Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Dubioser Virus Link Ausführen schreibt sich auf Desktops

Frage Sicherheit Erkennung und -Abwehr

Mitglied: MisterIX

MisterIX (Level 1) - Jetzt verbinden

04.03.2009, aktualisiert 12:12 Uhr, 5830 Aufrufe, 4 Kommentare

Sehr geehrte Mitadministratoren. Bei uns im Netzwerk scheint sich ein Virus auszubreiten, indem er sich auf mir nicht erklärliche Weise als getarnter Link auf den Desktop schreibt. Ich bitte um schnelle Hilfe, um die Ausbreitungsart und Quelle auszumachen.

Problembeschreibung:

Gestern:

- Bei meiner lokalen Anmeldung auf meinem Arbeitsrechner (mit meinem normalen Domänen-Benutzeraccount) erscheint auf meinem Desktop ein mir nicht bekanntes Icon mit der Kennzeichnung A&usführen (das & Zeichen ist tatsächlich so vorhanden).

- Da ich diese Verknüpfung nicht kenne, lösche ich sie und schaue im Systemprotokoll nach ob seit meiner letzten Abmeldung am Vortag jemand angemeldet war. Dem war nicht so. Da keine anderen Auswirkungen zu erkennen waren und ich ja auch andere Dinge zu tun habe, vergesse ich die Sache über den Tag


Heute:

- bei einem unser Mitarbeiter tritt ein dubioses Anmeldeproblem auf. Die Anmeldung wird erfolgreich durchgeführt, jedoch erfolgt unverzüglich eine Abmeldung. Der Rechner erscheint Virenverseucht. Der Benutzer "gesteht" es habe am Vortag schon Anzeichen auf einen Virenbefall gegeben (dubiose als Windows Warnmeldungen getarnte Messagefenster). Der Benutzer wurde von uns umgehend gemassregelt, und ihn erwartet in den nächsten Tagen die neunschwänzige Katze.

- Ich melde mich an einem anderen Rechner mit meinem Domadmin-Account an, weil ich mal versuchen möchte ob ich mich per Remotedesktop auf den Rechner des mittlerweile verstorbenen Mitarbeiters anmelden kann und finde, obwohl ich mich an diesem Rechner noch nie angemeldet habe auf dem jungfäulichen Desktop ein Icon Namens "A&usführen". Es ist nicht im Default-User Profil zu finden, auch nicht unter All Users und wir benutzen keine Roaming-Profiles in unserer Firma.

- Der Begriff A&usführen wird gesucht, und kann über die Seite http://www.hijackthis-forum.de/archiv/18193-win32-zlob-yt.html mit dem entsprechenden Virus in Verbindung gebracht werden.

- Entsprechende Anzeichen für den Virus auf den Rechnern mit dem dubiosen Link auf dem Desktop gab es jedoch nicht. Beispielsweise kein Verzeichnis C:\Programme\IntCodecs.

Ein Virenscan dieser Rechner blieb ebenfalls ohne Erfolg. Evtl. war der Virus noch nicht aktiv, d.h. er hätte zwar das Recht sich als getarnte Verknüpfung (die übrigens nirgendwo hinzeigt) auf beliebige Desktops zu kopieren, kann sich aber wahrscheinlich nicht selbst zur Ausführung bringen.

Nachdem Du lieber Leser nun an dieser Stelle angelesen bist, bitte, bitte, keine Hinweise auf Hijack this oder AD-Aware (diese Schritte unternehmen wir intern), sondern nur Leute, die mit ähnlichen Problemem schon zu tun hatten oder dieses Problem vielleicht sogar konkret kennen.

Bin für jede Anregung dankbar.

Grüßlis, MisterIX.
Mitglied: Icedg
04.03.2009 um 15:58 Uhr
Hi MisterIX,

ich glaube ich hatte das auch einmal auf ein paar Systemen, kann mich leider aber nicht mehr richtig erinnern, wie ich das Problem beseitigen konnte, aber auf jeden Fall habe ich dazu Spybot (www.spybot.info) verwendet. Als Virenscanner hatten wir TrendMicro... Vieleicht hilft dir das weiter. Viel Glück !

Gruß
Dirk

PS: Nimm den Leuten die Adminrechte weg oder rechne der Geschäftsführung vor, was die Adminrechte "kosten" können. Wirkt Wunder
Bitte warten ..
Mitglied: MisterIX
11.01.2010 um 14:23 Uhr
So ok,

fast ein Jahr später tritt mich doch fast ein Huftier. Ich schaue auf meinen Desktop und sehe wieder diesen Link. Leichtes Grummeln im Bauch, weil echt gerade überhaupt keine Zeit für Virensuche im Netzwerk. Zeige das Problem meinem Kollegen. Er findet schnell die Lösung:

Wenn man per drag&drop im Startmenü Ausführen auf den Desktop zieht, erscheint der dubiose Link: A&usführen auf dem Desktop.

Bin mal eben auf dem Klo und versuch mich selber runterzuspülen. Immerhin kein Virus.

Bye.
Bitte warten ..
Mitglied: Icedg
11.01.2010 um 15:57 Uhr
Ah - das ist interessant. It's not a bug, it's a feature
Bitte warten ..
Mitglied: MisterIX
11.01.2010 um 16:20 Uhr
Jep, trotzdem irgendwie peinlich. Aber ich glaub ,ich weiss auch woher das & Zeichen kommt.

Wahrscheinlich aus Drag&Drop ! Hat sich verirrt.

Schönen Abend noch,

MisterIX.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Einen Link Powershell ausführen
gelöst Frage von KeiosIDBatch & Shell6 Kommentare

Hallo, bisher hatte ich nichts mit Powerhell zu tun, hatte das eigentlich auch nicht vor. Nun erwartet man aber ...

Viren und Trojaner
Seltsame Links auf Homepage des Unternehmens - Antivirus erkennt keinen Virus
gelöst Frage von lucky78Viren und Trojaner10 Kommentare

Hallo, ich habe ein seltsames Phänomenen in einem meiner betreuten Netzwerke. Auf der Internet-Seite des Unternehmens werden innerhalb der ...

Drucker und Scanner
Drucker schreibt:
Frage von HedwigaDrucker und Scanner2 Kommentare

kann mit dem PC nicht kommunizieren, entferne unter "Eigenschaften" das Häkchen. Kann mich wund suchen, aber finde keine "Eigenschaften" ...

Windows 8
Abschalten des integrieten virtuellen Desktops
gelöst Frage von DasBreakerWindows 82 Kommentare

Hi, ich habe mehrere Windows 8.1 Prof Clients in einem AD mit allen Updates installiert und finde einfach nicht ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 11 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 11 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 14 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 18 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...