Skriptfehler bei Ausführen von Unterhaltungssoftware
 

Sehr geehrte Damen und Herren,
auf meinem Spielecomputer bekomme ich, wenn ich den Launcher eines Spiels öffne, welcher auf das Internet zugreift, einen Internet Explorer Skriptfehler, welcher folgende Daten enthält:

Zeile: (leer)
Zeichen: (leer)
Fehler: (leer)
Code: (leer)
URL: (leer)

Das Problem tritt auf, seitdem ich eine Datei fix_svchost.bat ausgeführt habe. (weil ich probleme mit meiner svchost.exe hatte)

Das Programm tat das folgende:
Außerdem zeigt HJT seltsame Veränderungen im Internetexplorer (z.B. R1, diese Seite habe ich nie angewählt)
Sind noch andere Sachen im HJT-Logfile enthalten, die gefixt werden sollten?
Vielen Dank!

Hallo und :hallo:

Du hast Dir mit Sicherheit Malware eingefangen, acker diese Punkte für weitere Analysen ab:

1.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe (aktuelle Version!)

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
4.) Führe dieses MBR-Tool aus und poste die Ausgabe

5.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

6.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Okay. Dann wollen Wir mal.
1) Die Seite www.virustotalcom aufsuchen und folgende Dateien hochladen:
Die Einträge dann bitte mit HiJackThis fixen:
2) Lass das Programm Malwarebytes Anti-Malware deinen PC checken und die Funde löschen lassen. >> Anleitung und Programm. Poste bitte den Bericht.

3) Erstelle ein neues HiJackThis-Logfile und poste es.

4) Dein PC könnte ein kleines Update vertragen - Aktuell ist Service Pack 3 . Update bitte erst nach der Bereinigung.

//edit : root24 war schneller :)

Also vielen, vielen Dank für eure Hilfe, erstmal. Ich halte mich an den root, da er der Erste war. Dennoch habe ich die fehlerhaften Einträge im HJT beseitigt. Hier die Daten, die zur näheren Identifizierung meinens Problems gebraucht werden.
1)2)Auch gleich wieder aktivieren, wie es in der Beschreibung gesagt wird, oder ganz ausschalten, bis mein System wieder malwarefrei ist, und dann erst wieder aktivieren?
3)Diese Datei ist nicht vorhanden.
4)Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


5)Blacklight:
Malwarescanner:
Ohjeohje! Mir wär fast mein Herz in die Hose gerutscht. Könnte C:\lich.sys und die dazugehörige Exe zum FU-Rootkit gehören? Nun, diese Dateien, von denen geloggt wurde, dass sie sich im Verzeichnis C befänden, tauchen nämlich allesamt nicht im Explorer auf. Ohjeohje...
6)Fehlermeldung beim Öffnen von Silent Runners.vbs: "Skriptmodul "VBScript" für Skript "C:\Dokumente und Einstellungen\***\Desktop\Zeug\Silent Runners.vbs" wurde nicht gefunden."
7)File-Upload.net - listing.txt

Ich würde mich über weitere Instruktionen freuen. :-) Ich hab von Windows wirklich kaum 'ne Ahnung.

Hi,

die letzte Antwort hier im Fred geb mal ich ;) (Verzeih mir Wurzel)

Wie du siehst ist dein gesamter PC verseucht mit Rootkits, Backdoors und ähnlichem. Machs einfach kurz und schmerzlos und setz die Kiste neu auf. Bei dem Backdoor-Zoo kann man noch nichtmal mehr vermuten was manipuliert wurde.

lg, Sky

EDIT: Was vergessen: Ändere ALLE Passwörter von einem sauberen PC. Auch von deinen Online Games (C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> No action taken.)!

