Hallo,

ratloser Neuling sucht Hilfe/Antwort.

Habe mir über einen USB-Stick meiner Nichte einen Trojaner? eingefangen.
Nach dem Einstecken des Sticks hatte ich 5-6 mal eine Fehlermeldung bezüglich nicht vorhandener Laufwerke auf dem Bildschirm. Habe sie unbedacht weggeklickt. Erst dann informiete mich meine Nichte über ihr Problem. Ihr Internet-Explorer zeige als Fenstertext seit einiger Zeit die Überschrift
"Internet Explorer hacked by Knuddelbär".
Hab' dann Kuddelbär bei mir gesucht und wurde fündig. Fand zwei Dateien auf dem Stick die auf meine sämtlichen Festplatten übertragen wurden.
- autorun.inf
- knuddelbär.vbs
Clever (Haha) wie ich war habe ich die Dateien gelöscht, mich gefreut und den Computer neu gestartet. Überraschung! Waren wieder da. Blöd.
Dateien umbenannt. Blöd. waren wieder da. Habe mir knuddelbär.vbs im
Editor angeschaut und bis auf wscript.exe nichts verstanden. Jetzt habe ich
die umbenannt und oh Wunder nach Neustart waren die Dateien nicht nochmals erschienen.

Jetzt meine Fragen:
- brauch ich die wscript.exe
- was hat knuddelbär angestellt
- und wie bekomme ich den knuddelbär bei mir und meiner Nichte los.

füge den Text der beiden Dateien ein:

autorun.inf:
[autorun]
shellexecute=wscript.exe KNUDDELBÄR.vbs

***Script entfernt***

Wenn mir jemand helfen kann..... Danke im Voraus!!!

WasIstLos???

Hi,

lade dir bitte Malwarebytes herunter und aktualisiere die Datenbank, stecke den USB-Stick ein und führe den Quickscan durch und poste das Ergebnis hier.

lg myrtille

Zitat:

Zitat von myrtille

Hi,

lade dir bitte Malwarebytes herunter und aktualisiere die Datenbank, stecke den USB-Stick ein und führe den Quickscan durch und poste das Ergebnis hier.

lg myrtille

Hallo myrtille,

Danke für Deine erste? Antwort.

Also: Habe Malwarebytes von Herstellerseite heruntergeladen. Grosses Chaos. Installiert...
beim updaten kommt Meldung: Neue Version wird installiert. Zonealarm schlägt
Aaaalarm! Soll ich es wagen? Risikooo. Gemacht. Installiert.
Dann (ohne USB-Stick) - Quickscann.

Ergebnisprotokoll
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1727
Windows 5.1.2600 Service Pack 3

04.02.2009 18:56:12
mbam-log-2009-02-04 (18-55-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49564
Laufzeit: 16 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\Dokumente und Einstellungen\Hugo\Lokale Einstellungen\Temp\is-V2QQI.tmp\mbam-setup.tmp (Adware.SearchIt99) -> No action taken.

Habe ich jetzt neue Probleme??????

Dann Quickscann mit eingestecktem USB-Stick.
Ergebnisprotokoll
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1727
Windows 5.1.2600 Service Pack 3

04.02.2009 19:34:25
mbam-log-2009-02-04 (19-34-25).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49306
Laufzeit: 13 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Habe allerdings den USB-Stick nicht über den Explorer angesprochen und auch
nicht die wscript.exe wieder richtig umbenannt.

PS: Sorry mit dem "Script" - dämmert mir jetzt warum

Gruss WasIstLost???

Hi,

ich hatte noch im Kopf, dass MBAM diese Art von Infektion bereinigt. Das war wohl mein Fehler.

wscript.exe ist eine legitime Windowsdatei, die Skripte interpretieren kann. Wenn du die Datei löschst wird das "Hacked by" nicht mehr ausgeführt, aber auch alle anderen vbs-Dateien können nicht mehr interpretiert werden.

