Hallo zusammen,

gerade gehe ich etwas in die Knie und wende ich mich an Euch mit der Hoffnung auf Hilfe, nachdem alles Suchen nach Lösung für mein Problem vorher erfolglos blieb.
Ich habe Windows XP installiert und lange keinen Virenscanner benutzt, lediglich Firewall und das, was mein DSL-Anschluss an Schutz bietet. Heute meldete eine Foto-Speicherkarte von mir beim Anschließen an den PC eines Freundes einen Virus. Ich installierte also zuhause AntiVir und bekam prompt 276 Virenmeldungen. Diese lauten gemäß Report folgendermaßen und weiter sehr ähnlich: (Wenns Sinn macht, kopiere ich mehr davon)

C:\ALEXIS.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d2e63a.qua' verschoben!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{6D9F5AD4-177D-4518-89DD-C59030C4E159}\RP198\A0035471.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d78af3.qua' verschoben!
C:\System Volume Information\_restore{6D9F5AD4-177D-4518-89DD-C59030C4E159}\RP198\A0035472.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d75476.qua' verschoben!

G:\System Volume Information\_restore{6D9F5AD4-177D-4518-89DD-C59030C4E159}\RP211\A0037292.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49bdf181.qua' verschoben!

Alle Laufwerke bzw. Partitionen sind betroffen. Mittlerweile musste ich AntiVir schließen, weil in echtem Minutentakt unaufhörlich neue Meldungen eintrudeln und alles lahm legen (aktuell 526 Meldungen). Klingt, als sei das immer wieder der selbe Virus, der sich hartnäckig erneuert. Bei meiner Suche stieß ich nach der Warnung aus dem Report auf eine nicht durchsuchte Datei. Diese läßt sich auch von mir nicht öffnen, nur löschen! Danach erscheint sie aber gleich wieder.
Sie heißt: "C:\ALEXIS.vbs" (bzw. anderer Vorname - je nach Laufwerk), existiert aber gar nicht, sondern trägt statt Alexis meinen eigenen Vornamen. Über Arbeitsplatz oder Explorer kann ich nicht mehr auf meine Laufwerke zugreifen, lediglich indirekt, z.B. über Desktop. Da funktioniert - noch - alles.
Der Fehler ist mir erst vor ein paar Tagen aufgefallen, jetzt macht er langsam Sinn als Folge einer Attacke.
Das reime ich mir aber nur als Laie zusammen. Ein Highjack-Dingens-Protokoll habe ich nicht zustande gekriegt bisher, zu viele Hürden, bei denen ich zuwenig verstehe, vielleicht gibt es eine Prozedur, die schlicht oder sicher genug ist, damit ich sie auch hinkrieg. PC war bisher ein Werkzeug für mich. Wenn er zu einer Hilfe für Probleme wird, die ich ohne ihn gar nicht hätte, wird's für mich ungemütlich.

Der Silly.Gen-Virus wurde in diesem Forum 4 mal aufgerufen, aber - bisher - ohne Lösung. Daher eröffne ich dieses Thema. Kann mir jemand weiter helfen? Das wäre fabelhaft!

1. Mit HijackThis scannen und Log posten.

2. Mit Malwarebytes Anit-Malware komplett scannen und Log posten.

Anleitungen stehen in den jeweiligen Links. Damit solltest du es hinbekommen.

Manuell zu entfernen ist noch komplizierter. (Ich schreibe es hier dennoch rein, wie es gehen sollte)

1. Start --> Ausführen und "Explorer" eingeben. Dort auf Extras --> Ordneroptionen. Dann auf den Reiter "Ansicht". Dort bei "Geschützte Systemdateien ausblende (empfohlen) den Haken weg machen (Anschließende Warnung mit "Ja" beantworten).
Danach bei "Versteckte Dateien und Orden" --> "Alle Dateien und Ordner anzeigen" auswählen.

2. Taskmanager öffnen (STRG+ALT+ENTF) Dort "Wscript.exe" anwählen und den Prozess beenden.

3. Start --> Ausführen und "Regedit" eingeben.
Dort zum Schlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" sollten rechts einige Einträge stehen. Falls dort "Enabled" nicht vorhanden ist, erstelle dort einen Neuen Eintrag (rechte Maustaste --> "Neu" --> "Zeichenfolge". Diese nennst du dann "Enabled". Anschließend doppelklick auf den neuen Eintrag und den Wert "0" geben. Nocheinmal Punk 2 wiederholen, falls dort wieder die Wscript.exe ist, erneut beenden.

