%Benutzername%.vbs Nachwirkungen

  • geschlossen
  • Problem

  • Jannik
  • 1621 Aufrufe 11 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • %Benutzername%.vbs Nachwirkungen

    Hallo Leute,

    ich habe vor circa einem Monat mal einen Virus gelöscht, der sich über USB-Stick verbreitet.

    Jedesmal wenn ich auf eine Festplatte klicke, hat er sich durch einen Autorun.inf wieder gestartet und erneut sich auf jede Festplatte am Computer incl. Autorun.inf kopiert.

    Den Virus habe ich jetzt gekillt, vollständig und ohne weitere Spuren. Leider habe ich ein letztes Problem:

    Immer, wenn ich meine D-Festplatte (Die Sekundäre) öffnen will, kommt es zu folgender Meldung:



    Ich habe mir schon ziemlich viel Arbeit damit gemacht, aber es hat nichts gebracht...

    Ich habe alles nach der Autorun.inf durchsucht (inklusive versteckte Inhalte), aber keine Spur bei WinXP...

    Mit der Knoppix Boot CD sehe ich zwar eine Autorun.inf, aber immer wenn ich die löschen will:"Kann nicht gelöscht werden..."

    Könntet ihr mir vielleicht helfen?

    Danke schonmal,

    Jannik93

  • Frage

    Hi,
    hast du den auch schon mal TuneUp und Co. getestet? Vielleicht hilft das ja was...

    Sonst kann ich dir noch Glary Utilities Pro empfehlen, der sucht unter anderem nach möglicher Spyware und Adware in der Registrierungsdatenbank auf dem Rechner, vielleicht hilft da eins von den beiden Programmen weiter...

    Gruß
    ExXxtrem93

  • jannik93 schrieb:


    ich habe vor circa einem Monat mal einen Virus gelöscht, der sich über USB-Stick verbreitet.

    Jedesmal wenn ich auf eine Festplatte klicke, hat er sich durch einen Autorun.inf wieder gestartet und erneut sich auf jede Festplatte am Computer incl. Autorun.inf kopiert.

    Den Virus habe ich jetzt gekillt, vollständig und ohne weitere Spuren. Leider habe ich ein letztes Problem:

    Immer, wenn ich meine D-Festplatte (Die Sekundäre) öffnen will, kommt es zu folgender Meldung:

    Hallo

    Das deutet daraufhin, dass auf deinem PC noch ein Verweis auf den Virus sein muss. Irgendwo steht ein Eintrag, der versucht, den nun nicht mehr vorhandenen Virus zu laden.

    Mache also bitte zuerst mal ein Hijackthislog, dann sehen wir weiter.

    Mfg

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Ineedhelp!2nd ()

  • Na, HiJack ist sauber, der bin ich mir 100%ig sicher, ich probiere jetzt mal TuneUp aus, wenn es nicht klappen sollte, poste ich den Log nochmal zur Sicherheit.

    Und falls ihr denkt, das ich hier der absolute Nichtskönner bin: Ne, also, in der Schule hab ich schon einige ausgezeichnete Taten zum Thema Trojaner und weiteres beigetragen, aber ich will ja nicht angeben, sry...

    Danke nochmal, wir hören von einander (gleich vielleicht schon) :)

    Edit:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:42:45, on 15.02.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\xampp\apache\bin\apache.exe
    C:\xampp\apache\bin\apache.exe
    C:\xampp\mysql\bin\mysqld-nt.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
    C:\WINDOWS\System32\TUProgSt.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by JANNIK-TEAMBBB
    O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 9\SnagItBHO.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 9\SnagItIEAddin.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com/microsoft…eb_site.cab?1232016017375
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
    O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
    O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
    O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe
    O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe
    O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PC2AM2P_PROC - Unknown owner - C:\Programme\PC 2 Answering Machine Pro\PC2AM2P_PROC.exe (file missing)
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

    --
    End of file - 6224 bytes


    TuneUp hat nicht geklappt :(

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Jannik ()

  • jannik93 schrieb:


    Mit der Knoppix Boot CD sehe ich zwar eine Autorun.inf, aber immer wenn ich die löschen will:"Kann nicht gelöscht werden..."


    Gut, dann suchen wir nochmal nach dieser Datei.
    Erstelle ein Neues Textdokument, kopiere folgendes rein:

    Quellcode

    1. @echo off
    2. set log="%userprofile%\Desktop\files.txt"
    3. if exist %log% del %log%
    5. for %%d in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
    6. if exist %%d:\ (
    7. %%d:
    8. cd \
    9. dir *.vbs;autorun.inf /s
    10. dir *.vbs;autorun.inf /ah /s
    11. attrib
    12. )
    13. ) >> %log%
    14. start notepad %log%
    Alles anzeigen

    Speichere das Textdokument, schliesse es und benenne es um in findfiles.bat

    Führe diese bat-Datei dann aus, nach einer kurzen Zeit öffnet sich dann der Editor mit dem Logfile. Poste dieses hier.