Ich möchte keine Autörität angreifen, und ich bin dankbar für jede Hilfe, aber von deiner Idee mit dem Neuaufsetzen halte ich relativ wenig. Erstensmal ist scheinbar keiner der Trojaner aktiv (nicht zuletzt da hier auch die meisten Ports zu sind), zweitensmal habe ich reichlich wenig Interesse an einem Neuaufsetzen. Firewall sagt, dass keine Daten ungewollt geschickt werden. Ich möchte mein System nicht neu aufsetzen, sondern einfach die Trojaner und Malware beseitigen. Außerdem möchte ich meinen, dass die dortigen Rootkits bewusst und zweckorientiert ausgeführt wurden, selbst wenn ich nicht verstehe was Ableger davon im root von C zu suchen haben. Genauso würde mich immernoch interessieren, ob das FU-Rootkit tatsächlich für die Ablage in C verantwortlich ist, d.h. in eine VM ziehen und dekompilieren... Aber das ist ja jetzt egal. Zumindest würde ich jetzt, sofern ihr nichts anderes empfehlt, die Daten per RunOnce löschen. Was halten Sie davon?

Hi,

Jedem seine Meinung. :D Ich halte zb von der Idee sich von Malware infizieren zu lassen relativ wenig.

Wie kommst du darauf? :confused: Die Trojaner haben auf deinem Rechner an verschiedenen Orten Dateien abgelegt. Sie haben sich in der Registry eingetragen und werden bei jedem Systemstart automatisch ausgeführt.

Hört sich für mich an, als ob sie doch ziemlich aktiv sein könnten.

Firewalls können umgangen werden.

Wie meinen? :confused: Du hast die alle selbst ausgeführt, damit andere Leute auf deinen Rechner Zugriff haben oder meinst du die Malware wurde von fremden Leuten absichtlich auf deinem Rechner installiert?

Wenig. Wenn du die Dateien unbedingt löschen willst, dann nutze zumindest ein Programm wie Malwarebytes das den Hauch einer Chance hat auch die Wiederherstellungsmechanismen außer Kraft zu setzen.

Hast du die von dir genannte Methode schon früher angewendet? Das würde die vielen Reste von Malware in deinem Hijackthislog erklären.

lg myrtille

Ich liebe suggestive, anmaßende Statements.
Nönö, ich musste mal ein paar Prozesse verstecken, und das FU-Rootkit scheint ja relativ sauber zu sein, mal davon abgesehen, dass Malwarebytes 'nen Ableger im root von C erkennt.

Jawohl, ich hatte mir Virtumonde eingefangen, hab's per RunOnce gelöscht und dann den Befehl, der Virtumonde startet, aus der Registry entfernt - schien dann sauber.

Hat denn niemand 'ne Idee, warum der IE nicht mehr geht, bzw. wie ich das fixen kann?

Achso, du sprichst nur von dem Rootkit, ich dachte du meinst all die Dateien, die sich unter C: ausgebreitet haben.
Ich hab auch mehr Bedenken wegen der anderen Dateien und weniger wegen des Rootkits, die Dateien sehen nach SDBot aus.

Es sind noch einige Vundoeinträge zu sehen, ein Rest von Zlob, der derzeit häufig mit Vundo gebündelt auftritt, die Dateien unter C:\ und die winsys2.exe.
Es reicht nicht die offensichtlichen Vundodateien per RunOnce zu löschen.
Deswegen empfahl ich ja, ein Programm zu nutzen, dass für solche Aufgaben programmiert wurde.

Eine (wahrscheinlich nicht vollständige) List der Vundoreste:
O2 - BHO: (no name) - {10CE3FF7-24BA-4A31-817C-C77B6783B116} - C:\WINDOWS\system32\tuvSkLff.dll (file missing)
O2 - BHO: (no name) - {243964B9-A456-4B24-A5CD-C15BBC15F04C} - C:\WINDOWS\system32\ljJDUlKD.dll (file missing)
O2 - BHO: (no name) - {34D91F8A-8959-3DA5-62FD-B7CFB90CFF79} - (no file)
O2 - BHO: (no name) - {6F1AEA2C-1487-39FD-34C4-AC297DD967B5} - (no file)
O2 - BHO: (no name) - {D2E8A044-DEC5-4204-BFC9-9CFB63BF1BEA} - C:\WINDOWS\system32\hgGwVPIB.dll (file missing)
O3 - Toolbar: pvnsmfor - {58A17A05-270C-4762-AB86-431018487CC5} - C:\WINDOWS\pvnsmfor.dll (file missing)
HKEY_CLASSES_ROOT\CLSID\{7b4fbdc1-f90e-428f-9c16-119bf113079d} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\pvnsmfor.bwgs (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vbksrofa (Trojan.FakeAlert) -> No action taken.

