fm28880
Goto Top

Windows Script Host :Regctl.js

Hallo zusammen,

ich habe seit ein paar Tagen folgendes Problem.

Terminalserver und die User melden über die Remote-Desktop-Dienste an.
Ein User bekommt derzeit regelmäßig die anliegende Meldung.
Alle anderen User nicht und ansonsten ist die Nutzung nicht eingeschränkt.

Klar, ist dies Benutzerprofil bezogen, aber hat einer eine Idee, was das sein kann?

Danke für Eure Hinweise.

Gruß FM
ts_xx

Content-Key: 545870

Url: https://administrator.de/contentid/545870

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: 142970
142970 12.02.2020 aktualisiert um 08:44:03 Uhr
Goto Top
Da gibt es wohl eine Trojaner Infektion im Profil die der Virenscanner entdeckt und ein infiziertes JS Skript aus de NTFS-Stream der ntuser.dat entfernt hat, aber die AutoRun Einträge für den Trojaner in der Registry nicht entfernt hat.

https://any.run/report/c8aa5d58a3acd80e2175e8ed1b3a685ee0410ba1c528eab5c ...

Abschnitt Dropped files
PID Process Filename Type
776 wscript.exe C:\Users\admin\ntuser.dat:Regctl.js text
Du solltest also dringend mal einen gründlichen offline Viren-Scan machen und die Logfiles des Virenscanners durchgehen. Im Zweifel das Ding neu aufsetzen ist immer die beste Wahl, man kann nie ausschließen daß sich da nicht noch andere Dinge eingenistet haben, gerade bei einem Terminal-Server!