    Achtung: Es kann zu der Fehlermeldung "Windows kein Datenträger" kommen, diese kannst du aber getrost ignorieren.

    Mfg

  • okay:

    Volume in Laufwerk C: hat keine Bezeichnung.
    Volumeseriennummer: 2062-B08A

    Verzeichnis von C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009

    25.04.2008 18:08 314 opera_banner_deny.vbs
    1 Datei(en) 314 Bytes

    Verzeichnis von C:\WINDOWS\Installer\tsclientmsitrans

    12.12.2007 16:03 18.917 tscinst.vbs
    30.10.2007 15:36 13.801 tscuinst.vbs
    2 Datei(en) 32.718 Bytes

    Verzeichnis von C:\WINDOWS\ServicePackFiles\i386

    12.12.2007 16:03 18.917 tscinst.vbs
    30.10.2007 15:36 13.801 tscuinst.vbs
    2 Datei(en) 32.718 Bytes

    Verzeichnis von C:\WINDOWS\system32

    04.08.2004 13:00 3.758 pubprn.vbs
    1 Datei(en) 3.758 Bytes

    Verzeichnis von C:\WINDOWS\system32\dllcache

    04.08.2004 13:00 3.758 pubprn.vbs
    1 Datei(en) 3.758 Bytes

    Anzahl der angezeigten Dateien:
    7 Datei(en) 73.266 Bytes
    0 Verzeichnis(se), 4.545.724.416 Bytes frei
    Volume in Laufwerk C: hat keine Bezeichnung.
    Volumeseriennummer: 2062-B08A
    A C:\AUTOEXEC.BAT
    SHR C:\boot.ini
    A SHR C:\bootfont.bin
    A C:\CONFIG.SYS
    A SHR C:\IO.SYS
    A C:\lxcf.log
    A SHR C:\MSDOS.SYS
    A SHR C:\NTDETECT.COM
    A SHR C:\ntldr
    A SH C:\pagefile.sys
    Datentr„ger in Laufwerk D: ist Daten
    Volumeseriennummer: 0483-071A
    Datentr„ger in Laufwerk D: ist Daten
    Volumeseriennummer: 0483-071A

    Verzeichnis von D:\

    26.01.2009 21:52 110 autorun.inf
    1 Datei(en) 110 Bytes

    Verzeichnis von D:\WoW - Wrath of the Lich King - DVD\Lich King (E)

    29.08.2008 07:12 48 autorun.inf
    1 Datei(en) 48 Bytes

    Anzahl der angezeigten Dateien:
    2 Datei(en) 158 Bytes
    0 Verzeichnis(se), 7.854.993.408 Bytes frei
    A SHR D:\autorun.inf
    A D:\burnburnburn.summerhost.info.pdf
    A D:\DarkShot2.exe
    A D:\DVD-šbersicht.docx
    A D:\Jannik93.nfo
    A D:\motherboard_manual_ga-k8nmf-9_g.pdf
    A D:\PwJs.txt
    A D:\wow-3.0.3.9183-to-3.0.8.9464-dede-patch.zip


    Komisch, da haben wir die dämliche Autorun wieder:
    A SHR D:\autorun.inf

  • Kann es sein das Du ein NTFS Dateisystem hast, und Knoppix deshalb keinen schreibenen Zugriff auf das Dateisystem hast ?

    Öffne mal ein DOS Fenster (Start, Ausführen, CMD, Enter), und tippe dort ein: "attrib -S -H -R d:\autorun.inf" und dann Enter, also Datenfreigabe, danach "del d:\autorun.inf"


    Das sollte helfen, alternativ kannst Du natürlich auch die Autorunfunktion deaktivieren. Über Eigenschaften im Explorer.


    cu

    HPandCO

  • Lade dir OT MoveIt und führe es aus.
    Schreibe dann in dann linke Spalte (die mit gelbem Titel) folgendes:
    :files
    D:\autorun.inf

    Mache auch einen Haken bei "Unregister Dll's and Ocx's"
    Klicke dann auf "MoveIT", und poste danach den Inhalt der Datei C:\_OTMoveIt\MovedFiles\<datum_nr.>.log

    Sollte eine Datei oder ein Ordner nicht verschoben werden können, wirst Du eventuell aufgefordert, den PC neuzustarten damit der Prozess abgeschlossen werden kann. Sollte dies der Fall sein, bestätige das mit Ja.

    Mfg