Wo steht ein Kommandozeilenparameter zu einer .exe File?
 

Hallo DPler,

wie ihr im Anhang sehen koennt wird die MSHTA.exe mit einem Kommandozeilenparameter gestartet. Das kommt von malware. Nun meine Frage wo steht dieser Parameter damit wir den loeschen koennen. In der Registry hab ich zumindest mal nichts gesehen.

Danke!

Re: Wo steht ein Kommandozeilenparameter zu einer .exe File?
 

irgendwo muss n autorun (oder n service) sein, der die mshta.exe startet. such den. mitm sysinternals processexplorer solltest du rausfinden können, von wem das programm gstartet wird.

Re: Wo steht ein Kommandozeilenparameter zu einer .exe File?
 

Hab ich versucht... Kam nix bei raus. Ich hab auch schon das Autoruns.exe von SysInternals genutzt, auch nix brauchbares!

Re: Wo steht ein Kommandozeilenparameter zu einer .exe File?
 

Hallo Tobias,

es scheint sich um ein installiertes ActiveX-Modul zu handeln. Ich würde versuchen es mit Ad-Aware oder CCleaner auszurotten.

Freundliche Grüße

Re: Wo steht ein Kommandozeilenparameter zu einer .exe File?
 

Hallo marabu,

ich habe Spybot, Ad-Aware, HijackThis, ComboFix, AVG Anti-Spyware und noch n paar andere Tools versucht. Das teil ist einfach resistent hab ich das gefuehl.

Es ist Gott lob nicht meiner sondern ein Kunden PC aber ich wuerde ganz gern dieses Battle gewinnen gegen diesen Parasiten und nicht aufgeben.

Ich weis nicht was los ist aber schon gestern hatte ich n Viren/Spyware verseuchten PC hier von einer Kundin die weit uebe 2500 Objecte mit all den Tools zusammen aufgefuehrt auf ihrer Platte hatte. Nach nem halben Tag sagte ich schliesslich ab und wir kamen zur Einigung dass hier nur noch ne clean Installation was bringt um sicher zu gehen!

Edit:

Das hab ich grad gefunden:
[QUOTE]
"C:\Program Files\Internet Explorer\iexplore.exe" üë^‹þW¬<Zt,AÀàŠØ¬,AêëìXÃèáÿÿÿILOMOIAJAAAAAAJA JAJA
JAJAJAJAJAJAFOAPDBLJAIAAAAAAILNAFGIKMCCEAPAEEBIIAG EGMBOKAEOCPCMGAGAAFOILHNAEIDMHBFDDMAFGFHFAGKAEFAGK P
PLINKMIEOHMPPNAILNIIFMAHFBALIINCHEPHMPPNADNLHAAAAA AHELJOLEODDMAFHFAFAGIBPAAAPAAFDLIDDGFEOHMPPNAIFMAH E
DALJAJAAAAAAIJAEAIIJFMAIAEOIBEAAAAAAILOMILHFAEILFO ANPPHGAJLIDFGBEOHMPPNAOLALIPEEAIAIILPIPMPDKEOLAKFD L
IGIJBEOHMPPNADDMAILOFMDZ
[/QUOTE

Was soll denn das fuer n Command Line Parameter nun sein? :roll:

Re: Wo steht ein Kommandozeilenparameter zu einer .exe File?
 

wo hast du das gefunden? Das könnte unicode sein.

Re: Wo steht ein Kommandozeilenparameter zu einer .exe File?
 

Nachtrag:

Bei Browser Helper Objects hilft oft BHODemon - und CCleaner nicht vergessen.

Re: Wo steht ein Kommandozeilenparameter zu einer .exe File?
 

Meister, kannste mir (und einigen andern bestimmt auch) zuliebe mal n paar CR/LF reinbasteln? Nicht jeder hat so eine riesige Auflösung. ;)

Isch dange. :mrgreen:

Re: Wo steht ein Kommandozeilenparameter zu einer .exe File?
 

Wenn ein System so befallen ist sollte man es auf jeden fall neu aufsetzen denn man weiß nie wo noch was versteckt ist. Selbst wenn du diesen Teil jetzt weg bekommst ist es sehr wahrscheinlich das noch irgendwo etwas eingenistet ist was diesen effekt bald wieder hervorruft.
Vor allem solltest du den Kunden dringenst dazu raten nicht als Admin zu arbeiten. Wenn sie das beherzigen und dann mal was schädliches runterladen genügt es einfach das Profil zu löschen und neu anzulegen und man ist fertig.

Re: Wo steht ein Kommandozeilenparameter zu einer .exe File?
 

@Sir,

ich arbeite fast jeden Tag mit min einem solcher PCs hier. Die Leute wollen uns nicht glauben dass es besser ist es neu aufzusetzen, die diejenigen sind die das Geld bringen, was soll ich mich rumstreiten?

Wir sagen auch jedem Kunden der ein neues System bei uns kauft er soll sich einen non-Admin Account anlegen damit solche dinge net passieren, aber die hoeren doch net!