Trojaner-Board - Virus??? IE zeigt "hacked by" an

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus??? IE zeigt "hacked by" an (https://www.trojaner-board.de/49349-virus-ie-zeigt-hacked-by.html)

Hallo Rockenglein,

habe den Code entfernt, da er ein potentielles Sicherheitsrisiko darstellt und es unser Credo ist, die Verbreitung genau solcher Risiken zu bekämpfen.
Bitte beachte dies in Zukunft.

schneipi

Ok, sorry, dass wusste ich nicht.

@undoreal:

irgendwie scheint sich derwurm zu verbreiten.
jetzt zeigt bitdefender:

//-----------------------------------------------------------------
//
// ProductBitDefender Antivirus Plus v10
// Product10.2
//
// Created on: 18/02/2008 07:08:35
//
//-----------------------------------------------------------------

Virus Statistics

Scan path : C:\
D:\
Folders : 7007
Files : 49819
Memory processes scanned : 40
Archives : 4
Runtime packers : 5392
Identified viruses : 6
Infected files : 24
Memory processes infected : 0
Suspect files : 0
Warnings : 0
Disinfected files : 0
Deleted files : 0
Moved files : 24
I/O errors : 8
Scan time : 00:34:12
Scan speed (files/sec) : 24

Spyware Statistics

Registry keys scanned : 360
Registry keys infected : 0
Cookies scanned : 521
Cookies infected : 0
Spyware files infected : 0
Spyware threats detected : 0

Virus definitions : 980652
Scan plugins : 16
Archive plugins : 41
Unpack plugins : 7
Mail plugins : 6
System plugins : 5

Virus scan options

Detection
[X] Scan boot sectors
[X] Memory Processes
[ ] Scan archives
[X] Scan runtime packers
[X] Scan email

File mask
[X] Programs
[ ] All files
[ ] User defined extensions:
[ ] Exclude extensions: ;

Action

Infected objects
[ ] Ignore
[X] Disinfect
[ ] Delete
[ ] Move to quarantine
[ ] Prompt user

Second action
[ ] Ignore
[ ] Delete
[X] Move to quarantine
[ ] Prompt user

Virus scan options
[X] Enable warnings
[ ] Enable heuristics
[ ] Show all files in log
[X] Report file: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bitdefender\Desktop\Profiles\Logs\full_scan\1203314914.log

Spyware scan options

[X] Scan for riskware
[ ] Skip dial and applications from scan
[X] Registry keys
[X] Cookies

Summary:

C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000014.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000014.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000014.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000015.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000015.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000015.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000019.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000019.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000019.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000034.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000034.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000034.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000035.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000035.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000035.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000044.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000044.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000044.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000045.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000045.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000045.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000060.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000060.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000060.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000076.vbs Infected: Generic.ScriptWorm.D298C707
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000076.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000076.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000077.vbs Infected: Generic.ScriptWorm.B814EDD6
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000077.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000077.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000097.vbs Infected: Generic.ScriptWorm.49C23199
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000097.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000097.vbs Moved
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000098.vbs Infected: Generic.ScriptWorm.B814EDD6
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000098.vbs Disinfection failed
C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000098.vbs Moved
C:\!KillBox\ACER-68CBAB05B2.vbs Infected: Generic.ScriptWorm.D298C707
C:\!KillBox\ACER-68CBAB05B2.vbs Disinfection failed
C:\!KillBox\ACER-68CBAB05B2.vbs Moved
C:\!KillBox\ACER-RESI.vbs Infected: Generic.ScriptWorm.D298C707
C:\!KillBox\ACER-RESI.vbs Disinfection failed
C:\!KillBox\ACER-RESI.vbs Moved
C:\!KillBox\BINESCOMPUTER.vbs Infected: Generic.ScriptWorm.D298C707
C:\!KillBox\BINESCOMPUTER.vbs Disinfection failed
C:\!KillBox\BINESCOMPUTER.vbs Moved
C:\!KillBox\HEIDEMARIE.vbs Infected: Generic.ScriptWorm.B814EDD6
C:\!KillBox\HEIDEMARIE.vbs Disinfection failed
C:\!KillBox\HEIDEMARIE.vbs Moved
C:\!KillBox\PC1.vbs Infected: Generic.ScriptWorm.49C23199
C:\!KillBox\PC1.vbs Disinfection failed
C:\!KillBox\PC1.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000017.vbs Infected: Generic.ScriptWorm.D298C707
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000017.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000017.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000037.vbs Infected: Generic.ScriptWorm.D298C707
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000037.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000037.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000080.vbs Infected: Generic.ScriptWorm.D298C707
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000080.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000080.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000085.vbs Infected: Generic.ScriptWorm.D298C707
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000085.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000085.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000086.vbs Infected: Generic.ScriptWorm.D298C707
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000086.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000086.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000087.vbs Infected: Generic.ScriptWorm.B814EDD6
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000087.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000087.vbs Moved
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000088.vbs Infected: Generic.ScriptWorm.49C23199
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000088.vbs Disinfection failed
D:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP1\A0000088.vbs Moved

und ich bekomme immer solche ansagen wie ich im bild eingefügt habe.:heulen::heulen::heulen::heulen::heulen::heulen:

Halli hallo.

