Virus kopiert sich selbstständig auf Wecheseldatenträger als .vbs Datei!

Begonnen von Pneuni, 03. Februar 2009, 23:01:50 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Pneuni

Nabend Leute,
ich hab gerad den Arsch offen wegen Schule und sitz an einem Referat für Englisch. Nebenbei hab ich von einer Freundin den Laptop formatiert und vorher ihre Daten gesichert. Anscheinend hatte sie einen Virus  >:D. Ich habe vorher Virenscan durchlaufen lassen, allerdings hat dieser nichts gefunden .

Grober Ablauf: ich stecke Externe rein, sichere Daten, formatier, zieh die Daten wieder drauf.

Beim Sichern ist mir schon aufgefallen, dass die Verzeichnisse C:, E: usw. sich nur über Rechtsklick-Öffnen öffnen lassen... dachte mir dabei nichts weiter dabei. Auf der Externen sah während des Sicherungsrvorgangs die Datei "Brüning.vbs". Dachte mir, die gehört mit zu den eben kopierten Daten.  ::)

Nach dem formatieren und anstecken und Öffnen der Festplatte stockte der PC. Wieder ließ sich das Laufwerk nur über Menüreiter "Öffnen" öffenen. Die "Brüning.vbs"-Datei hieß nun wie der Laptop, für den ich wenige Minuten vorher den Namen eingeben hatte: Notebook01. Die Datei nahm also immer den Namen des jeweiligen Rechners an. Normalerweise müsste man hier schon eine Erläuchtung haben, allerdings war ich mehr in Englisch vertieft  ^-^.

Aus dem Internet geladene Treiber für den Laptop kopierte ich per USB-Stick auf den Rechner... wieder nur über Rechtsklick zu öffnen ... wieder erschien die Datei "Notebook01" - da schaltete ich: irgendwas kopierte sich auf jeden Datenträger, der an den Rechner angeschlossen wurde, nahm immer den Namen von jeweiligen Rechner an und blockierte die normalerweise übliche Methode die Laufwerke über Doppeltklick zu öffnen.

Seitdem hat sich der Virus auf meine eine Externe, einen USB, den formatierten Laptop und den PC meiner Schwester übertragen. Auf dem PC meiner Schwester meldete Antivir sofort nach Anstecken des USBs eine Virenmeldung "HTML/Rce.Gen". Antivir löscht den Virus zwar, beim nächsten Aufruf auf irgendein Laufwerk ist er wieder da. Beim Aufrufen eines Laufwerks wird immer die Felhlermeldung: **Das Laden des Scripts "C:/Windows/System32/"Computename.vbs" " ist fehlgeschlagen (Zugriff verweigert)"** ausgeben, warum auf dem Laptop das Laufwerk sich nach dem Doppeltklick nicht öffnete - hier fehlte die Meldung, da wahrscheinlich Antivir zu alt ( ::)) gewesen ist.

Meine übliche Radikallösung mit Formatierung ist hier nicht angebracht, da sonst wichtige Daten verloren gingen; diese kann man ja nicht sichern ohne den Virus zu bekommen  :(.

Frage: kennt einer von euch das Problem und kann mir sagen, wie ich diesen verdammten Virus wieder wegbekomme, meine Festplatte, den USB, den Laptop und den PC von meiner Schwester wieder sauber bekomme? Vielleich gibts ja irgendeinen Buster oder so. Ich hab schon nach dem Problem gegooglt (LINK (http://forum.chip.de/viren-trojaner-wuermer/viren-vbs-dateien-1031432.html)) allerdings hoff ich, dass es auch eine andere Lösung gibt!

Vielen Dank schonmal.

mfg

Pneuni

PS: Notebook heitß nicht Notebook01 sondern VICTORIA.
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...

Pneuni

Okay... ich bin gerad in Hijackthis und da kommt von Antvir die Meldung : "HTML/silly.gen"... irgendwie kommen jetzt wahrlos Worte in dem Namen der .vbs-Datei vor! (A0000905.vbs [aus C:/Sytem Volume Information...])

€dit
Okay hab nen Log von Antivir mit 36 Datein im o.g. Pfad mit silly.gen! Versuch den Log mal ohne diesen Rechner zu infizieren hier reinzustellen!
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...

