VBS Scriptvirus - erstellt viele Verknüpfungen und laesst sich mit AntiVir nicht beheben
 

Hallo,

hab gestern den Laptop einer Freundin repariert und dabei nicht aufgepasst und mir ueber meine externe Festplatte einen Virus eingefangen.
Mein AntiVir meldet dauernd Virenfunde und nach der Behebung erscheinen einfach wieder die gleichen Meldungen. Hinzu kommt, dass auf einmal Verknüpfungen erstellt wurden und manche Ordner versteckt wurden (sehe sie, da ich versteckte Dateien auf anzeigen habe).

Ich wuerde mich ueber eure Hilfe sehr freuen, habe bisher folgendes unternommen:

1. Antivir Scan externe Festplatte
2. Antivir Scan alle Festplatten im Laptop
3. Versuch alle gefundenen Viren zu löschen mit Antivir

Hier ist noch das Logfile (hab es mal angehaengt, hoffe das funktioniert hier so):

Vielen Dank schonmal für eure Mühe und würde mich sehr freuen, wenn mir jemand helfen kann und zwar so, dass ich nicht neu aufspielen muss : )

Hallo und :hallo:

1.) über die Systemsteuerung die automatische Wiedergabe auf ALLEN Laufwerken deaktivieren => Einstellungen für automatische Wiedergabe ändern

2.) Schließe die ext. Platte mit dem Autorun-Schädling an

3.) Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Alle Festplattenlaufwerke anhaken!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!


Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

4.) Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

So erstmal danke, dass du mir hilfst! Und hab jetzt mal einiges gemacht. Gestern habe ich noch alle Dateien im Savemodus gelöscht (also diese Verknuepfungen), dann mitm CCCleaner in der regedit alles gesaeubert und dann nochmal avira drueber laufen lassen!

So jetzt habe ich malware drueber gejagt:



Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6317

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09.04.2011 10:02:16
mbam-log-2011-04-09 (10-02-16).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 165400
Laufzeit: 2 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Explorer (Trojan.Agent) -> Value: Explorer -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



und hier ist jetzt OTL:

(sollte im Anhang sein)

hoffe das hilft : ) und du kannst mir helfen!
THX

Sry aber ich wollte einen Vollscan sehen.
Poste auch alle etwaigen anderen Logs von MBAM, die du im Reiter Logdateien siehst.

So,

hab bei malware nur den einen neuen log hier: aber im Moment sieht es so aus, als wenn meine Massnahme gewirkt haetten. Ich wüsste nun aber gerne ob der Virus wirklich weg ist, da mein Avira nichts mehr meldet ... oder ob er sich nur gut versteckt.

Gruß Ansgar


ps: bin gerade in china und daher kommen meine antworten immer zu komischen zeiten und manchmal sehr spaet :)

Deine Erklärung für diese Einträge in der Hosts-Datei?
Aus welcher Quelle stammt das installierte AdobeCS5?

Hi sollte das ein Problem sein? Bin hier in China .. einiges meiner Software kommt von hier.

Du setzt also wissentlich "geklaute"/gecrackte Software ein?

Ich benutze die Software die ich in China bekommen kann ^^ aber das ganze ist fuer mich auch ein anderes Thema und hat relativ wenig mit dem Virus auf meinem Rechner zu tun .. denke ich wenigstens! Und bevor man ueber Leute urteilt oder Annahmen trifft sollte man lieber die Situation kennen. ^^

Nein, das ist ein Irrtum. Es ist eigentlich hinlänglich bekannt, dass gecrackte Software Schadcode aller Art enthalten kann, daher niemals vertrauenswürdig ist. => http://www.trojaner-board.de/95393-c...-software.html

hmm ok dann irre ich mich : ) .. problem bleibt bestehen ich komme hier in china nur extrem schwer an originale software ran .. wobei ich hier 100% sagen kann, dass die software die ich in china bekomme keine viren enthaelt, da sie von meinem unternehmen kommt. Hmmm, mich würde jetzt immer noch interessieren, ob der Virus wirklich weg ist.

Weil du in China bis mach ich mal ne Ausnahme *hust* :D


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

So, erstmal vielen vielen vielen Dank für die ganze Hilfe!!!
Habe alles ausgeführt und folgende Log-File bekommen. Hab vor dem Rechner Neustart auf "OK" geklickt.

Die Log-File ist angehaengt. Achja seit dem Virus bekomme ich auch noch eine Fehlermeldung: Die Skriptdatei "c:\users\esca\documents\database.mdb" wurde nicht gefunden.

