VBS Datei, Kein Doppelklick mehr möglich, "hacked by ..."

#16 Also ich weiß, das es an der Erfurter Uni herumgeht, weil ich es über ca 10 Wege von dort bekommen hab.
Hab auch letzte Woche zufällig jemanden kennengelernt, der höchst wahrscheinlich die VBS-Dateien aus Stendal mit nach Erfurt gebracht hat. Mhh naja

An Telefonmann08...du kannst ja ma ein kurzes Statement zu meinem Programm abgeben, ob alles funktioniert hat.
ciao

#17 Ein dickes Dankeschön aus Dresden,

Hatte vor einer Stunde das gleiche Problem, nur mit zwei *.vbs Dateien aus meiner Schule. Zu aller Erst hatte ich versuch jene Dateien + Auto.inf zu löschen, hat nur zum Teil geklappt, mit Schreibschutz rausmachen, dann den Quellcode drinnen gelöscht und abgespeichert; und dann kam ich erst auf die Idee mal im schlauen Netz zu lunschen.

Daraufhin habsch dann die Registry-Einträge gelöscht, dann die Autoplay-Funktion überall deaktiviert (was ich schon lange mal machen wollte, und jetzt weiß ich warum ...), und das Programm von Tobi13 gestartet, lief fast Einwandfrei, nur eine Weiter-Abbrechen-Ignorieren Abfrage und dann gings zum Endspurt.

Vielen Vielen Dank nochmal !
liebe Grüße Fingurion

#18 hey, ich bin aus Berlin und hatte das gleiche Problem mit dem Doppelklick. . . aber dank dem Programm von " Tobi13 " hat alles wunderbar geklappt und diese merkwürdigen Datein sind endlich weg! das einzige was noch erforderlich war, "ich musste den Rechner neu starten"

Vielen lieben Dank dass sich jemand soviel Mühe gegeben hat um solch ein Programm zu schreiben! Danke!

#19 nachdem ich die vbs-datei von freunden wieder zurückbekommen hab und dann wieder versucht hab die dateien und registryeinträge zu löschen - wieder nur mit ner erfolgsqote von 5 % pro versuch - hab ich das mit dem programm von tobi gemacht und da hats dann beim ersten mal auch gleich überall geklappt! vielen dank!!!

#20 Hi,
nicht vergessen, dass bei aller Effizienz des Proggies der verseuchte USB-Stick deinfiziert werden muss und auch der entsprechende Registryeintrag entfernt werden sollte.
Diesen kann man gut mit combofix erkennen
Beispiele:
http://virus-protect.org/artikel/spyware/vbs-remove.html
__________
MfG Sabina

rund um die PC-Sicherheit

#21 VBS-Virus löschen

1. im taskmanager den Prozess wscipt.exe beenden, aber NICHT löschen
(evtl. auch mehrmals vorhanden bzw. startet es sich manchmal selber nochmal)
2. müssen alle versteckten Datein sichtbar gemacht werden
und auch die Systemdatein müssen angezeigt werden
3. auf die Festplatte (HDD) gehen (bedenke das man mit Rechtsklick drauf gehen muss
und dann auf Öffnen gehen, denn bei Doppelklick installiert sich der Virus erneut)
4. alle "...*.vbs"-Datein (können mehrere sein) löschen, aber nur auf den HDD's, Sticks,
externen HDD's, Handys, ...!
-> (z.B. C:\PCName.vbs)
->KEINE VBS-Datein unter Windows oder System32 löschen!!!
5. auch die "Autorun"-Datei (ist keine Systemdatei von Windows, sondern der Vierus) löschen
6. musst man unter Start->Ausführung "msconfig" eingaben
und dort unter Systemstart alle "...*.vbs"-Datein deaktivieren
7. unter Start->Ausführung "regedit" eingeben, man sollte alle Unterordner im Tree (Baum)
schließen und dannach "Strg+S drücken, um die Suche zu öffnen
8. nun ".vbs" eingeben (aber nicht mit Stern eingeben z.B. *.vbs, sondern OHNE)
mit ENTER die Suche beginnen
9. Bsp: C:\WINDOWS\system32\RunDLL32.EXE ShellExec_RunDLL wscript.exe PCNAME.vbs
-> dort nur das "PCName.vbs" löschen
-> sieht dann als so aus:
„C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe”
-> ABER nichts löschen was nur "vbs" heißt
10. am besten die Suche in der Regedit 2 mal durchsuchen lassen,
denn manche Datein schreiben sich automatisch neu ein
11. wenn alles fertig ist den PC noch neustarten, wenn es nicht gelungen ist,
dann müssen alle Schritte nochmal durchgeführt werden!!
12. Und das an allen PC im Haus, Arbeit, usw durchführen (bitte an Sticks denken
und dort auch die Datein löschen [sind mindestens 2 Datein, einmal "PCName.vbs"
und "Autorun"])

