Schaut euch das mal bitte an

[Merle]

@TE:
Geh in c:\windows\ und rechtsklicke auf diese windowsupdatetree.bat, dann bearbeiten.
Da sollte alles drin stehen, was es tut. Kannst es ja posten.

"Welcher Trojaner/Virus ist schon so blöd und macht n Konsolenfenster auf?"

Viele. Trojaner tun das nicht. Viren unter Umständen schon, die sollen ja hauptsächlich schädigen. Dazu gehören dann auch die einen oder anderen Scherze, wie zum Beispiel attrib +h +s bei BKA...
Warum kein Konsolenfenster.

 

[Danger_Dustin]

Wenn immer noch nach dem entfernen des besagten "untersten Eintrags" vorhanden, was auszuschließen sein sollte, dann mal - mit die im Screenhot geöffneten Systemprogramme (Systemsteuerung > Verwaltung > Dienste & Ausführen > cmd > msconfig > Reiter Dienste) - schauen was bei dir so am laufen ist respektive gestartet wird.

Anhang anzeigen 308233

Ich hatte meinen letzten Beitrag editiert. Das Entfernen des Startup Eintrages scheint erfolgreich gewesen zu sein. Malwarebytes und Konsorten finden keinerlei Bedrohung. Was mich jetzt noch ein wenig beunruhigt ist, dass ich nicht weiß wo der Kram überhaupt herkam.

 

[DaZpoon]

lösche die mal nicht sondern im Editor öffnen und reinschauen was da geschieht. Ich konnte mit google nix treffendes für diese batch finden. Daher nur wegem Interesse über die Herkunft mal reinschauen.

Edit: Danach kannst du sie natürlich löschen ;-)

 

[iDont_Know]

schöne alte Methode Trail Sachen, für immer zu nutzen
( Any Dvd, Co,.. )

 

[Danger_Dustin]

alles was drin steht ist "tree"

 

[Merle]

lol der befehl ist ja nur das cmd-command...
Naja, was n Scherz.
Jedenfalls ist das sicher kein Virus. Sei beruhigt. Löschen und gut is.

 

[DaZpoon]

hm... Na jedenfalls kann man mit "tree" nicht viel schaden anrichten, ES SEI DENN es gibt eine andere TREE.EXE. Such mal nach TREE*.*

 

[iDont_Know]

stimmt, nice

C:\Users\xyxy>tree
Auflistung der Ordnerpfade
Volumeseriennummer : 2025-0387
C:.
├───Contacts
├───Desktop
│ ├───DSAssistant_2647
│ │ ├───dcraw
│ │ ├───driver
│ │ │ └───version_release
│ │ │ ├───amd64
│ │ │ │ ├───vista_win2k8
│ │ │ │ ├───win2k3
│ │ │ │ ├───win7
│ │ │ │ └───win8
│ │ │ └───x86
│ │ │ ├───vista_win2k8
│ │ │ ├───win2k3
│ │ │ ├───win7
│ │ │ ├───win8
│ │ │ └───winXP
│ │ ├───ffmpeg
│ │ ├───help
│ │ ├───imageformats
│ │ │ └───Microsoft.VC80.CRT
│ │ ├───ImageMagick
│ │ └───Microsoft.VC80.CRT
│ ├───NAS
│ └───OneNote
├───Documents
│ ├───AnyDVDHD
│ ├───Battlefield 3
│ │ ├───Screenshots
│ │ └───settings
│ ├───CyberLink
│ │ ├───LocalStorage_V2
│ │ │ ├───DefaultMember
│ │ │ │ └───Misc
│ │ │ └───Misc
│ │ └───PowerDVD10
│ │ └───JumpList
│ ├───My Games
│ │ └───Far Cry 3
│ ├───PcSetup
│ └───Rockstar Games
│ ├───Max Payne 3
│ └───Social Club
│ ├───Profiles
│ ├───Renderer
│ │ └───Default
│ │ ├───Cache
│ │ └───plugin_
│ └───Titles
│ └───Max Payne 3
├───Downloads
├───dwhelper
├───Favorites
│ ├───Links
│ ├───Microsoft-Websites
│ ├───MSN-Websites
│ └───Windows Live
├───Links
├───Local Settings
│ └───Application Data
│ └───ABBYY
│ └───Lingvo
│ └───15.0
│ └───NonAbbyyIndex
├───Music
├───Pictures
├───Saved Games
├───Searches
└───Videos
└───Planetside2

 

[Danger_Dustin]

Ok. Dann haben sich die Gäste auf der letzten WG Party (waren ein paar Informatiker dabei) also evtl. einen Scherz erlaubt oder wollten irgendeine abgelaufen Trial Version (siehe Beitrag von idont_know) nutzbar machen?

 

[Merle]

Sein Output sieht auch aus wie meiner... Und wenn jemand dann die Payload da rein packen will um es zu verstecken (also nicht nur User ärgern), dann machen die Kommentare schon Sinn. Dann sähe die cmd anders aus und es gäbe eventuell sogar keine Ausgabe auf dem Screen.

Zur Sicherheit kannst du die tree.exe ja mal auf Virustotal hochladen.

 

[Danger_Dustin]

Sein Output sieht auch aus wie meiner... Und wenn jemand dann die Payload da rein packen will um es zu verstecken (also nicht nur User ärgern), dann machen die Kommentare schon Sinn. Dann sähe die cmd anders aus und es gäbe eventuell sogar keine Ausgabe auf dem Screen.

Zur Sicherheit kannst du die tree.exe ja mal auf Virustotal hochladen.

Hab ich. Keine Funde. Alright. Dann hake ich das jetzt ab. Falls die Sache doch noch irgendwas nach sich zieht, melde ich mich wieder. VIELEN DANK für die Hilfe.

 

[Tigerass 2.0]

Unbeaufsichtigte PC's auf WG-Partys
Immer für nen Spaß gut.

Ich denke die Wahrscheinlichkeit für nen Pyload in der tree.exe ist sehr gering, da gibts doch tausend bessere methoden. Und dann auch noch mit nem einfachen lnk im autorun gestartet (schnellste methode)? Und ich würde mich nicht als Admin anmelden, und falls du dass nicht warst, dann such dirn neues Passwort

Und Leute die bei sowas nen Harten Virus vermuten die haben mal hart keine Ahnung. Den Tipp Pc's neuzuinstallieren könnt ihr euch sparen, da nach Hilfe gefragt wurde was das sein könnte. Und wenn ein Malwareprogrammierer So SCHLECHT ist ein Fenster zu öffnen oder versucht mit sowas schaden anzurichten, dann kann man solche viren in der qualität auch leicht ohne neuinstallieren beseitigen.

LG Tigerass

 

[DaZpoon]

Naja schau eben mal ob nicht irgendwo noch eine andere ausführbare Tree.* rumliegt. Erst dann würde ich es als Scherz abhaken. Wobei, für nen Informatiker-Scherz war's dünn ;-)

Ergänzung (4. Dezember 2012)

Und Leute die bei sowas nen Harten Virus vermuten die haben mal hart keine Ahnung. Den Tipp Pc's neuzuinstallieren könnt ihr euch sparen, da nach Hilfe gefragt wurde was das sein könnte. Und wenn ein Malwareprogrammierer So SCHLECHT ist ein Fenster zu öffnen oder versucht mit sowas schaden anzurichten, dann kann man solche viren in der qualität auch leicht ohne neuinstallieren beseitigen.

LG Tigerass

Na ich erinnere mich noch ganz dunkel an einen Wurm vor 10 Jahren (W32.Blaster?!). Der hat nur durch einen Programmierfehler ein Fensterchen geöffnet, nach 60 Sekunden dann den Rechner runtergefahren. Für unerfahrene war das Ding nahezu unlöschbar.

 

[Tigerass 2.0]

Blaster war doch ein RPC Exploit dachte ich? Habe den Source irgendwo rumliegen...
Aber der Programmierer war auch kein experte, es waren z.B. mehrere srand aufrufe im ganzen Programm und bei wsock war er auch noch unerfahren. Sogar der Payload war einfach Kopiert. Wer weiß ob er den Exploit überhaupt selbst gemacht hat...

LG Tigerass

 

[iDont_Know]

das hätte viel besser angekommen:

Destop ScreenShoten
Destop Ansicht Symbole anzeigen, abschalten
Desktop um 180 Drehen
den Scree Shot als Desktop Hintergrund nehmen

oder cmd bei autostart:


taskkill /T / F /PID explorer.exe

 

[Merle]

Den Tipp Pc's neuzuinstallieren könnt ihr euch sparen, da nach Hilfe gefragt wurde was das sein könnte.

Hey Tigerass, wenn eine Vireninfektion vorliegt, dann installiert man neu. Wenn.
Das war hier nicht der Fall.
Ich wünsche jeglichen Kriminellen (berechtigt) viel Spaß auf deinem System, wenn du die Löcher, die ein Virus in Firewall und Protokolle reissen kann, ignorierst, und dein System nach einem heftigen Befall weiternutzt.
Das heißt ja nicht, dass jedes System gleich infiziert ist. Aber WENN, dann installiert man neu.
In Zeiten von Onlinebanking etc. zeugt alles andere von grenzenloser Naivität.

@TE:
Rache ist süß.
Schreib ne Bat mit:

@Echo off
shutdown /s /t 5 /f /c "Der Computer wird auf Grund eines unerwarteten Hardwareproblems heruntergefahren"

Nenn sie VielSpass.bat und tu sie in den all users Autostart bei der Ratte
Bei 5s muss man echt schnell sein mit Win+r shutdown -a...

*edit1:
Zudem noch verstecken und als Systemdatei kennzeichnen (attrib +h +s)