4. Start --> Ausführen und "msconfig" eingeben. Dort den Reiter Systemstart anwählen. Dort müsste ein Eintrag (Systemstartelement) mit dem Namen der Datei sein (Alexis oder Dein Name) Bei Befehl sollte stehen "C:\Windows\System32\Alexis.vbs (oder wieder dein Name.vbs) . Den Haken dieses Eintrages entfernen.
Allgemein sollten keine vbs Dateien automatisch gestartet werden, es sei denn es ist dir bewusst und du weißt was dieses Script macht.

5.
"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" Dort müsste jetzt der Eintrag "Window Title" sein und der Wert "Hacked by Alexis" lösche den Eintag.

6. Lösche die Dateien in C:\Windows\System32\Alexis.vbs und/oder die mit deinem Namen.vbs (Die Datei müsste eine Größe von 2,05 KB (2.106 Bytes) bzw. Größe auf Datenträger von 4,00 KB (4.096 Bytes) haben. Könnte eventuell ganz leicht abweichen. Anschließend alle "Autorun.inf" Dateien auf deinen Festplatten löschen.

USB Sticks und andere Wechseldatenträger sind davon auch betroffen. Die solltest du auch alle untersuchen.

Dieses Script verbreitet sich scheinbar über Wechseldatenträger und benennt sich dann um und zwar in den Namen des User auf dessen PC es läuft. Kennst du jemanden mit dem Namen Alexis (Bzw. Jemanden, der diesen Usernamen nutzt? Diese Person ebenfalls informieren, denn sie ahnt scheinbar nichts davon.

Zitat:

1. Start --> Ausführen und "Explorer" eingeben. Dort auf Extras --> Ordneroptionen. Dann auf den Reiter "Ansicht". Dort bei "Geschützte Systemdateien ausblende (empfohlen) den Haken weg machen (Anschließende Warnung mit "Ja" beantworten).
Danach bei "Versteckte Dateien und Orden" --> "Alle Dateien und Ordner anzeigen" auswählen.

bei mir klappt es nicht. als ich die Optionen verlasse, sind die Versteckte Dateien und Orden wieder ausgeblendet. Woran kann es liegen?
Ist in regedit irgendwo eine Sperre aufzuheben möglich?

Hallo omsk-berlin und

Bitte eröffne deinen eigenen Thread und lese dir aufmerksam diese Anleitung durch.

Arbeite alle Schritte unter Punkt 2 (a,b,c und d) ab.

mfg, Kaos

Vielen Dank, Kaos für die Hilfe zur Selbsthilfe. Damit hast Du mir viel Ärger erspart. Dank der detaillierten Anleitung bin ich HTML/silly.Gen endlich los.

Hallo nochmal
vor 10 Monaten habe ich diesen Thread eröffnet und - unmittelbar danach - meinen PC vom Netz genommen, als sich auch Antivir nicht mehr aktualisieren ließ.
Beim aktuellem Versuch mit einer funktionierenden Antivir-Version wurde das gleiche Virus nun wieder erkannt und in Quarantäne verschoben.
Erneute Systemprüfung brachte dann keine weiteren Meldungen oder Warnungen. Zwar kann ich Partitionen weiterhin nicht direkt öffnen, aber sonst läuft alles.
Bin übrigens sehr angetan von Deiner ausführlichen und blitzschnellen Antwort Kaos. Ein - arg verspätetes - Dankeschön dafür!!!

Immerhin hast Du damit bereits jemand anderem weiterhelfen können, inzwischen.

Ich kenne keine(n) Alexis, glaube aber, dass der Virus über einen öffentlich zugänglichen Foto-Kopierautomaten (Kodak) auf meine SD-Karte gelangt ist.

Die "manuelle Therapie nach Dr. Kaos", die ich dennoch versucht habe, um niemand sonst zu infizieren, hakte allerdings bereits, als ich - im Taskmanager - "Wscript.exe" anwählen wollte. Datei ist bei mir unauffindbar!

Macht es - angesichts der Sachlage - da überhaupt noch Sinn, weiter zu suchen, oder sollte ich das Problem lieber als erledigt betrachten?
Wenn nicht, dann würde ich nun versuchen, die Logfiles mit HijackThis nach Deiner Beschreibung zu erstellen.
Wie auch immer - richtig gut, dass Du - und Ihr im Forum - Euch überhaupt so reinkniet, um die Probleme von fremden Menschen zu lösen.
Danke dafür mal hier an das ganze Team! Gut? nein: Das find ich schon überirdisch! Deshalb - Huldigung:
Beste Grüße
Wolfklang