win31.dll.vbs

weltraumpaps · 04.03.2008, 15:21

hallo,

ich habe seit ca. 1 stunde ein problem mit dem zugriff auf meine externe festplatte (250gb-trekstor mit 2 partitionen).. will ich sie normal über den arbeitsplatz öffnen kam zunächst von antivir eine detection der E:/WIN31.dll.vbs mit dem VBS script virus VBS/Autorun.J
erst mal access denied, doch dann kann ich nicht auf die platte zugreifen. einmal aus- und wieder angemacht. über das windows (XP, SP2) interne autorun klappts dann. im root verzeichnis liegt auch die o.g. datei plus eine autorun.inf mit folgendem inhalt

Code:

ATTFilter

[autorun]
shellexecute=wscript.exe WIN31.dll.vbs

ich bin mir zu 99% sicher, das die beiden versteckten dateien vorher nicht da waren. jetzt habe ich die datei mit antivir löschen lassen (autorun.inf) ist noch da. wenn ich jetzt über den arbeitsplatz auf eine der beiden partitionen zugreifen will, kommt "Die Skriptdatei E:\WIN31.dll.vbs wurde nicht gefunden". logisch. kann ich jetzt die autorun.inf einfach löschen oder wie soll ich vorgehen??

mittlerweile hat siche die datei auch im root-vz auf den beiden partitionen meiner laptopfestplatte und in C:\windowos\ eingenistet..

der einzig relevante hijackthis-eintrag ist folgender, der sich nach löschung wieder herstellt:

O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

was soll ich tuen?? hab die engl. antivir premium version..

danke für eure hilfe..

/edit: gerade noch entdeckt: im taskmanager gibt es neuerdings eine wscript.exe, 0% CPU-auslastung, 5.512K speicher.. liegt im windows/system23 ordner.. ein scan bringt kein ergebnis..

/edit²: im autostart ist die datei auch schon :-(

-SilverDragon- · 04.03.2008, 16:18

Mhhm... Doppelte Dateiendung,

lad die WIN31.dll.vbs mal bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
hoch und Poste das Ergebnis.
Und Poste einen HijackThis Log ---> http://www.trojaner-board.de/17493-a...ijackthis.html

weltraumpaps · 04.03.2008, 16:46

die datei wird nicht gefunden. (versteckte und systemdateien waren in der suche natürlich dabei)...

hier das hijacklogfile.

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:40:23, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NetMeter\NetMeter.exe
C:\Programme\StatBar\StatBar.exe
C:\Programme\RK Launcher\RKLauncher.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avscan.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Rar$EX00.371\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.178.3/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = BANTAI USA & EZRAEL [AL - MUKHLIS STUDIO]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\NetXfer\NXIEHelper.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [C:\Programme\NetMeter\NetMeter.exe] C:\Programme\NetMeter\NetMeter.exe
O4 - HKCU\..\Run: [StatBar] C:\Programme\StatBar\StatBar.exe
O4 - Startup: RK Launcher.lnk = ?
O4 - Startup: trillian.exe.lnk = C:\Programme\Trillian\trillian.exe
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\NetXfer\NXAddList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

mir scheint das soweit in ordnung (die auswertung auf http://www.hijackthis.de sagt das gleiche).. nur bekomme ich beim klick auf eine der externen platten immer noch die fehlermeldung "die skriptdatei e:\WIN31.dll.vbs wurde nicht gefunden."
bei rechtsklick-> öffnen gehts. weder die win31.dll.vbs noch die autorun.inf (hab ich manuell gelöscht) sind da

weltraumpaps · 04.03.2008, 18:48

das hier hat luke filewalker von antivir ergeben:

Code:

ATTFilter

Begin scan in 'E:\' <*****>
E:\System Volume Information\_restore{6D83BB31-EB91-4368-B805-D8A37F6B47A4}\RP458\A0047647.vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Autorun.J
      [INFO]      The file was moved to '47fd850e.qua'!
E:\System Volume Information\_restore{8480B5F8-FB24-4513-A7C5-455B2E64E485}\RP278\A0040917.vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Autorun.J
      [INFO]      The file was deleted!
E:\System Volume Information\_restore{8AEB2247-8163-4A3E-8912-821F95B85C3A}\RP81\A0012445.vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Autorun.J
      [INFO]      A backup was created as '47fd851d.qua'  ( QUARANTINE )
      [INFO]      The file was deleted!
E:\System Volume Information\_restore{A758EC68-64A8-4474-93FA-4DE4A65FDBEF}\RP125\A0027180.vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Autorun.J
      [INFO]      The file was moved to '47fd8527.qua'!
Begin scan in 'F:\' <*****>
F:\System Volume Information\_restore{8480B5F8-FB24-4513-A7C5-455B2E64E485}\RP278\A0040919.vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Autorun.J
      [INFO]      The file was moved to '47fd8a32.qua'!
F:\System Volume Information\_restore{8AEB2247-8163-4A3E-8912-821F95B85C3A}\RP81\A0012443.vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Autorun.J
      [INFO]      The file was moved to '47fd8a35.qua'!
F:\System Volume Information\_restore{8AEB2247-8163-4A3E-8912-821F95B85C3A}\RP81\A0012447.vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Autorun.J
      [INFO]      The file was moved to '47fd8a3c.qua'!
F:\System Volume Information\_restore{A758EC68-64A8-4474-93FA-4DE4A65FDBEF}\RP125\A0027182.vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Autorun.J
      [INFO]      The file was moved to '4683af5d.qua'!
F:\System Volume Information\_restore{A758EC68-64A8-4474-93FA-4DE4A65FDBEF}\RP125\A0027185.vbs
      [DETECTION] Contains detection pattern of the VBS script virus VBS/Autorun.J
      [INFO]      The file was moved to '47fd8a3e.qua'!

obwohl die files in der quarantäne sind, kann ich nicht durch doppelklick auf die festplatte zugreifen..

/edit: gerade noch entdeckt, beim rechtsklick gibt es 2x "AutoPlay" beim ersten (fett geschrieben) gibts kein zugriff, beim zweiten den normalen winXP-autoplay vorgang mit eingabeaufforderung..

win31.dll.vbs

Plagegeister aller Art und deren Bekämpfung: win31.dll.vbs

win31.dll.vbs

win31.dll.vbs

win31.dll.vbs

win31.dll.vbs

Ähnliche Themen: win31.dll.vbs

04.03.2008, 16:18	#2
-SilverDragon-	win31.dll.vbs Mhhm... Doppelte Dateiendung, lad die WIN31.dll.vbs mal bei VirusTotal - Kostenloser online Viren- und Malwarescanner hoch und Poste das Ergebnis. Und Poste einen HijackThis Log ---> http://www.trojaner-board.de/17493-a...ijackthis.html __________________