Ordner Syswow64

J

jjkrebs

Stammgast
Hallo

Beim "Frühlingsputz" mit CCCleaner ist mir im Autostart im Ordner SysWow64 ein Eintrag aufgefallen den ich nirgends zuordnen kann.
Weiss jemand was dieser Eintrag bedeutet? Kann ich diesen deaktivieren oder löschen?

Mit googeln gibt es nicht einen Eintrag zu diesem Eintrag, weder zum Programm "Kupogolerem" noch zum file "Cigonocomo"

Der genaue Pfad ist im Anhang dokumentiert

danke und Gruss
 
Gaby Salvisberg

Gaby Salvisberg

Super-Moderator
Hallo JJ

Dieser Eintrag würde mich auch ziemlich stutzig machen. Es wird bzw. wurde offenbar mit wscript.exe (das ist das Tool, das Windows zum Ausführen von Scripts benutzt) ein Script gestartet, das unter C:\Users\JJ\AppData\Roaming\ lag und mutmasslich Cigonocomo heisst. Der Scriptname könnte aus Zufallsbuchstaben erzeugt worden sein, darum hast Du per Google nichts gefunden. Ich würde mal den Ordner C:\Users\JJ\AppData\Roaming\ öffnen. Wenn da die Datei noch liegt, könntest Du versuchen, sie an virustotal.com zu verfüttern, um zu schauen, ober jener Dienst darin was Böses entdeckt.

Wenn es eine Scriptdatei ist, könnte man auch versuchen, sie in einem Texteditor zu öffnen. Also nicht doppelklicken), sondern mit rechter Maustaste anklicken und bei Öffnen mit etwas wie den Notepad-Editor (oder einen besseren Editor wie Notepad++) angeben. Da könnte man schauen, was für Anweisungen im Script stehen.

Eine Bitte aber noch: Falls das Script noch da ist, bitte nicht das File oder den ausführbaren Code hier posten; lieber nur einen Screenshot davon.

Herzliche Grüsse
Gaby
 
J

jjkrebs

Stammgast
Ciconocomo

Hallo Gabi

Danke für deine Hilfe

Ich habe das Cigonocomo File per Virustotal.com gecheckt. Das Resultat ist nicht wirklich eindeutig.
Ich sende dir den link zum Resultat.

https://www.virustotal.com/de/file/...c05f53ba426b29b346aaaa86/analysis/1489610466/

Vielleicht kannst du dies besser interpretieren und mir eine Lösung vorschlagen.

Ebenso hab ich das Cigonocomo File mit dem Texteditor geöffnet: Ergibt nicht wirklich einen sinnvollen Text, ausser der Anfangsinfo keine zusammenhängende Sätze oder bekannte Wörter.
Ich hänge einen Screenshot der ersten Seite an, Diese sinnlosen Wörter gehen über ca 10 Seiten weiter.

Wenn es sinnvoll ist kann ich das Textfile auch umbenennen und dir als Anhang senden. Wenn es hilft.

Ich bin ein bisschen Ratlos, habe ich doch am verhalten des Rechner keine Auffälligkeiten festgestellt.

vielen Dank und Gruss

Hansjörg
 
Pagnol

Pagnol

Stammgast
Ich würde die Datei nach ein paar Tagen nochmals bei VirusTotal prüfen lassen. Falls dann deutlich mehr positive Treffer auftauchen, ist der Fall klar: Malware.

Aber auch so ist das Ding schon sehr suspekt.
 
Gaby Salvisberg

Gaby Salvisberg

Super-Moderator
Hallo JJ

16 «Treffer» sind bei Virustotal schon relativ viel. Es muss also etwas in der Datei haben, das diese 16 Antivirus-Programme im Zusammenhang mit Schädlingen bereits gesehen haben.

Der Ausschnitt aus dem Screenshot hilft aber da auch nicht weiter. Ich würde mal versuchen, das System mit einer ganz frisch erstellten, bootfähigen Antivirus-CD zu prüfen. Es kann sein, dass das nur noch die Überreste sind, von einem Trojaner, der sich bereits erfolgreich eingenistet (und mittels Rootkit versteckt) hat oder von einem, der vom Virenscanner entfernt worden ist.

Sicherheitsexperten bringen hier oft diesen sehr guten Vergleich: Du könntest zwar jetzt die Überreste des Trojanischen Pferdes löschen. Aber Du weisst nicht, wieviele «Griechen» sich jetzt in der Stadtmauer (in Deinem System) verbreitet haben.

Ich kann hier daher nicht gross weiterhelfen, ausser dazu raten, was ich auch mit meinem eigenen System machen würde: Wenn ein Schädling es schafft, auf meinem PC eine offensichtlich unerwünschte Datei abzulegen, dann sichere ich meine Daten, formatiere die Festplatte und installiere das System von Grund auf neu.

Herzliche Grüsse

Gaby
 
J

jjkrebs

Stammgast
Ciconocomo, Trojaner an Bord?

Hallo Gabi

Hab die Datei nochmal mit Virustotal gescannt und neu haben 18 Virenscanner die Datei als Trojander definiert.

Hab dann mit meinem Norton Virustool "Power ereaser" die Datei scannen lassen, dieser hat auch reagiert und hat eine Reparatur vorgeschlagen, die scheinbar erfolgreich war.
Auf jeden Fall ist im Ordner "SysWow64" die entsprechende Datei nicht mehr vorhanden.

Ich hoffe dass ich nicht allzu viel, oder lieber noch keine Griechen im System habe. Ansonsten werde ich deinen Vorschlag das System neu aufzusetzen ausführen. Gibt halt verdammt viel Arbeit.

Danke nochmal und liebe Grüsse
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben