Startseite

[HWE-News] [HWE-FAQ] [Tests] [Artikel] [Softwareecke] [RC5-Proxy] [Overclocking] [TreiberEcke] [HWE-FanShop] [Links]

Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
20. September 2018, 19:42:50 Uhr

Einloggen mit Benutzername, Passwort und Sitzungslänge
Suche:     Erweiterte Suche
223521 Beiträge in 24106 Themen von 18385 Mitglieder, Neuestes Mitglied: Harrys

RC5-Teamstats: Gestern: 0 WUs, . Platz,
Gesamt: 0 WUs, . Platz ( Members)

Übersicht Hilfe Suche Kalender Einloggen Registrieren
HWE-Forum.de  |  Internet und Co.  |  Schutz & Sicherheit (Moderatoren: TMK, American, gandal)  |  Thema: Virus kopiert sich selbstständig auf Wecheseldatenträger als .vbs Datei!
0 Mitglieder und 1 Gast betrachten dieses Thema. « vorheriges nächstes »
Seiten: [1] Nach unten Thema versenden Drucken
Autor Thema: Virus kopiert sich selbstständig auf Wecheseldatenträger als .vbs Datei!  (Gelesen 6475 mal)
Pneuni
800x600 Surfer
***

Ranking: 1
Offline Offline

Geschlecht: Männlich
Beiträge: 116


« am: 03. Februar 2009, 23:01:50 Uhr »

Nabend Leute,
ich hab gerad den Arsch offen wegen Schule und sitz an einem Referat für Englisch. Nebenbei hab ich von einer Freundin den Laptop formatiert und vorher ihre Daten gesichert. Anscheinend hatte sie einen Virus  >:D. Ich habe vorher Virenscan durchlaufen lassen, allerdings hat dieser nichts gefunden .

Grober Ablauf: ich stecke Externe rein, sichere Daten, formatier, zieh die Daten wieder drauf.

Beim Sichern ist mir schon aufgefallen, dass die Verzeichnisse C:, E: usw. sich nur über Rechtsklick-Öffnen öffnen lassen... dachte mir dabei nichts weiter dabei. Auf der Externen sah während des Sicherungsrvorgangs die Datei "Brüning.vbs". Dachte mir, die gehört mit zu den eben kopierten Daten.  ::)

Nach dem formatieren und anstecken und Öffnen der Festplatte stockte der PC. Wieder ließ sich das Laufwerk nur über Menüreiter "Öffnen" öffenen. Die "Brüning.vbs"-Datei hieß nun wie der Laptop, für den ich wenige Minuten vorher den Namen eingeben hatte: Notebook01. Die Datei nahm also immer den Namen des jeweiligen Rechners an. Normalerweise müsste man hier schon eine Erläuchtung haben, allerdings war ich mehr in Englisch vertieft  ^-^.

Aus dem Internet geladene Treiber für den Laptop kopierte ich per USB-Stick auf den Rechner... wieder nur über Rechtsklick zu öffnen ... wieder erschien die Datei "Notebook01" - da schaltete ich: irgendwas kopierte sich auf jeden Datenträger, der an den Rechner angeschlossen wurde, nahm immer den Namen von jeweiligen Rechner an und blockierte die normalerweise übliche Methode die Laufwerke über Doppeltklick zu öffnen.

Seitdem hat sich der Virus auf meine eine Externe, einen USB, den formatierten Laptop und den PC meiner Schwester übertragen. Auf dem PC meiner Schwester meldete Antivir sofort nach Anstecken des USBs eine Virenmeldung "HTML/Rce.Gen". Antivir löscht den Virus zwar, beim nächsten Aufruf auf irgendein Laufwerk ist er wieder da. Beim Aufrufen eines Laufwerks wird immer die Felhlermeldung: **Das Laden des Scripts "C:/Windows/System32/"Computename.vbs" " ist fehlgeschlagen (Zugriff verweigert)"** ausgeben, warum auf dem Laptop das Laufwerk sich nach dem Doppeltklick nicht öffnete - hier fehlte die Meldung, da wahrscheinlich Antivir zu alt ( ::)) gewesen ist.

Meine übliche Radikallösung mit Formatierung ist hier nicht angebracht, da sonst wichtige Daten verloren gingen; diese kann man ja nicht sichern ohne den Virus zu bekommen  :(.

Frage: kennt einer von euch das Problem und kann mir sagen, wie ich diesen verdammten Virus wieder wegbekomme, meine Festplatte, den USB, den Laptop und den PC von meiner Schwester wieder sauber bekomme? Vielleich gibts ja irgendeinen Buster oder so. Ich hab schon nach dem Problem gegooglt (LINK) allerdings hoff ich, dass es auch eine andere Lösung gibt!

Vielen Dank schonmal.

mfg

Pneuni

PS: Notebook heitß nicht Notebook01 sondern VICTORIA.
« Letzte Änderung: 04. Februar 2009, 15:09:51 Uhr von Pneuni » Gespeichert
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...
Pneuni
800x600 Surfer
***

Ranking: 1
Offline Offline

Geschlecht: Männlich
Beiträge: 116


« Antwort #1 am: 03. Februar 2009, 23:18:02 Uhr »

Okay... ich bin gerad in Hijackthis und da kommt von Antvir die Meldung : "HTML/silly.gen"... irgendwie kommen jetzt wahrlos Worte in dem Namen der .vbs-Datei vor! (A0000905.vbs [aus C:/Sytem Volume Information...])

€dit
Okay hab nen Log von Antivir mit 36 Datein im o.g. Pfad mit silly.gen! Versuch den Log mal ohne diesen Rechner zu infizieren hier reinzustellen!
« Letzte Änderung: 03. Februar 2009, 23:24:55 Uhr von Pneuni » Gespeichert
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...
J.C.
HWE-Freak
*******

Ranking: 71
Offline Offline

Geschlecht: Männlich
Beiträge: 2134


amtlich anerkannter Fachidiot

« Antwort #2 am: 03. Februar 2009, 23:32:35 Uhr »

haben die infizierten laufwerke eine autorun.ini? vermutlich wird darüber als *.vbs skript gestartet. Also 1) ini löschen 2.) *.vbs löschen. Dann ist das Laufwerk sauber (hoffentlich?)
Gespeichert





C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
     Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      




AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V
Pneuni
800x600 Surfer
***

Ranking: 1
Offline Offline

Geschlecht: Männlich
Beiträge: 116


« Antwort #3 am: 04. Februar 2009, 05:59:56 Uhr »

Okay ich probiers mal aus... danke!
Gespeichert
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...
Pneuni
800x600 Surfer
***

Ranking: 1
Offline Offline

Geschlecht: Männlich
Beiträge: 116


« Antwort #4 am: 04. Februar 2009, 08:00:45 Uhr »

Gute Idee, birngt leider nichts.... Virus ist trotzdem noch da!
Gespeichert
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...
J.C.
HWE-Freak
*******

Ranking: 71
Offline Offline

Geschlecht: Männlich
Beiträge: 2134


amtlich anerkannter Fachidiot

« Antwort #5 am: 04. Februar 2009, 10:51:10 Uhr »

paste mal ein Hijackthis logfile, vielleicht gehören noch weitere Prozesse zu dem virus.
Gespeichert





C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
     Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      




AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V
Pneuni
800x600 Surfer
***

Ranking: 1
Offline Offline

Geschlecht: Männlich
Beiträge: 116


« Antwort #6 am: 04. Februar 2009, 15:15:27 Uhr »

Zitat
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:12:25, on 04.02.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Elantech\ktp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HotKey_Driver\HotKeyDriver.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HotKeyDriver.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

--
End of file - 2651 bytes

Diese Einträge fehlen seit eben (dieselben wie oben beim Link nur mit dem Namen verändert!)