Kein Log zu sehen:dummguck:

Hi,

kann die Datei nicht hochladen. Daher jetzt hier so (Danke nochmal!!!):



All processes killed
========== OTL ==========
Prefs.js: "165.228.132.10:3128" removed from network.proxy.http
Prefs.js: 80 removed from network.proxy.http_port
Prefs.js: "google.com" removed from network.proxy.no_proxies_on
Prefs.js: 0 removed from network.proxy.type
Prefs.js: engine@conduit.com:3.3.3.2 removed from extensions.enabledItems
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a329bb7-4c9a-11e0-a015-a996e01c6e67}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a329bb7-4c9a-11e0-a015-a996e01c6e67}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a329bb7-4c9a-11e0-a015-a996e01c6e67}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a329bb7-4c9a-11e0-a015-a996e01c6e67}\ not found.
File G:\LaunchU3.exe -a not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{488a0d29-b03e-11df-93f3-0025643a8de8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{488a0d29-b03e-11df-93f3-0025643a8de8}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{488a0d29-b03e-11df-93f3-0025643a8de8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{488a0d29-b03e-11df-93f3-0025643a8de8}\ not found.
File F:\AutoRunCD.exe not found.
C:\Windows\UnDeployV.exe moved successfully.
C:\Program Files (x86)\ÖйúÒøÐÐÍøÉÏÒøÐа²È«¿Ø¼þ folder moved successfully.
ADS C:\ProgramData\Temp:8FF81EB0 deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: esca
->Temp folder emptied: 198953061 bytes
->Temporary Internet Files folder emptied: 163529186 bytes
->Java cache emptied: 8970523 bytes
->FireFox cache emptied: 112078658 bytes
->Flash cache emptied: 1077608 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 539950 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 463,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04112011_224213

Files\Folders moved on Reboot...
C:\Users\esca\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

So,
das Programm findet 1 Datei... soll ich Quarantäne oder Löschen auswählen?

SPTD kannst du lassen. Ist der Treiber für virtuelle DVD-Laufwerke.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So hab alles ausgefuehrt... leider hab ich einige Programme im Autostart. nach dem Neustart (wurde uebrigens nach nichts gefragt, alles automatisch) gingen die halt los ...

hier ist das Logfile

Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

So hier der log und im Anhang von MBRCheck:

GMER Logfile:
--- --- ---

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

So, nochmals Danke, dass du mir so tapfer weiter hilfst :),

hier sind die Logs:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/12/2011 at 10:43 PM

Application Version : 4.50.1002

Core Rules Database Version : 6815
Trace Rules Database Version: 4627

Scan type : Complete Scan
Total Scan Time : 01:02:23

Memory items scanned : 704
Memory threats detected : 0
Registry items scanned : 14718
Registry threats detected : 0
File items scanned : 42381
File threats detected : 4

Adware.Tracking Cookie
C:\Users\esca\AppData\Roaming\Microsoft\Windows\Cookies\esca@atdmt[2].txt
C:\Users\esca\AppData\Roaming\Microsoft\Windows\Cookies\esca@serving-sys[1].txt
C:\Users\esca\AppData\Roaming\Microsoft\Windows\Cookies\esca@atdmt.combing[2].txt

Trojan.VXGame-Variant/D
G:\Old\LAPTOP SAMSUNG R60\FESTPLATTE D\MICROSOFT.WINDOWS.XP.PROFESSIONAL.SP3.INTEGRATED.FEBRUARY.2009.CORPORATE.UNATTENDED.GERMAN-BIE\DOTNETFX\DELTEMP.EXE




So und ich hab noch eine Frage:
Ich habe gelesen, dass der VBS Skriptvirus die exe-Dateien anfaellt... alle Programm die ich nun bisher runtergeladen habe, z.b. die Antivirensoftware, icq, skype usw ... sind die eigentlich noch sauber oder soll ich das lieber alles löschen? Und wie gehe ich eigentlich auf Nummer sicher, dass meine Autorundatei der externen Festplatte nicht mehr infiziert ist? Oder auf meiner externen Festplatte noch infizierte Dateien sind (also das Virenprogramm und Scans ergeben bisher 0) aber vielleicht "schlafen" die ja.


Werd das Gefuehl auch nicht los, dass der Virus noch immer auf meinem Rechner ist. Es kam vorhin (vor den 2 Scans) die Meldung, dass wieder eine Microsoft.ink datei befallen ist (Siehe Bild).

Gruß

Ansgar

Das sieht mir eher nach Fehlalarmen aus.

Was hat es hiermit auf sich? Was für ein XPSP3 ist das?

Hmm ehrlich gesagt keine Ahnung. Das ist auf G: (externe Festplatte) und das ist bei den Daten von einem alten Laptop. Soll ich dieses Verzeichnis auf der externen Festplatte löschen?

Sieht mir nach einem nicht ganz so legalen Image aus...
Aber das Teil ist alt, lösch es einfach :pfeiff:

Hmm, also muesste eigentlich legal sein. Hab nur Orginallizenzen bei Windows (bekomme die als Student umsonst). So ist gelöscht.

Wie auch immer.
Rechner soweit ok wieder oder sind noch Probleme offen?

Hi,

also eigentlich gibts keine Probleme mehr, Avira ist schoen ruhig und sonst meldet sich auch nichts. Hab noch Sorge, dass wenn ich EXE Dateien ausfuehre der Virus wieder aktiv wird... werd vielleicht die meisten Progs löschen und neu runterladen.

Auf jeden Fall vielen vielen Dank für deine Hilfe und deine Zeit!

Gruß Ansgar

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

So,

nochmals vielen Dank : ), hab alles ausgefuehrt. Jetzt sollte mein Rechner eigentlich sicher sein oder?

Gruß
Ansgar

Sicher ist nur, dass es keine 100%ige Sicherheit gibt! :D