bezogen, aber hat einer eine Idee, was das sein kann?
Danke für Eure Hinweise.
Gruß FM
Please also mark the comments that contributed to the solution of the article
Content-Key: 545870
Url: https://administrator.de/contentid/545870
Printed on: April 29, 2024 at 14:04 o'clock
1 Comment
Da gibt es wohl eine Trojaner Infektion im Profil die der Virenscanner entdeckt und ein infiziertes JS Skript aus de NTFS-Stream der ntuser.dat entfernt hat, aber die AutoRun Einträge für den Trojaner in der Registry nicht entfernt hat.
https://any.run/report/c8aa5d58a3acd80e2175e8ed1b3a685ee0410ba1c528eab5c ...
Abschnitt Dropped files
Du solltest also dringend mal einen gründlichen offline Viren-Scan machen und die Logfiles des Virenscanners durchgehen. Im Zweifel das Ding neu aufsetzen ist immer die beste Wahl, man kann nie ausschließen daß sich da nicht noch andere Dinge eingenistet haben, gerade bei einem Terminal-Server!
https://any.run/report/c8aa5d58a3acd80e2175e8ed1b3a685ee0410ba1c528eab5c ...
Abschnitt Dropped files
PID Process Filename Type
776 wscript.exe C:\Users\admin\ntuser.dat:Regctl.js text