VBS Datei, Kein Doppelklick mehr möglich, "hacked by ..."

#0
07.04.2008, 01:52
...neu hier

Beiträge: 1
#1 Hallo,

ich habe seid ein paar Tagen ein Problem, das ich nicht gelöst gekriegt habe. Foren habe ich schon durchsucht, aber bisher habe ich nix Wirksames gefunden.

Mir ist aufgefallen, dass ich meine Laufwerke nicht mehr mit einem Doppelklick öffnen konnte. Außerdem häuften sich seltsame Datein auf meinem USB Stick, wenn ich ihn irgendwo an einem fremden Comuter benutzt hab.

Zudem ließen sich auch dort die Laufwerke nach meiner Anwesenheit nicht mehr öffnen und die Datei war dann dort überall verteilt -.-

Der Inhalt der Datei lautete wie folgt:

Anm. Mod: VB-Script nach intern kopiert

Ich habe umsichtig versucht alle dieser aufgelisteten Dateien zu löschen (ein Doppelklick erstellt umgehend alle Dateien neu) =/ Aber sie kommen immer wieder.

An sich tötet es meinen Rechner nicht, okay, aber ich würde es gern los werden.

Danke für eure Antworten
Seitenanfang Seitenende
07.04.2008, 08:16
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

SYSOPT: sofort raus mit dem Ding, das hier ein "Virussample", der sich mit Hilfe einer autorun(-inf) über USB-Sticks weiter verbreitet...sowie in das system32-Dir sich kopiert und ausführen lässt...
Script-kiddys..

So, das Ding wird hierüber immer wieder gestartet:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname,
-und-
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
daher diese Regeinträge löschen und das Windows-Systemverzeichnis, Unterverzeichnis System32 von *.vbs befreien, sowie von alle USB-Sticks/HDD die *.vbs-Dateien löschen (dazu autorun für Laufwerke ausschalten, http://www.autoruncd.de/)...

chris
Dieser Beitrag wurde am 07.04.2008 um 08:26 Uhr von Chris4You editiert.
Seitenanfang Seitenende
07.04.2008, 11:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo Curare

zusätzlich:
wende Combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2008, 16:15
...neu hier

Beiträge: 3
#4 meine usb-sticks und meine externe festplatte konnt ich schon von dem vbs und inf befreien, nur mein interne nicht, die registryeinträge und die beiden dateiben (vbs und inf) auf der festplatte, sowie die eintragungen im registry komen immer wieder... um genau zu sein, die datei C:/*.vbs lässt sich nicht löschen!
bitte um hilfe!
Seitenanfang Seitenende
08.04.2008, 16:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 wenn du machen wuerdest, was ich geschrieben hab, dann koennte ich dir helfen.
es macht echt keinen Spass, in bestimmten Threads mehrmals das gleiche runterleiern zu müssen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2008, 18:11
...neu hier

Beiträge: 3
#6 hab es nun doch alleine hinbekommen...
wie kann man sich gegen solche dateien schützen?
antivirenprogramme erkennen nur die Trojaner aber nicht diese kleinen mutierten versionen...
Seitenanfang Seitenende
10.04.2008, 01:35
...neu hier

Beiträge: 5
#7 moin, hab das gleiche problem

@Chris4You: hab deine tipps befolgt, nur dass das file und der reg-eintrag immer wieder kommen
@sabina: deine hilfe is sicher kompetent, aber ich möchte bevor ich dieses tool combofix durchlaufen lassen, noch eine andere möglichkeit nutzen, diesem virus den gar auszumachen
@gollommbus: bitte poste, wasdu gemacht hast, um das ding entgültig zu entfernen! möchte es auch loswerden...

danke schon im vorraus!
Seitenanfang Seitenende
10.04.2008, 10:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ich habe mal hier eine Seite rausgekramt, wo USB-Stick verseucht war (allerdings keine vbs-Datei
wie man sehen kann: die Reg-Einträge kann man somit erkennen + auslöschen ;)
http://virus-protect.org/artikel/spyware/activexdebugger32.html

einen vbs-Fall hatte ich auch schon, war sehr hartnäckig, konnte dann mit combofix und dr.Web bereinigt werden
http://virus-protect.org/cureit.html

nur mit dem blossen Hinweis: mein USB-Stick ist verseucht.... kann man schlecht Hilfestellung geben. Eine Glaskugel hab ich nicht ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2008, 13:21
...neu hier

