VBS Virus?
 

Hallo,
folgendes Script packt sich auf dem Rechner eines Bekannten immer wieder auf den USB Stick und erstellt Verknüpfungen die dieses Script ausfühen und somit jeden PC infizieren.
Wie kriege ich den Spaß wieder runter und was genau hat es bis jetzt angestellt? Datenklau oder nur Verbreitung?

LG


mod-edit: Skript entfernt

Hi,

ich hab das Skript mal rausgelöscht (damit niemand in Versuchung kommt.. ;)).
Aber auf die Schnelle überflogen ist es nur für den "administrativen Part" zuständig. Also für die Installation und Verbreitung der Malware und um sich mit einem Server zu verbinden und von dort weitere Instruktionen (also den eigentlichen Payload) nachzuladen. Ob die Malware Datenklau oder sonstwas betreibt, ist hieraus nicht ersichtlich.

Entfernen wir sie mal:


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

ok.


Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Danach starte den Rechner neu, lass FRST nochmals scannen und poste dieses Log ebenfalls.

Hey, vielen dank schon mal für deine Hilfe, glaube aber dass das ganze immer noch läuft, habe wscript.exe gekillt damit ich meinen USB Stick anschließen kann, ohne dass er verseucht wird.

Fixlog

FRST

Das läut in der Tat immer noch (oder wieder).
Hast du zwischen Fix und neuem Scan noch etwas anderes gemacht? Wiederhole die obigen Schritt bitte im abgesicherten Modus und poste die neuen Logs. (Und schliesse nach dem Fix vorerst auch keinen USB-Stick mehr an.)

Lang nicht mehr dort gewesen...
Habe es nun nochmal im abgesicherten Modus ausgeführt und nun ist das Problem behoben.
Kann ich denn nun sicher gehen, dass sich nicht irgendwo etwas "schädlicheres" eingenistet hat?
Vielen Dank für die Hilfen!

Poste mal frische FRST-Logs aus dem normalen Modus.