C:\***\AutoIt\install\Aut2Exe\AutoItSC.bin (Trojan.Vundo) -> No action taken.
C:\Init.exe (Rogue.Agent) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\uxnc.exe (Trojan.Vundo) -> No action taken.
C:\wgpo.exe (Trojan.Vundo) -> No action taken.

Das System hast du dir wahrscheinlich mit dem Fix zerschossen, da scheint etwas beim de/reinstallieren der einzelnen Komponenten schiefgegangen zu sein, allerdings bin ich nicht wirklich in der Stimmung mich da jetzt durchzugooglen und zu gucken welche der 150 Komponenten für den IE zuständig ist.

Ich bleib dabei: Setz neu auf, das geht schneller, ist einfacher, sauberer und sicherer.

lg myrtille

Aaaaahhh, super, das wünschte ich mir.^^ Also ich hab jetzt mit Malwarebytes' Anti-Malware alles gefixed, was als unerwünschte Software angezeigt wurde (mit Ausnahme von "unqip.exe" natürlich, das ist der Uninstaller zu QIP, diesbezüglich werde ich mich nochmal informieren). Wenn ich jetzt einfach gucken kann, welche der im Batch-Prog aufgeführten Dateien vom IE benutzt werden, würde ich von denen funktionierende Kopien besorgen und diese dann einfach über die alten drüberkopieren. (Falls vom System gelocked natürlich mit RunOnce)
:dankeschoen: euch dreien^^

EDIT: Die Datei, die root forderte, habe ich ja nicht gefunden. Hat das was zu bedeuten?

Kann mich den anderen nur anschließen, Dein System gehört bei den erdrückenden Funden neu aufgesetzt. Warum meinst Du ist das nicht möglich? Keine List lass ich nicht gelten... :)

Oho, hier gibt's noch eine zweite Seite! Nun, der PC gehört mir nicht, und für ein Neuaufsetzen müsste ich die Eigentümerin kontaktieren. Wie auch immer, zumindest scheinen die Anti-Malwaremaßnahmen geholfen zu haben. Mir ist bewusst, dass mein System im streng technischen Sinne kompromittiert ist, aber ein Neuaufsetzen würde zu viel Aufwand bedeuten - Zeit, die ich nicht habe.

Eigentlich kam ich zu meinem Thread zurück, um zu verlautbaren, wie ich den IE wieder zum Laufen bekommen habe: Ich habe zuerst alle Hotfixes und Windows-Updates für den IE deinstalliert, anschließend den IE selbst. Dann reboot (natürlich die vom Deinstaller durchgeführten Veränderungen zulassen) und die Skriptfehlermeldung tritt nicht mehr auf. Danke! Ich freu mich tierisch, das das Ding wieder geht. :crazy:

Und ja, ich werde die Updates selbstverständlich wieder einspielen.

EDIT: Genauso, wie ich das SP3 einspielen werde.

Du drehst Dich wie ne Fahne im Wind :rolleyes:

Ist das bloß im Affekt passiert oder sucht man nach Ausreden? :)

Ich mag keine derart suggestiven Statements. Ich bin der hauptsächliche Nutzer dieses PCs, aber er ist NICHT mein Eigentum. Ist doch wie, wenn ich sagen würde: "Das ist meine Frau." Trotzdem BESITZE ich die Frau nicht, denn Besitz ist eine Sachherrschaft. Wie auch immer. Hat das was zu bedeuten, dass ich die Datei nicht finden konnte, die du in deinem ersten Post hier gefordert hast?

Wurde die Eigentümerin des PC von der Kompromittierung in Kenntnis gesetzt? Sowas sollte man schon wissen als Eigentümer. :rolleyes:

Was das mit der Datei zu bedeuten hat...naja sie ist weg. Wurde wohl von einer der zahlreichen Tools gelöscht oder sie war schon bevor du das erste Hijackthis Logfile erstellt hast. Was weg ist ist weg.