#22 Hi,

mit
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

mit - DANKE Tobi13 ! Für die Erstellung
antivbs.zip - laden - entzippen + anwenden
http://virus-protect.org/zip/antivbs.zip



mit
Combofix (holt die Autorun.inf raus)und einem Combofix-Script (oder REGEDIT4) , hier erstellt im Forum je nach Reg-Eintrag , um die Registry zu reinigen - bekommt man es auch hin
http://virus-protect.org/artikel/spyware/vbs-remove.html
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Vielen Dank tobi,
ich habe auch diesen virus auf meinen festplatten und stiks und dein programm hat alles sauber weggeputzt.
ich komme aus oldenburg und hab das virus wahrscheinlich von nem kumpel aus bremen "bekommen".
jetzt kann ich wieder ruhig schlafen, vielen dank

#24 hallo,

bin aus magdeburg. und hatte bis heute das selbe problem. und dank dem kleinen programm vom tobi habe ich ihn innerhalb von mimuten runterbekommen. danke vielmals nochmal.

#25 hey, komme aus oldenburg und mit dem prog von tobi hat es super geklappt, einmal durchlaufen lassen...alles weg vielen dank nochmal

#26 Hallo auch ich habe das Problem gehabt ich hab es ganz anders gelöst, da kein Antivirenprogramm ihn gefunden hat, bis auf eins (der Name fällt mir grad nicht ein) hab ich kurzer Hand den gesamten Rechner formatiert, das Ding ist logischer Weise weg...ich hab nen Supervirenprogramm drauf das solche Dateien blockt.
Ich bin aus Bamberg...wie man sieht kommt das Teil ganz schön rum....
Danke auf jeden Fall für eure Tipps falls es wieder auftritt muss ich den Rechner wenigtens nicht wieder gleich formatieren, denn das ist ein ganzes Stück arbeit...
glg aus dem sonnigen Süden

#27 Hallo Himbeere
hoffentlich freust du dich nicht zu früh, da sich der Virus normalwerweise über verseuchte USB-Sticks überträgt, pass also auf, wenn du einen anstöpselst
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Hallo Sabina
Keine Angst ich war mutig ich hab den Virus aus unserem Kopieshop, als Student braucht man den bekanntlich öfter, und ich hab den verseuchten Stick (hab die Dateien drauf gefunden, als ich ihn wieder im Kopieshop angestöpselt hab) an meinen befreiten Rechner gehängt und es kam nichts drauf...er ist nicht infiziert und ich kann normal auf die Dateien auf dem Stick zugreifen...
Erst ging das Doppelklicken auf den Stick nicht und es kam die anzeige das er ...vbs. Skritdatei nicht gefunden hat...da hatte ich schon voll Angst...hab ich gleich wieder alles überprüft, aber nichts gefunden nirgends
Und nun hab ich auch das Programm von Tobi13 (vielen Dank dafür) nochmal drüber laufen lassen, hat auch nichts gefunden und der Virenscanner ist echt teuer und gut...also ich bin geschützt und unbesorgt
Meinen Stick hab ich auch prüfen lassen (im Kopieshop hab ich Dateien wie gesagt gesehen) aber das Programm hat nichts gefunden und als ich drauf geschaut hab waren da auch keine bösen Dateien drauf, also muss mein Virenprogramm da aufgepasst und sich drum gekümmert haben
Denn alles funktioniert wunderbar...nun muss ich nur die im Kopieshop versuchen zu überzeugen, dass sie nen Virus haben, denn sie haben schon überall dicke Plakate das sie keinen Virus hätten und das der Virenscan nichts gezeigt hat, naja Schei... Virenprogramm würd ich sagen, meine alten haben ihn ja auch nicht gefunden...und ich hab mir mal erlaubt nach zu schauen auf deren Festplatten und sie haben die gleichen Symptome (Doppelklick geht nicht) und sie haben unmengen an vbs. Dateien drauf und autorun zeug...naja ich hoffe ich habe Erfolg...aber abwarten
glg

#29 Meinen herzlichsten Dank an Tobi13 !!!
Habe sein Proggi genutz, 3 Partitionen auf meiner HDD, 3 auf meiner Wechselplatte und zwei USB Sticks erfolgreich desinfizieren können.
Bin mir sicher die vbs Dateie aus Kassel (Möbelhaus Finke) bekommen zu haben, meine Schwester arbeitet dort hatte meinen USB-Speicher mit um was zu drucken danach hatte ich die besagte autorun.inf und *.vsb Datei drauf, der Rechner in Kassel heißt "KSDEKO1" wer weiß vll taucht dies ja nochmal auf.

