Trojaner-Board - HEUR/HTML Malware, .vbs ????

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - HEUR/HTML Malware, .vbs ???? (https://www.trojaner-board.de/54456-heur-html-malware-vbs.html)

HEUR/HTML Malware, .vbs ????

Hallo!

Hilfe!!!!!! Mein Lappy hat einen Virus :eek: Zuerst wurde nur die verdächte Datei: Kunde-633549C29.vbs angezeigt. Als ich dort nachschaue - ich glaube C:windows/system - fand ich da auch die merkwürdige Datei: Klemens PC.vbs. Von einem Klemens hatte ich per USB-Stick Dateien auf mein Laptop übertragen, daher also der Virus. Diese Kunde-bla-Datei (s. oben) wurde ständig wieder von AntiVir gefunden, obwohl ich sie dauernd gelöscht hatte. Der Virenscan hat dann insgesamt 31 Dateien gefunden. Die konnte ich allerdings nicht löschen, sondern nur in Quarantäne verschieben.
Die Dateien sehen so aus: C:/System Volume Information/ _restore{"super-viele Zahlen und Buchstaben"}/RP35/A0005402.vbs So -jetzt sind die pösen Dateien also in Qurantäne. Ich hab noch nicht ausprobiert, ob ich sie da jetzt löschen kann. Sollte ich das???

Also eigentlich läuft mein Laptop jetzt wieder normal AUßER!!!! Wenn ich im Arbeitplatz Laufwerk C durch Doppelklick öffnen will steht da: "Die Skriptdatei C:/Kunde-633549C29.vbs wurde nicht gefunden" und ich kann das Laufwerk so nicht öffnen. Und wenn ich ein Rechtsklick mache auf Laufwerk C, steht oben anstatt wie sonst "Öffnen" jetzt "Auto Play"!!! Aaaah! :eek: :confused: [Wenn ich aber z.B. auf eigene Dateien oder so klicke komm ich ganz normal in Laufwerk C rein.] Seit dem Viren Scan stellt sich diese blöde Kunde-Datei auch nicht mehr von selbst her. :)
Ich benutze Windows XP - was soll ich jetzt machen???? :confused: Ist der Virus jetzt weg oder kann immer noch jemand an meine Daten oder so kommen. Sollte ich das Betriebssystem neu installieren oder so und wie macht man das.
Ich habe nicht so viel Ahnung von Computern :balla: , wäre wirklich nett, wenn jemand, was dazu schreiben könnte.
Mein armes, krankes Lappy ... :(

Was mach ich mit meinem USB-Stick. Kann ich da die Viren-Datein klar an ihren komischen Namen erkennen oder können die sich z. B. auch in meinen eigenen PowerPoint oder Word-Datei verstecken. Kann ich die (falls welche drauf sind) einfach löschen oder können Viren schon auf den Computer kommen, wenn man den Stick anschließt und den Inhalt anschaut?

Grüße

MissX

:headbang:

Hallo MissX und

:hallo:

- Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

- Befolge diese Hinweise -> http://www.trojaner-board.de/50076-h...tml#post325238

- Konfiguriere AntiVir aggressiv

-Wechsel in den abgesicherten Modus und führe dort einen Vollscan durch.

So wird der abgesicherte Modus am einfachsten aufgerufen -> KLICK MICH

- Melde dich danach mit frischem Hijackhtis log sowie einer evtl. Problembeschriebung.

Hallo undoreal,

danke für die Antwort.

Ja, hab jetzt alles so gemacht ... hab dann eben noch mal dieses HighJack Dings gemacht und das kam dabei heraus:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:51:34, on 22.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HiJackThis\HijackThis.exe
 

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
 

--

End of file - 3288 bytes

AntiVir hat im abgesicherten Modus nur noch eine "Warnung" angezeigt. Ich glaub die zeigt das aber immer schon an:

Code:

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

      [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

      [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '25' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\pagefile.sys

      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
 
 

Ende des Suchlaufs: Sonntag, 22. Juni 2008  13:44

Benötigte Zeit: 26:38 min
 

Der Suchlauf wurde vollständig durchgeführt.
 

   2730 Verzeichnisse wurden überprüft

  82338 Dateien wurden geprüft

      0 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      1 Dateien konnten nicht durchsucht werden

  82338 Dateien ohne Befall

    745 Archive wurden durchsucht

      1 Warnungen

      0 Hinweise

Muss ich da jetzt noch was machen?
Jetzt kann ich ja die Systemwiederherstellung wieder aktivieren, oder?

Sehr schön.

Du bist Virenfrei.
Die Systemwiederherstellung kann somit wieder aktiviert werden.

Super :Boogie:

Du hast mich und mein Laptop gerettet :aplaus: