Këshilla dhe truket për kompjuterin tuaj
Përkthim me Google
↑ 2023-08-10 Windows 10: alle 15 Minuten wird eine Bestätigung für ein Script verlangt: agile2.vbs
Problem:
Auf einem Computer mit Windows 10 erschien alle 15 Minuten folgende Aufforderung (Benutzer name):
Möchten Sie zulassen, dass durch diese App Änderungen an Ihrem Gerät vorgenommen werden?
Microsoft Windows Based Script Host
Verifizierter Herausgeber: Microsoft Windows
Programm: C:\Windows\System32\wscript.exe
Programmpfad: C:\Users\name\AppData\Local\ypsx_cloud_v2\agile2.vbs
Auf 'Nein' geklickt, die Meldung erschien dann noch zwei Mal.
In Einstellungen, Apps ist kein Programm mit einem ähnlichen Namen aufgeführt, damit es deinstalliert werden kann.
Auch beim Task-Manager, Autostart wird kein verdächtiges Programm gestartet.
Im Verzeichnis C:\Users\name\AppData\Local\ypsx_cloud_v2 befinden sich (kein agile2.vbs):
- rhc.exe (10.08.2023)
- vcruntime140.dll (02.12.2022)
- wdcloud_v2.exe (13.07.2023)
Wenn man das Verzeichnis C:\Users\name\AppData\Local\ypsx_cloud_v2 löscht oder shreddert, dann wird es wieder erstellt!
Antivirenprogramme wie G Data, Malwarebytes oder Microsoft Defender finden nichts. |
Lösung:
Es handelt sich offensichtlich um einen Trojaner. Da er alle 15 Minuten startet und auch das Verzeichnis 'ypsx_cloud_v2' neu erstellt, muss dieser Trojaner unter einem anderen Namen installiert worden sein.
Anleitung zum Löschen des Trojaners (ohne Gewähr oder Haftung):
Mit dem Windows Explorer zum Verzeichnis C:\Users\name\AppData\Local gehen. Dort nach einem Namen ähnlich 'ypsx_cloud_v2' suchen und den Inhalt anzeigen lassen. Kurz vor der nächsten Aufforderung mit dem Smartphone eine Video-Aufnahme des Inhalts starten. Drei Mal bei der Aufforderung auf 'Nein' klicken (nicht ausführen lassen).
Gemäss Video-Aufnahme erschienen im Inhalt von 'ypsx_cloud_v2' folgende Dateien:
- agile1.vbs
- agile2.vbs
- exter.ps1
- rhc.exe
- vcruntime140.dll
- wdcloud_v2.exe
- wxplugandplay.exe
- ytpx_data2
ytpx ist der gesuchte Name der installierten Trojaner-Version. Nachdem die dreimalige Aufforderung durch ist, muss man folgende Schritte innerhalb 15 Minuten machen, bevor die nächste Aufforderung kommt!
- alle Programme ausser Windows Explorer beenden
- Registrierungs-Editor starten: Tasten Windows + R, regedit
- suchen nach YTPXCheck (gemäss unserem Fall ytpx)
- vier Einträge wurden gefunden:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Schedule\TaskCache\Tasks\{22BF7CC3-3908-4813-A1DA-8C021ACB954E}
in Actions gelesen (mühsam): M:\Users\name\AppData\Local\PieStar
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Schedule\TaskCache\Tasks\{34AF5823-DB54-4B56-87FC-42F61E48FDB2}
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Schedule\TaskCache\Tree\YTPXCheck
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Schedule\TaskCache\Tree\YTPXCheck LG
- die obigen vier Einträge gelöscht
- Registrierungs-Editor beenden
- Ordner löschen:
- M:\Users\name\AppData\Local\PieStar
- M:\Users\name\AppData\Local\ypsx_cloud_v2
- Alle Dateien und Ordner löschen in (falls möglich, manche werden vom System verwendet):
- C:\Users\name\AppData\Local\Temp
- C:\Windows\Temp
- Papierkorb leeren
- Computer neu starten |
Weitere Infos:
Microsoft - Registrierungs-Editor in Windows 10 öffnen |
Lidhje në këtë faqe
| | Reklamë:
O&O Software -
O&O Software -
O&O Software -
|