Beiträge: 5
#9 danke, ich probier mich mal durch... vllt. funktioniert ja auch in meinem fall.
also hier nochmal ein paar details:
mein cousin war gestern bei mir, weil sein system nichmehr angesprungen is und er kein plan hatte warum, also haben wir seine platte an mein rechner gehängt.
hatte keine bedenken, hab zuverlässiges antiviren- und antispyprogramm und halt ne firewall... also spysweeper und antivirenscanner über seine platte gejagt und bäm prompt nen ganzen baum an virenstämmen in seinem system32 gefunden.
alles gereinigt und alles lief wieder wunderbar -okay das hat jetzt nix mit dem problem ansich zutun^^- also sorry für meinen ausschweifer, bin grad erst aufgestanden und muss erstma klar kommen^^
...aber er hat schon seit ewigkeiten dieses doppelklickproblem, dass er seine festplatten und laufwerke nicht mehr so öffnen kann. er hat mir erzählt ein guter freund von uns beiden, der ihm mal sein usb-stick gegeben hat, hatte das auch und danach wars auch bei ihm aufm rechner und er meinte, es wär kein problem, das kannman irgendwie beheben...
okay zunächst konnten sich meinen festplatten noch öffnen auch mit doppelklick, aber als er dann weg war samt seiner hdd, stellte ich fest, dassdas bei mir jetzt auchso ist.
also google > diese seite gefunden und wie oben von Chris4You beschrieben finde ich im regeditor die besagten 2einträge und im system32 findet sich eine datei namens "pubprn.vbs" ... habe nach der anleitung erst die regeinträge gelöscht und dann das besagte file. nachner zeit hat sich alles wieder eingetragen... hab auch den ganzen rechner mal nach *.vbs-files durchsucht, da kam schonso 20 zusammen >frage: sind das alles zum virus zugehörige datein?
und irgendwie war da oben noch was mit inf-files, aber das wurde nur angerissen, was hat es damit aufsich!?
usbstick hab ich momentan garnich dran, deswegen stelltsich das problem bei mir nicht, dass da noch was befallen sein könnte, die anderen festplatten weißen bis auf die durch die windowssuche gefundenen vbs-datein auch keine weiteren spuren von dem ding auf...
soweit von mir, ich danke euch für hilfe!!!
Seitenanfang Seitenende
10.04.2008, 15:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 der Rechner verseucht sich immer wieder neu, sobald man den USB-Stick anschliesst.
Da du das nicht vorhast, jage erst mal den dr.web drüber und dann schaue ich mir das log von Combofix an (oder umgedreht)...wie du willst.
Combofix zuerst wäre besser, weil das Proggie die autorun-Dateien auf allen Laufwerken gleich rausnimmt.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2008, 20:57
...neu hier

Beiträge: 5
#11 SO...
viel arbeit, unzureichendes ergebnis...
hab erst combofix drüber gejagt dann dr.web.
hier beide logfiles:
http://www.filefactory.com/file/24c45f/
http://www.filefactory.com/file/0ea2dc/

ergebnis ist, dass der doppelklick wieder geht, die verursacherdatei von meinem cousin weg ist (die vbs-datei mit "KILI" im namen) und der regeintrag unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
verschwunden ist...
nur der eig. verursacher samt immerwiederkehrender regeintrag unter
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
sind weiterhin existend. außerdem weißt die "autorun.inf" in jedem laufwerk den inhalt
"[autorun]
shellexecute=wscript.exe MIGGADANIGGA.vbs"
auf...
jedesmal wenn ich dabei bin alle dieser rückbleibsel zu löschen, taucht spätestens bei der letzten fehler meldung "...ist eine systemdatei..." der ganze ziklus wieder auf...
wirstu ausden logfiles schlau???

p.s.: mein pc heißt miggadanigga


........................................................etwa 10min. später......................

OKAYYY, anscheinend hab ich ihm jetzt doch den gar aus gemacht...
habe diesmal erst alle *.vbs-datein gelöscht, dann den regeintrag und zu guter letzt alle inden laufwerken liegende autorun.inf's
es kommt auch nix wieder... es seidenn, es liegt noch irgendwo was dazu gehört und das ist mir grad eingefallen, ich hatte gestern noch eine externe festplatte dran... also wie bekomme ich den von dort runter, ohne ihn wieder aufmein system zu holen?
Dieser Beitrag wurde am 10.04.2008 um 21:06 Uhr von Telefonmann08 editiert.
Seitenanfang Seitenende
11.04.2008, 00:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 nun, dort auch Combofix + Dr.web drueberjagen + manuell den Rest raus, wie du schon gemacht hast.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2008, 16:41
...neu hier

Beiträge: 5
#13 na das mach ichma später, bin froh, dass der erstma weg is und bedanke mich für deine topp hilfe!!!
haurein!
Seitenanfang Seitenende
20.04.2008, 20:58
...neu hier

Beiträge: 3
#14 Viele meiner Freunde und ich auch hatten das gleiche Problem...hab darauf ma ein kleines Programm geschrieben, was die Schei... entfernt.
Ihr könnt das Prog auch gerne weitergeben.

Wenn ihr den Virus besitzt, könnt ihr hier ma reinschreiben wo ihr alle herkommt.
Es ist nämlich ganz interessant anzusehen, wie der "Virus" seine Bahnen zieht.

Bye

Seitenanfang Seitenende
24.04.2008, 13:56
...neu hier

Beiträge: 5
#15 das is geil tobi13! DANKE, so bekomme ich das ding endgültig aus unserem freundeskreis entfernt (ein freund von mir hat schon 4versch. VBS-datein auf seinem rechner)...
wir kommen alle aus leipzig (also alle, von denen ich das haben könnte und ich halt), aber wo es ursprünglich her ist, weiß ich nicht.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: