Hallo,

ratloser Neuling sucht Hilfe/Antwort.

Habe mir über einen USB-Stick meiner Nichte einen Trojaner? eingefangen.
Nach dem Einstecken des Sticks hatte ich 5-6 mal eine Fehlermeldung bezüglich nicht vorhandener Laufwerke auf dem Bildschirm. Habe sie unbedacht weggeklickt. Erst dann informiete mich meine Nichte über ihr Problem. Ihr Internet-Explorer zeige als Fenstertext seit einiger Zeit die Überschrift
"Internet Explorer hacked by Knuddelbär".
Hab' dann Kuddelbär bei mir gesucht und wurde fündig. Fand zwei Dateien auf dem Stick die auf meine sämtlichen Festplatten übertragen wurden.
- autorun.inf
- knuddelbär.vbs
Clever (Haha) wie ich war habe ich die Dateien gelöscht, mich gefreut und den Computer neu gestartet. Überraschung! Waren wieder da. Blöd.
Dateien umbenannt. Blöd. waren wieder da. Habe mir knuddelbär.vbs im
Editor angeschaut und bis auf wscript.exe nichts verstanden. Jetzt habe ich
die umbenannt und oh Wunder nach Neustart waren die Dateien nicht nochmals erschienen.

Jetzt meine Fragen:
- brauch ich die wscript.exe
- was hat knuddelbär angestellt
- und wie bekomme ich den knuddelbär bei mir und meiner Nichte los.

füge den Text der beiden Dateien ein:

autorun.inf:
[autorun]
shellexecute=wscript.exe KNUDDELBÄR.vbs

***Script entfernt***

Wenn mir jemand helfen kann..... Danke im Voraus!!!

WasIstLos???

Hi,

lade dir bitte Malwarebytes herunter und aktualisiere die Datenbank, stecke den USB-Stick ein und führe den Quickscan durch und poste das Ergebnis hier.

lg myrtille

Zitat:

Zitat von myrtille

Hi,

lade dir bitte Malwarebytes herunter und aktualisiere die Datenbank, stecke den USB-Stick ein und führe den Quickscan durch und poste das Ergebnis hier.

lg myrtille

Hallo myrtille,

Danke für Deine erste? Antwort.

Also: Habe Malwarebytes von Herstellerseite heruntergeladen. Grosses Chaos. Installiert...
beim updaten kommt Meldung: Neue Version wird installiert. Zonealarm schlägt
Aaaalarm! Soll ich es wagen? Risikooo. Gemacht. Installiert.
Dann (ohne USB-Stick) - Quickscann.

Ergebnisprotokoll
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1727
Windows 5.1.2600 Service Pack 3

04.02.2009 18:56:12
mbam-log-2009-02-04 (18-55-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49564
Laufzeit: 16 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\Dokumente und Einstellungen\Hugo\Lokale Einstellungen\Temp\is-V2QQI.tmp\mbam-setup.tmp (Adware.SearchIt99) -> No action taken.

Habe ich jetzt neue Probleme??????

Dann Quickscann mit eingestecktem USB-Stick.
Ergebnisprotokoll
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1727
Windows 5.1.2600 Service Pack 3

04.02.2009 19:34:25
mbam-log-2009-02-04 (19-34-25).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49306
Laufzeit: 13 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Habe allerdings den USB-Stick nicht über den Explorer angesprochen und auch
nicht die wscript.exe wieder richtig umbenannt.

PS: Sorry mit dem "Script" - dämmert mir jetzt warum

Gruss WasIstLost???

Hi,

ich hatte noch im Kopf, dass MBAM diese Art von Infektion bereinigt. Das war wohl mein Fehler.

wscript.exe ist eine legitime Windowsdatei, die Skripte interpretieren kann. Wenn du die Datei löschst wird das "Hacked by" nicht mehr ausgeführt, aber auch alle anderen vbs-Dateien können nicht mehr interpretiert werden.

Hier gibt es eine manuelle Anleitung zur Entfernung: Link

Erstelle bitte zur Kontrolle ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)
Lasse RSIT bitte aufs Internet zugreifen um HijackThis herunterzuladen und wähle bitte bei der Zeitdauer "3 months" aus.

lg myrtille

[QUOTE=myrtille;411020]Hi,

ich hatte noch im Kopf, dass MBAM diese Art von Infektion bereinigt. Das war wohl mein Fehler.

wscript.exe ist eine legitime Windowsdatei, die Skripte interpretieren kann. Wenn du die Datei löschst wird das "Hacked by" nicht mehr ausgeführt, aber auch alle anderen vbs-Dateien können nicht mehr interpretiert werden.

Hier gibt es eine manuelle Anleitung zur Entfernung: Link


Hallo da bin ich wieder.

Habe im Board gestöbert und eine Eintrag von Inho1 vom 19.06.08 gefunden.
Da steht das gleiche Script drin das ich auch auf meinem Rechner habe;
nur mit einem anderen Namen. Gelöscht ist es nicht.
Ganz klar ist mir nicht ob der Trojaner? dort erfolgreich vom Rechner entfernt
wurde. Auch finde ich keine Angaben was der Trojaner? eigentlich anstellt.
Habe eine Web-Seite h**p://w**.quaschtel.de/wsh/wscriptnetwork.htm gefunden in denen die einzelnen Script-Anweisungen erklärt werden. Versuche
jetzt mal herauszufinden was "mein" Trojaner? so anstellt.