Vielen Dank

#30 Hallo!

Im Raum Bielefeld macht sich der Virus inzwischen auch breit, ich habe die obigen Verfahren mal zusammen zu einem "für Dummies" vereint.

Unter http://www.rpg-domain.de/hacked_by/Hacked_by_Entfernen.iso findet Ihr ein CD-Image der untigen Anleitung mit allen benötigten Tools direkt zur Ausführung (also CD rein und starten). Im Verzeichnis "_Resources" der CD sind weitere Tools, Anleitungen und Hintergrundinfos aus dem Netz.

Unter
http://www.rpg-domain.de/hacked_by/Switch_AutoPlay_XP.zip findet Ihr ein Tool, das per Doppelklick ein in ein AutoIt-Script integriertes TweakUI XP temporär in C:\ entpackt und sämtliche für die schnelle Ausbreitung des Virus verantwortlichen AutoPlay-Funktionen (de)aktiviert. Danach wird TweakUI wieder von der Platte gelöscht.

Nun zur Anleitung der (hoffentlich wirklich kompletten) Entfernung "für Dummies":

- - - - - - - - - - - - - - -

Der "Hacked by..." - VBS-Virus kann wie folgt entfernt werden:


1. Anschließen *aller* USB-Sticks, SD-Karten und externen Festplatten und Ausführen von "ANTIVIR_CONSOLE.EXE". Es werden alle autorun.inf und einige .vbs-Dateien gelöscht. Die Namen der .vbs-Dateien sollte man sich für Schritt 3 merken.

Sind nicht genügend Anschlüsse für alle Laufwerke vorhanden, ist dieser
Schritt zu wiederholen.


2.a. Im Arbeitsplatz unter "Extras" -> "Ordneroptionen" -> "Ansicht" folgende Einstellungen vornehmen:

"Erweiterungen bei bekannten Dateitypen ausblenden" *DE*aktivieren "Geschützte Systemdateien ausblenden (empfohlen)" *DE*aktivieren "Versteckte Dateien und Ordner" -> "Alle Dateien und Ordner anzeigen" AKTIVIEREN

So wird sicher gegangen, dass wirklich alle Dateien angezeigt werden und auch von dem Dateityp sind, der sie vorgeben zu sein.


2.b. Bei weiterhin angeschlossenen Laufwerken über "Start" -> "Suchen" -> "Dateien und Ordnern" "Suchen in:" -> "Arbeitsplatz" wählen und nach "*.vbs" suchen lassen. Dateien, die "BENUTZERNAME.vbs" oder "RECHNERNAME.vbs" (also z.B. "ALEX.vbs" o.ä.) heißen, löschen. So wird eine evtl. Neuinfektion über auf dem Rechner noch vorhandene Dateien verhindert.

Sind nicht genügend Anschlüsse für alle Laufwerke vorhanden, ist dieser Schritt zu wiederholen.


3. "HijackThis.exe" starten. "Do a system scan only" anklicken. Einträge der Art

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by FIPS
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by CORE2QUAD
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by PCBERND
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by MAX_PC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by ALEX

und

O4 - HKLM\..\Run: [FIPS] C:\WINDOWS\SYSTEM32\FIPS.vbs
O4 - HKLM\..\Run: [CORE2QUAD] C:\WINDOWS\SYSTEM32\CORE2QUAD.vbs
O4 - HKLM\..\Run: [PCBERND] C:\WINDOWS\SYSTEM32\PCBERND.vbs
O4 - HKLM\..\Run: [MAX_PC] C:\WINDOWS\SYSTEM32\MAX_PC.vbs
O4 - HKLM\..\Run: [ALEX] E:\WINXP\SYSTEM32\ALEX.vbs

(vgl. Schritt 1.) markieren / auswählen und "Fix checked" anklicken. Schädliche Einträge in der Registry werden nun entfernt.


4. Evtl. die Einstellungen von 2.a. wieder rückgängig machen.


5. Evtl. die AutoPlay-Funktionen, die für die simple Verbreitung des Virus verantwortlich sind, mittels Ausführen von "Switch_AutoPlay_XP.exe" deaktivieren.

- - - - - - - - - - - - - - -

Vielleicht hilft's ja dem einen oder anderen.

René