Hier gibt es eine manuelle Anleitung zur Entfernung: Link

Erstelle bitte zur Kontrolle ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)
Lasse RSIT bitte aufs Internet zugreifen um HijackThis herunterzuladen und wähle bitte bei der Zeitdauer "3 months" aus.

lg myrtille

[QUOTE=myrtille;411020]Hi,

ich hatte noch im Kopf, dass MBAM diese Art von Infektion bereinigt. Das war wohl mein Fehler.

wscript.exe ist eine legitime Windowsdatei, die Skripte interpretieren kann. Wenn du die Datei löschst wird das "Hacked by" nicht mehr ausgeführt, aber auch alle anderen vbs-Dateien können nicht mehr interpretiert werden.

Hier gibt es eine manuelle Anleitung zur Entfernung: Link


Hallo da bin ich wieder.

Habe im Board gestöbert und eine Eintrag von Inho1 vom 19.06.08 gefunden.
Da steht das gleiche Script drin das ich auch auf meinem Rechner habe;
nur mit einem anderen Namen. Gelöscht ist es nicht.
Ganz klar ist mir nicht ob der Trojaner? dort erfolgreich vom Rechner entfernt
wurde. Auch finde ich keine Angaben was der Trojaner? eigentlich anstellt.
Habe eine Web-Seite h**p://w**.quaschtel.de/wsh/wscriptnetwork.htm gefunden in denen die einzelnen Script-Anweisungen erklärt werden. Versuche
jetzt mal herauszufinden was "mein" Trojaner? so anstellt.

Danke für die bisherige Hilfe

Der Link zum hijackthis-forum sieht Klasse aus. Werde mich hineinknien.

Gruss WasIstLos???

Hallo,

bin jetzt ein Stückchen weiter. Habe mit Hilfe verschiedener Web-Seiten
den VBS-Code nachvollzogen und "meinen" Trojaner? zeilenweise ablaufen
lassen und mir die Variablen und Codes anzeigen lassen.
Irgenwie scheint das ganze ein "Übungs-Script" zu sein. Kann mir nicht
vorstellen, dass man um eine Datei von einem Verzeichnis in ein anderes
Verzeichnis zu schreiben, den Inhalt auslesen und im neuen Verzeichnis
wieder einlesen muss. Nun, vielleicht gibt es in VB kein Kopier-Code????

Die beiden Hauptaufgaben "meines" Trojaners? sind zum einen, sich über
alle Laufwerke eines Rechners zu Verbreiten, sich auf Datenwechselträger
(ausser Disketten) zu schleusen (er hat eine Zeitschleife und prüft alle 2 Minuten nach);
zum anderen durch Einträge in der Registery in den Autostart zu schreiben
und den Fenster-Titel desInternet-Explorer zu verändern ("Hacked by....).
Also fast harmlos.

Die letzten beiden Codezeilen finde ich seltsam.
Wenn man sie ausführt erscheint ein Explorer-Fenster und die VBS-Datei
ist makiert. Fehlt da was??? Warum stehen die da????
Wenn der Trojaner? seine Aufgabe erfüllt, werden die 2 Code-Zeilen nicht
ausgeführt.

Wofür der Trojaner? nichts kann und ich nicht erkennen kann ist was anderes:
Auf allen meinen Laufwerken (Festplatten und Partitionen) gibt es den Ordner
"System Volume Information" von denen ich glaube das dort Systemwieder-
herstellungspunkte abgespeichert werden.
Habe mit AVG-Free nach "meine" Trojaner? und anderen suchen lassen.
AVG hat ihn gefunden. Doch zusätzlich in den genannten Ordner VBS-Dateien
mit der selben Virusinformation gefunden. Leider wurde mir der Zugriff vom
System verweiger ("Zugriff Verweigert"). Habe jetzt alle gelöscht und die
Reg-Einträge korrigiert.

Werde das ganze jetzt mal ein paar Tage beobachten. Wenn ich mich nicht mehr melde, läuft alles wie vorher.

Danke

WasIstLos???