[Y] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by VICTORIA
[?] O4 - HKLM\..\Run: [VICTORIA] C:\WINDOWS\SYSTEM32\VICTORIA.vbs

Der Fehler bei Laufwerkzugriffen besteht aber weiterhin (VICTORIA.vbs wurde nicht gefunden usw.)

mfg
« Letzte Änderung: 04. Februar 2009, 15:18:29 Uhr von Pneuni » Gespeichert
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...
Pneuni
800x600 Surfer
***

Ranking: 1
Offline Offline

Geschlecht: Männlich
Beiträge: 116


« Antwort #7 am: 04. Februar 2009, 17:09:52 Uhr »

So.... der Virus ist wirklich weg! So wie's aussieht hat Avast das Ding runtergekloppt! Das einzige Problem ist jetzt noch der Fehler beim öffnen des Laufwerks... wenn einer da noch eine Idee hat!

Gespeichert
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...
tyco
Admin
******

Ranking: 713
Offline Offline

Geschlecht: Männlich
Beiträge: 20346


HWE rocks!

« Antwort #8 am: 04. Februar 2009, 17:17:36 Uhr »

Reinige die Registry mit jv16 PowerTools 2009 dem Nachfolger von Regcleaner.

Insbesondere solltest du den Rechner auf den aktuellen Stand bringen.

WinXP SP1 ist der Stand von vor 4 1/2 Jahren. Mittlerweile gibt es das Service Pack 3 für WinXP. Ebenso ist der IE6 veraltet. Dein veraltetes System kann durchaus dafür verantwortlich sein, dass dein Rechner so verseucht ist.
Gespeichert
Bitte keine Supportanfragen per PM stellen.
Pneuni
800x600 Surfer
***

Ranking: 1
Offline Offline

Geschlecht: Männlich
Beiträge: 116


« Antwort #9 am: 04. Februar 2009, 17:32:59 Uhr »

Joa das mit dem auf den Standbringen ist in der Mache! SP3 sollte ja auch wieder drauf :D. Hab mir gestern Abend noch eine XP CD + SP3 erstellt.... werd nachher nochmal formatieren! Mit dem Cleaner werd ich probieren und vielen Dank nochmal an alle! War echt nervig gestern während ich das Referat gemacht habe.... lief heute übrigens 1a  ;D.

Nochmal für die Leute mit dem gleichen Problem:

1. Antivirsoftware updaten!
2. Hijackthis nach infizierten Daten scannen! (nicht notwendig)
3. Virus vom Rechner kloppen ! (Iich habs mit avast! Antivirus und avast! Virus Cleaner Tool geschafft!)
4. Registry bereinigen!
5. sich vor weiteren Viren schützen ;)


Also bis dann.

Pneuni
Gespeichert
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...
Masso
Poweruser
******

Ranking: 9
Offline Offline

Geschlecht: Männlich
Beiträge: 1317

Guckste weiter

« Antwort #10 am: 04. Februar 2009, 22:05:35 Uhr »

Einen Punkt hast du vergessen:
Verfügbare Updates installieren

*klugsch**** aus*
Gespeichert
Welche Zahl nennt man die Unglückszahl? 218593! Weil: Wenn 2 sich 1 sind und nicht 8 geben, wissen sie spätestens in 5 Wochen, daß sie in 9 Monaten 3 sind...
Pneuni
800x600 Surfer
***

Ranking: 1
Offline Offline

Geschlecht: Männlich
Beiträge: 116


« Antwort #11 am: 05. Februar 2009, 19:12:11 Uhr »

Ähm, der PC wurde formatiert.... da ich bis dato keine SP3 CD im Haus hatte, war er halt im Zustand wie vor 4 1/2 Jahren :P.

Achja... das mit der Registry hat auf dem Laptop funktioniert, aber auf dem anderen Rechner nicht. Daten können jetzt ja gesichert werden. Wollte das Ding eh mal wieder platt machen.


mfg
Gespeichert
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...
Seiten: [1] Nach oben Thema versenden Drucken 
HWE-Forum.de  |  Internet und Co.  |  Schutz & Sicherheit (Moderatoren: TMK, American, gandal)  |  Thema: Virus kopiert sich selbstständig auf Wecheseldatenträger als .vbs Datei! « vorheriges nächstes »
 

Impressum | SMF 2.0.15 | SMF © 2011, Simple Machines
Seite erstellt in 0.089 Sekunden mit 24 Abfragen.