Guten Morgen

Ich glaub ich hab mir was eingefangen, heute morgen eine exe ausgeführt (), aber die hat sich gleich danach gelöscht. Kurz hat man ein cmd-Fenster gesehen, aber das wars dann auch. Zum Glück hatte ich es noch geschafft den File auf Anubis zu laden, und ab da wirds interresant:
(die exe wurde auf einem Admin-Account, aber ohne extra Adminrechte ausgeführt, OS Vista)

Anubis: http://anubis.iseclab.org/result.php...90dc&refresh=1

So wie Anubis es gesagt hat war in C:\Users\*Name*\AppData\Roaming eine databak.exe und eine databak3.exe. In diesem Ordner lag auch eine shedl.bat!

Code: Alles auswählenAufklappen

ATTFilter

:Label1
del "C:\Users\Max\AppData\Roaming\databak3.exe"
if Exist "C:\Users\Max\AppData\Roaming\databak3.exe" goto Label1
del "C:\Users\Max\AppData\Roaming\shedl.bat"
         

Aber weil ich das ohne extra Admin-Rechte gestartet hab hat sich das Ding nich richtig ausgeführt

Sieht sehr nach Scriptkiddie aus, oder?

databak.exe ist laut VT clean, die 1. exe auch.
aber databak3.exe ist das hier: http://www.virustotal.com/de/analisi...f4f61fe738c8b7

Was nun?

EDIT:
Mal in C:\Windows(\system(32)) nach Änderungsdatum geguckt, da war die letzte Änderung vor über 2h

Kannst du mal eine HijackThis Logfile reinstellen

Ansonsten Malwarebytes drüberlaufen lassen und logfile hier posten

Hat sich schon erledigt.