J.C.

haben die infizierten laufwerke eine autorun.ini? vermutlich wird darüber als *.vbs skript gestartet. Also 1) ini löschen 2.) *.vbs löschen. Dann ist das Laufwerk sauber (hoffentlich?)







C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V

Pneuni

Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...

Pneuni

Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...

J.C.

paste mal ein Hijackthis logfile, vielleicht gehören noch weitere Prozesse zu dem virus.







C2D 6420 // 3,2Ghz @Nexxxos XP
Gigabyte  P35 DS3P
4096 MB DDR-800 CL4 A-Data Vitesta Ex.
Sapphire HD4890 Vapor-X
60 GB OCZ Vertex
80 GB WD Caviar SE
    
Enermax Liberty 400W
Black ICE Stealth GT360 @ SilenX
                                                      





AMD X2 240 @ Shuriken
Asrock M3A785GMH
2048 MB MDT DDR-800
SkyStar 2HD
Cinergy DT USB XS Diversity
WD15EADS
Seasonic S12II 330W
OrigenAE S10V

Pneuni

Zitieren
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:12:25, on 04.02.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Elantech\ktp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HotKey_Driver\HotKeyDriver.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HotKeyDriver.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe

--
End of file - 2651 bytes

Diese Einträge fehlen seit eben (dieselben wie oben beim Link nur mit dem Namen verändert!)

[Y] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by VICTORIA
[?] O4 - HKLM\..\Run: [VICTORIA] C:\WINDOWS\SYSTEM32\VICTORIA.vbs

Der Fehler bei Laufwerkzugriffen besteht aber weiterhin (VICTORIA.vbs wurde nicht gefunden usw.)

mfg
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...

Pneuni

So.... der Virus ist wirklich weg! So wie's aussieht hat Avast das Ding runtergekloppt! Das einzige Problem ist jetzt noch der Fehler beim öffnen des Laufwerks... wenn einer da noch eine Idee hat!

Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...

tyco

Reinige die Registry mit jv16 PowerTools 2009 (http://www.chip.de/downloads/jv16-PowerTools-2009_13002540.html) dem Nachfolger von Regcleaner.

Insbesondere solltest du den Rechner auf den aktuellen Stand bringen.

WinXP SP1 ist der Stand von vor 4 1/2 Jahren. Mittlerweile gibt es das Service Pack 3 für WinXP. Ebenso ist der IE6 veraltet. Dein veraltetes System kann durchaus dafür verantwortlich sein, dass dein Rechner so verseucht ist.
Bitte keine Supportanfragen per PM stellen.

Pneuni

Joa das mit dem auf den Standbringen ist in der Mache! SP3 sollte ja auch wieder drauf :D. Hab mir gestern Abend noch eine XP CD + SP3 erstellt.... werd nachher nochmal formatieren! Mit dem Cleaner werd ich probieren und vielen Dank nochmal an alle! War echt nervig gestern während ich das Referat gemacht habe.... lief heute übrigens 1a  ;D.

Nochmal für die Leute mit dem gleichen Problem:

1. Antivirsoftware updaten!
2. Hijackthis nach infizierten Daten scannen! (nicht notwendig)
3. Virus vom Rechner kloppen ! (Iich habs mit avast! Antivirus und avast! Virus Cleaner Tool geschafft!)
4. Registry bereinigen!
5. sich vor weiteren Viren schützen ;)


Also bis dann.

Pneuni
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...

Masso

Einen Punkt hast du vergessen:
Verfügbare Updates installieren

*klugsch**** aus*
Welche Zahl nennt man die Unglückszahl? 218593! Weil: Wenn 2 sich 1 sind und nicht 8 geben, wissen sie spätestens in 5 Wochen, daß sie in 9 Monaten 3 sind...

Pneuni

Ähm, der PC wurde formatiert.... da ich bis dato keine SP3 CD im Haus hatte, war er halt im Zustand wie vor 4 1/2 Jahren :P.

Achja... das mit der Registry hat auf dem Laptop funktioniert, aber auf dem anderen Rechner nicht. Daten können jetzt ja gesichert werden. Wollte das Ding eh mal wieder platt machen.


mfg
Die Meldung "Ein unterwarteter Fehler ist aufgetreten" lässt die Frage offen, welchen Fehler Windows eigentlich erwartet hat...