bennib22
Goto Top

Vbs - Virus entschärfen

Hallo,

Ich habe den Virus KANINCHEN.vbs auf meinem PC (winXP) gefunden und gelöscht.
Ich hab hier den Quellcode und möchte gerne (Zeile für Zeile) erklärt haben, was das bedeutet,
damit ich das evtl wieder rückgängig machen kann.


Hier der Code:
'Ich hatte hier ursprünglich den Code drin, will aber niemanden in Versuchung bringen  
Das Dim am Anfang ist für die Variablen, und der 1. Reg-Schlüssel ist für den Autostart.
Aber mit dem Rest kenn ich mich nicht aus.

Danke im voraus
benni

Content-ID: 129005

Url: https://administrator.de/contentid/129005

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

dog
dog 10.11.2009 um 09:33:03 Uhr
Goto Top
Das offensichtliche zuerst:

Er kopiert sich gleich mal auf alle USB-Sticks und anderen Laufwerke mit einer autorun.inf Datei.
Außerdem trägt er sich in einen der Autostart-Orte für Windows ein.
Dann fügt er der Internet Explorer Titelleiste "Hacked by ..." hinzu.
Und er läuft in einer Schleife, um sich weiterzuverbreiten.
Ach und er kopiert sich nach %windir%\system32\hostname.vbs...

Grüße

Max
Antos
Antos 10.11.2009 um 09:39:57 Uhr
Goto Top
Morgen,

ich kenn mich mit VBScript zwar auch nicht aus, aber ich würde auf jeden Fall mall deine Wechseldatenträger überprüfen. So wie es aussieht wird auf die Wechseldatenträger die Datei Kanninchen.vbs kopiert (Z.35) plus eine autorun.inf kreiert (Z.39).

mfg
Antos
SlainteMhath
SlainteMhath 10.11.2009 um 10:27:32 Uhr
Goto Top
sorry, aber: GEHT'S NOCH?!

Virenquellcode hat hier im Forum nichts zu suchen!
dog
dog 10.11.2009 um 10:31:42 Uhr
Goto Top
Das als Virus zu bezeichnen ist ja schon etwas übertrieben face-smile

Wobei du natürlich recht hast...
SlainteMhath
SlainteMhath 10.11.2009 um 10:41:02 Uhr
Goto Top
Das als Virus zu bezeichnen ist ja schon etwas übertrieben

Guckst Du hier:
http://www.sophos.de/security/analyses/viruses-and-spyware/vbssolowd.ht ...

Und mein SAV hat VBS.Solow gerade aus meinen Temp Internetfiles entfernt...
dog
dog 10.11.2009 um 10:50:56 Uhr
Goto Top
Tatsächlich. Ich hab' es mal testweise auf den Fileserver gespeichert und Avast hat es mir auch gleich als VBS:Solow-L gelöscht. face-smile

Mein Kommentar bezog sich aber mehr auf die schwere des "Virus", denn alles was er kaputt macht ist die Internet Explorer Titelleiste.

Grüße

Max
SlainteMhath
SlainteMhath 10.11.2009 um 10:55:22 Uhr
Goto Top
Mein Kommentar bezog sich aber mehr auf die schwere des "Virus", denn alles was er kaputt macht ist die Internet Explorer Titelleiste.

Jo, es braucht nur einen "Spaßvogel" der sich die Source hier aus dem Forum zieht, 1-5 Zeilen zusätzlichen Code und schon sieht die Sache anders aus.

@bennib22:
Besorg dir einen Virenscanner und schmeis den Sourcecode aus deinem Post..
Biber
Biber 10.11.2009 um 12:25:32 Uhr
Goto Top
Moin SlaintheMhath,

Zitat von @SlainteMhath:
@bennib22:
Besorg dir einen Virenscanner und schmeis den Sourcecode aus deinem Post..

da bennib22 anscheinend noch mit seinem Virenscanner im MediaMarkt an der Kasse steht, schmeiß ich mal den Skiddie-Gehversuch raus.

Grüße
Biber
SlainteMhath
SlainteMhath 10.11.2009 um 12:38:24 Uhr
Goto Top
Zitat von @Biber:
da bennib22 anscheinend noch mit seinem Virenscanner im MediaMarkt an
der Kasse steht, schmeiß ich mal den Skiddie-Gehversuch raus.
Danke face-smile
bennib22
bennib22 10.11.2009 um 12:41:05 Uhr
Goto Top
Nach dem Virenscan kam als ich auf C:\ geklickt habe
Auf den Datenträger kann nicht zugegriffen werden. Datei Kaninchen.vbs wurde nicht gefungen
Hab ich aber allein beheben können face-smile
(Auf C:\ war 'ne autorun.inf die ich dann gelöscht hab)
Jetzt ist alles wieder OKAY.

danke an alle
bennib22