JS-Datei startet heimlich – Ursache finden?

Mongoo · Gestern um 13:44

Hatte eine js datei die immer gestarte werden soll von windows nicht von mir.
soll auch nicht gestartet werden. wird ja eh dann vom defender als schädlich eingestuft.
habe ich auch nicht mitbekommen. lief alles im hintergrund. die datei war unter users public music grand - grand.js.

durch zufall gesehen im verlauf vom defender. habe die datei gelöscht. dann noch den windows script host deaktiviert aber immer noch kommt alle paar minuten popup

der zugriff auf windows script wurde für diesen computer deaktiviert. wenden sie sich an ihren administrator

wie finde ich raus wer das ganze verursacht

TorenAltair · Gestern um 13:59

Vielleicht liegt es an der Hitze, dass ich es nicht verstehe aber kannst Du das etwas strukturierter bitte beschreiben? Du hast eine js-Datei, die immer laufen soll, hast die dann aber gelöscht und den WSH deaktiviert und nun tut der WSH nicht mehr und es kommen irgendwelche Popups mit uns unbekanntem Inhalt?

Mongoo · Gestern um 14:04

jetzt besser

nobby_a · Gestern um 14:06

@Mongoo
Ein Screenshot von dieser minütlichen Popupmeldung könnte hilfreich sein.

Mongoo · Gestern um 14:08

bitte.
ich habe ja den dienst beendet
aber irgenwas will ihn wieder starten

CPat · Gestern um 14:14

Du sagst ja du hast den Windows Script Host deaktiviert.
Jetzt kommt eine Meldung, dass der Windows Script Host auf diesen Computer deaktiviert wurde.

Vermutlich will eine Anwendung Arbeiten im Hintergrund erledigen, aber wegen es von dir deaktivierten Script Host schlägt es fehl.

Wenn du den Windows Script Host wieder aktivierst, sollte die Fehlermeldung weg sein.

nobby_a · Gestern um 14:18

Mongoo schrieb:
dann noch den windows script host deaktiviert aber immer noch kommt alle paar minuten popup

Wie hast du den Windows Script Host deaktiviert, über die Registry? Dann musst du ihn jetzt wieder aktivieren.

Mongoo · Gestern um 14:24

ja registry

zeaK · Gestern um 14:25

Hast du auch ne "C:\Users\Public\Music\grand\svcup.exe"?

Laut https://tria.ge/251013-wzt7ms1ta1/behavioral1 kommt die grand.js von irgend ner Datei mit -vermutlich- Virus drin. Irgendwelche ~sonderbaren~ Sachen installiert?

Mongoo · Gestern um 14:26

ist wieder an. jetzt kommt das
siehe bild

ist ja gelöscht

glaube nicht aber ich weiss ja nicht wie lange das gegeangen ist im hintergrund

madmax2010 · Gestern um 14:27

Joa, dann muss die da wieder hin

Mongoo · Gestern um 14:32

die wird aber als schädlich gemeldet

zeaK · Gestern um 14:36

Du hast dir da nen Virus eingefangen. https://www.ad-hoc-news.de/wissensc...ert-bitcoin-und-monero-transaktionen/69612732

Edit: machst du Onlinebanking oder hast was mit Bitcoin/Monero etc. zu tun? Falls ja - ab sofort NICHT mehr mit dem PC - am besten direkt das Lan-Kabel/Wlan trennen!

Hast du ein Backup von dem PC? Mit "nur Datei löschen" ist es hier mit Sicherheit nicht getan.
Idealerweise musst du den PC komplett neu aufsetzen, also dein Windows.

madmax2010 · Gestern um 14:37

Mongoo schrieb:
die wird aber als schädlich gemeldet

Aber du sagtest doch, dass du sie mit Absicht hast.

Aber ja klingt schon nach dem was @zeaK verlinkt

Ergänzung (Gestern um 14:39)

Argh. Neue Version des ersten posts gelesen. Joa. Hast du irgendwo Software oder Musik aus fragwürdigen Quellen geladen?

TorenAltair · Gestern um 15:05

Netzwerkkabel vom Rechner ziehen, WLAN trennen falls vorhanden. Rechner löschen, dann neu installieren. Sämtlichen anderen Geräte im Netzwerk identisch behandeln. In der Zwischenzeit bei einem Verwandten / Bekannten von dessen hoffentlich sauberem Gerät sämtliche Passwörter ändern.

sNo0k · Gestern um 15:11

Mongoo schrieb:
Hatte eine js datei die immer gestarte werden soll von windows nicht von mir.

TE meint Autostart, vermute ich

Mongoo · Gestern um 15:15

schnellscan defender alles ok
hitman pro - alles ok
emisoft emegency kit - alles ok

CoMo · Gestern um 15:22

Warum guckst du nicht einfach in die Datei?

zeaK · Gestern um 15:25

Kopier mal folgendes aus dem Zitat weiter unten (den Buchstaben- und Zahlensalat) (markieren, Rechtsklick, kopieren)

12higDjoCCNXSA95xZMWUdPvXNmkAduhWv

dann wartest du ein paar Sekunden und machst in das Antworten Feld hier einen Rechtsklick -> Einfügen.
Wenn sich das was du eingefügt hast von dem unterscheidet was du kopiert hast dann bist du sicher infiziert.

Edit:
Hast du kürzlich nen USB-Stick benutzt?
https://www.microsoft.com/en-us/sec...orm-like-propagation-for-persistence-control/

Initial access
Initial access occurs from malicious .lnk files. In instances we analyzed, these .lnk shortcuts were distributed on USB storage devices.

[...]

Execution
Once a user clicks on one of the shortcuts, the staged worm payload runs. It excludes staging folders and Windows binaries used in the execution of the stealer component. The malware then drops decrypted payloads, including two malicious JavaScript files, into the subfolder under the “C:\Users\Public\Documents” folder.

A five-character naming convention is used both for the subfolder and the scripts’ names.

The figure below illustrates an instance with files dropped under a ” C:\Users\Public\Documents\omoho” folder path:

Mongoo · Gestern um 15:33

12higDjoCCNXSA95xZMWUdPvXNmkAduhWv

JS-Datei startet heimlich – Ursache finden?

Lt. Commander

Admiral

Lt. Commander

Lt. Commander

Lt. Commander

Anhänge

Commander

Lt. Commander

Lt. Commander

Lieutenant

Lt. Commander

Anhänge

Fleet Admiral

Lt. Commander

Anhänge

Lieutenant

Fleet Admiral

Admiral

Commander Pro

Lt. Commander

Commodore

Lieutenant

Initial access​

Execution​

Lt. Commander

Initial access

Execution