Danke für die bisherige Hilfe

Der Link zum hijackthis-forum sieht Klasse aus. Werde mich hineinknien.

Gruss WasIstLos???

Hallo,

bin jetzt ein Stückchen weiter. Habe mit Hilfe verschiedener Web-Seiten
den VBS-Code nachvollzogen und "meinen" Trojaner? zeilenweise ablaufen
lassen und mir die Variablen und Codes anzeigen lassen.
Irgenwie scheint das ganze ein "Übungs-Script" zu sein. Kann mir nicht
vorstellen, dass man um eine Datei von einem Verzeichnis in ein anderes
Verzeichnis zu schreiben, den Inhalt auslesen und im neuen Verzeichnis
wieder einlesen muss. Nun, vielleicht gibt es in VB kein Kopier-Code????

Die beiden Hauptaufgaben "meines" Trojaners? sind zum einen, sich über
alle Laufwerke eines Rechners zu Verbreiten, sich auf Datenwechselträger
(ausser Disketten) zu schleusen (er hat eine Zeitschleife und prüft alle 2 Minuten nach);
zum anderen durch Einträge in der Registery in den Autostart zu schreiben
und den Fenster-Titel desInternet-Explorer zu verändern ("Hacked by....).
Also fast harmlos.

Die letzten beiden Codezeilen finde ich seltsam.
Wenn man sie ausführt erscheint ein Explorer-Fenster und die VBS-Datei
ist makiert. Fehlt da was??? Warum stehen die da????
Wenn der Trojaner? seine Aufgabe erfüllt, werden die 2 Code-Zeilen nicht
ausgeführt.

Wofür der Trojaner? nichts kann und ich nicht erkennen kann ist was anderes:
Auf allen meinen Laufwerken (Festplatten und Partitionen) gibt es den Ordner
"System Volume Information" von denen ich glaube das dort Systemwieder-
herstellungspunkte abgespeichert werden.
Habe mit AVG-Free nach "meine" Trojaner? und anderen suchen lassen.
AVG hat ihn gefunden. Doch zusätzlich in den genannten Ordner VBS-Dateien
mit der selben Virusinformation gefunden. Leider wurde mir der Zugriff vom
System verweiger ("Zugriff Verweigert"). Habe jetzt alle gelöscht und die
Reg-Einträge korrigiert.

Werde das ganze jetzt mal ein paar Tage beobachten. Wenn ich mich nicht mehr melde, läuft alles wie vorher.

Danke

WasIstLos???

Hi,

die Systemwiederherstellung soll ja dafür sorgen, dass man den Rechner auf einen bestimmten Zeitpunkt zurücksetzen und ihn dann wieder so konfiguriert vorfindet, wie zu diesem Zeitpunkt. Wenn der Rechner zu diesem Zeitpunkt infiziert war, wird er es dann auch wieder sein.
Es gibt also eine Kopie der Malware in deiner SWH. Das einfachste (und gängigste) ist es die SWH einmal zu deaktivieren und somit alle Sicherungspunkte zu löschen, und sicher alle Spuren zu löschen.
Danach kann man die SWH aktivieren und einen neuen, sauberen Sicherungspunkt zu setzen.

lg myrtille

Hallo,

Danke, habe Deinen Rat befolgt. AVG hatte zwar die VBS-Dateien aus der Wiederherstellung
in Quarantäne geschickt, aber sicher ist sicher.
Neugierig wie ich bin, habe ich dann eine der in Quarantäne liegende VBS-Datei in einem
anderen Ordner wiederherstellen lassen, um zu schauen was das war/ist. Vielleicht
war/ist das ja ein anderer Trojaner? gewesen. Und was der gemacht hat oder nicht.....
Doch wie gehabt: "Zugriff verweigert" Attribute lassen sich ändern nur nicht ansehen.
Das Ding ausführen haben ich nicht versucht. Wer weiss was da passiert.
Nun, ich kann damit leben. Falls Du ein Tip hast wie ich da ran komme....
Danke Dir auf jeden Fall für Deine Hilfe und Tips/Links -habe sie benutzt und sie haben
genützt.
Also bis zu meinem nächsten Austerlitz oder Waterloo. Man "liest" sich.

Gruss
WasIstLos???http://www.trojaner-board.de/images/smilies/party.gif

Hi,

ja das hat System. Die Systemwiederherstellung und ihre Dateien ist nur vom System selbst und nicht von Benutzern einsehbar.
Das hat den Nachteil, dass wir da nicht reingucken können, allerdings auch den Vorteil, dass Malware keinerlei Zugriff oder Einfluss auf die SWH hat. Was in der SWH liegt kann nicht von selbst wieder rauskommen.

Es gibt noch ein paar weitere derartige Dateien. Zb die hiberfile.sys und die pagefile.sys sind ebenfalls Dateien auf die nur Windows selbst Zugriff hat.

lg myrtille