Konfiguriere deinen Bitdefender bitte aggressiver.

Zitat:

File mask
[X] Programs
[ ] All files
[ ] User defined extensions:
[ ] Exclude extensions: ;

Dort sollte "All Files" aktiviert sein.

Zitat:

Virus scan options
[X] Enable warnings
[ ] Enable heuristics
[ ] Show all files in log
[X] Report file: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bitdefender\Desktop\Profiles \Logs\full_scan\1203314914.log

Und hier sollte bei "Enable heuristics" ebenfalls ein Haken sein.

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

Danach wechsel in den abgesicherten Modus und mache dort einen Vollscan mit Bitdefender. Verschiebe alles was gefunden wird in die Quarantäne.

Poste bitte danach wieder das log und suche wieder manuell nach der vbs.

Hallöchen,

ich hab noch ein paar Sachen probiert und unter anderem die autrun dateien mit inf hinten dran entfernt.
und jetzt findet bitdefender nix mehr.

Ich weiß auch nicht, wie ich das im Bitdefender verändere und im abgesicherten Modus ließ er sich nicht öffnen.

Ich hoffe, dass ich den Virus/Trojaner trotzdem los bin.
Zumindest geht es wieder, die Laufwerke mit Doppelklick zu öffnen.
Wenn ich Arbeitsplatz öffne kommt aber noch immer die Ansicht, dass links die Ordner aufgelistet sind und ich weiß nciht wie es weg geht. Und die Laufwerke werden dann in einem neuen Fenster geöffnet.
Außerdem steht im IE immernoch das hacked by.

Kann ich das weg kriegen?

Hab gerade gesehen, dass ich die Datei pubprn.vbs noch drauf hab.
Und zwar in beiden Festplatten im Ordner "recycled" und in c: wieder in diesen Systemordnern:
windows\system32 und windows\system32\dllcache

ist die auch gefährlich?

Danke, Rockenglein!

Hab nocht eine Frage:
Kannst du mir noch was empfehen, wie ich nachgucken kann, ob ich virenfrei bin?

ich hab bisher antivir, spybot search&destroy und bitdefender.

Danke schonmal!:party:

AntiVir musst du auf jeden Fall deinstallieren!!! Bitdefender ist imho besser und zwei AntiVirenProgramme behindern sich gegenseitig sehr!
Bei Spybot muss der TeaTimer Resident abgeschaltet sein!

Du könntest noch einen eScan machen und das log hier posten. Anleitung in meiner Sigantur.

Aber von Bitdefender hab ich keine Vollversion.
Das läuft nur noch 20 Tage.

Geht Antivir nicht auch?

Wie stell ich das bei Spybot ein?

Was ist mit denFragen davor?

:) Na dann schmeiß BD runter und konfiguriere AntiVir aggressiv.

Spybot öffnen:

Modus->erweiterter Modus.

Werkzeuge->Resident->Haken beim TeaTimer raus.

Welche Fragen hast du noch?

Wenn ich Arbeitsplatz öffne kommt aber noch immer die Ansicht, dass links die Ordner aufgelistet sind und ich weiß nciht wie es weg geht. Und die Laufwerke werden dann in einem neuen Fenster geöffnet.
Außerdem steht im IE immernoch das hacked by.

Kann ich das weg kriegen?

Hab gerade gesehen, dass ich die Datei pubprn.vbs noch drauf hab.
Und zwar in beiden Festplatten im Ordner "recycled" und in c: wieder in diesen Systemordnern:
windows\system32 und windows\system32\dllcache

ist die auch gefährlich?

IE: How to Change the Internet Explorer Window Title

pubprn.vbs online auswerten lassen.

Vt hat kein ergebnis gebracht.

escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.7.3
Sprache: German
C:\DOKUME~1\TENGEL~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Maßnahme ergriffen.
System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Maßnahme ergriffen.
System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Maßnahme ergriffen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung aller Laufwerke:Aktiviert

Batchstart: 21:51:54,08
Batchende: 21:52:53,64

übrigens steht in der registrierung "windows internet explorer" aber wenn ich ie öffne steht oben hacked by.

und nu?

Evtl liegt der Wert in der Registry auch hier:

Zitat:

HKCU\Software\Microsoft\Internet Explorer\Main\Window Title

lg myrtille

EDIT:
pubprn.vbs scheint zu Windows zu gehören: windows-how to use pubprn.vbs

Also, in HKCU funktioniert es gut, zumindest bei ner Freundin, die das selbe Problem hatte.
Mit Killbox konnte ich bei ihr die ganzen vbs-Dateien entfernen.

Ich probier es später bei mir auch.

Die vbs-Dateien werden jetzt bei mir noch in c:\killbox angezeigt. Ist das OK? Kann ich Killbox löschen oder sollte das drauf bleiben? Muss ich die Dateien aus Killbox auch noch entfernen?

Killbox kann drauf bleiben. Die Dateien kannst du komplett löschen. Es handelt sich nur um die Backups.