Hallo erstmal.

Hab seit gestern folgendes Problem. Sobald ich im Explorer versuche ein Laufwerk zu öffnen melden mir Zonealarm oder TeaTimer, dass das programm "wscript.exe" im windows\system32 ordner versucht irgendwelche einstellungen zu ändern. das verweiger ich immer und es scheint nix zu passieren (also auch das laufwerk öffnet sich nich - über umwege gehts aber)

außerdem versucht seit ca ner halben stunde die datei: c:\windows\system32\USERNAME.vbs die registry so zu ändern, dass es bei jedem systemstart ausgeführt is. die datei scheint der knackpunkt dieses viruses zu sein. hab sie nämlich auch noch auf d:\USERNAME.vbs gefunden. und im selben Ordner findet sich eine Kopie der Datei, unter anderem namen, ich nehme an, dass es sich ebenfalls um einen benutzernamen handelt, da sie an nem tag letzte woche erstellt wurde, an dem ich ne externe festplatte von einem bekannten am rechner hatte. als dritte datei in dem ordner ist noch autorun.inf, die beim öffnen mit editor folgenden text enthält:
bei "wscript.exe" und "WSCRIPT.EXE-32960AB9.pf" hat virustotal keinen alarm geschlagen. (wenn ich den editortext richtig verstehe werden die dateien von dem prog ja auch nich infiziert sondern nur benutzt oder?)


hab im forum auch schon nen ähnliches thema gefunden, aber da war die symptomatik irgendwie anders, da waren noch einige weitere infizierte dateien. aber bisher hab ich nix wirklich gefunden. komplettprüfung mit zonealarm pro und antivir haben nix gebracht.

hier noch mein hijackthislogfile. auch die automatische logfileauswertung hat nix gebracht.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:01:05, on 11.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\Programme\!Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\System32\WScript.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by USERNAME
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xxx.xx.x.x:xxxx hab ich mal rauseditiert, is doch nich von belang oder?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\!Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] d:\Programme\DAEMON Tools Lite\daemon.exe -autorun
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B58116C-FD74-4907-B71F-E8957CF91F03}: NameServer = 141.54.167.49,141.54.100.129
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6707 bytes

edit: hab grad mal probiert den iexplorer zu starten. der kann keine seiten im netz mehr öffnen. is mir nur bisher nich aufgefallen weil ich den eigentlich nie benutz

Hi,

entferne bitte den Inhalt der Datei aus deinem Post.
(Der Inhalt ist bekannt und soll nicht weiter verbreitet werden)

Weitere Infos zu dem Skript gibt es zb hier: hier

Arbeite die Anleitung von KarlKarl ab und melde dich wieder hier.

lg myrtille

Hi,

dann zieh dir mal diesen Thread rein. Da steht glaube ich alles drin, mit der Einschränkung, dass es den Aufruf von wscript.exe (ist Teil von Windows) in deinen O4-Einträgen nicht gibt (wegen Teatimer) und das VBS-Skript bei dir einen anderen Namen hat.

Wenn der IE nicht will, dann würde ich es danach noch mal ohne Proxy probieren. Wenn Du einen Proxy eingestellt hast, der es nicht tut, dann kann das von Belang sein.

Gruß, Karl

Edit: Hallo Myrtille

cool, danke für die schnelle antwort. war ja in der tat erstaunlich leicht den zu entfernen. und sorry für das script. habs gleich entfernt. wusst nich, dass das soviel infos zum selbstverbreiten dieses quälgeists bringt.

oh.. ein problem hab ich jetzt. meine laufwerke sind bei doppelklick auf autoplay gestellt. und da ich dich autoplaydatei ja gelöscht hab, kommt nur die fehlermeldung das USERNAME.vbs nich mehr gefunden wird. wie kann man das autoplay deaktivieren und "öffnen" wieder als standardeinstellung setzen?

Das sind die autorun.inf-Dateien. du musst jetzt nach diesen suchen. Auf Arbeitsplatz Rechtsklick -> Suchen -> Dateien und Ordner. Im Suchfenster folgende Einstellungen: Unten "Weitere Optionen" öffnen, dort "Systemordner durchsuchen", "Versteckte Elemente durchsuchen" und "Unterordner durchsuchen" anhaken, die weiteren Optionen sollen nicht markiert sein. Nun in das Feld für den Dateinamen autorun.inf eingeben und suchen lassen. Kann etwas dauern je nach Umfang deiner Festplatten.

Die gefundenen Dateien mit dem Editor öffnen. Steht was mit username.vbs drin: dann Datei löschen.

Tip für die Zukunft: Beim anschließen von USB-Laufwerken die Shift-Taste gedrückt halten. Das verhindert die Autorun-Eigenschaft von Windows und damit eine Infektion des Systems, falls das Laufwerk infiziert ist.