Virus BANTAI USA EZRAEL

Hallo zusammen,

Ich habe ein kleines dickes Problem, bei mir wurde ein infizierter USB-Stick mit einem Virus geladen.
Damit erscheint im IE in der Leiste neben dem HP-Namen die worte BANTAI USA EZRAEL AL MUKHLIS STUDIOS. Ausserdem werden alle Festplatten auf autostart umgestellt, sprich bei Doppelklick auf C: funktioniert nix mehr.

Mit HiJackThis habe ich die Einträge [Mcafee]win31dll.vbs und den Eintrag im IE gelöscht. Der IE ist somit geheilt, aber C: lässt sich immer noch nicht vernünftig öffnen, denn jetzt sagt er das er die win31dll nicht mehr findet, statt normal zu öffnen. habe den neuen HiJack-Logfile in anderen Foren gezeigt und die meinen der ist sauber.

Allerdings gibt es versteckte Dateien in C: die mir gar nichts sagen, welche sich auch verändern sobald ich auf C: doppelklicke. anbei ein JPG.

Der PC ist ein DELL Latitude D610.

Hoffe ihr könnt mir helfen.

 

Moin,

von wem hast du den usb-stick bekommen???

 

Ach, der wurde von einem Kumpel an die Personalchefin gegeben, die hat ihn dann mir und nach anderen in der Firma gegeben.... also die halbe Firma ist infiziert. Wirklich schädlich scheint das Ding nicht zu sein, sondern es behindert nur bei der Arbeit.

 

Schön, dass du in anderen Foren den HJT-Log zeigst. Wenn du hier Hilfe haben willst, wäre es sicherlich sinnvoller diesen auch hier zu zeigen.

 

wozu hijackthis log? das ist ein firmenrechner! da wird nix herumgebastelt sondern das standard image drübergebügelt und gut.

normalerweise jedenfalls. in dem speziellen fall ist der admin offensichtlich eine flasche...

 

Wenn es ein "anständiger" Firmenrechner wäre, sollte dieser
a) keine Daten auf der lokalen Platte haben
b) gar keine USB-Sticks verarbeiten können
c) hast du recht, einfach platt machen und gut, Profil wäre ja dann auf dem Server gespeichert.

 

naja usb-wdt lässt sich oft nicht ganz vermeiden. allerdings sollte zumindest der autostart deaktiviert sein

 

Ich habe ja nicht gesagt das unser Firmen-Server infiziert ist, sondern die einzelnen PCs, welche nur im Besitz der Abteilungschefs sind.

Und ich hatte das Logfile von HiJack nicht gepostet weil der Teil mir schon bekannt war. Aber ich habe jetzt nochmal ein Log an einem anderen Laptop erstellt, welches ihr angehängt findet.

Ich bitte um Verzeihung falls ich mich misslich ausgedrückt habe

 

Jetzt habe ich das Logfile gepostet und dann antwortet mir keiner mehr ?

 

künftig mehr Geduld........
wir sind nicht Daueraktiv/online

erst pushen und dann nicht mehr da sein und mitarbeiten... nene bin weg

 

ich bin nicht so der hijackthis verfechter (virenverdacht -> image retourspielen. grade bei firmen, wo üblicherweise geld dranhängt)

was ich sehe:
die java version 1.6.0_05 ist veraltet (aktuell ist 1.6.0_11)
netWaiting kennst du?
dein wscript-virus/wurm/whatever ist frisch fröhlich aktiv. erkennbar an den vielen instanzen von wscript

er startet sich z.b. hier O4 - HKLM\..\Run: [mcafee] C:\WINDOWS\WIN31.dll.vbs

 

ups das hab ich übersehen.. es handelt sich um einen Firmenrechner? dann soll sich der Admin plagen

 

Das habe ich ja bereits mit HiJack entfernt. Dieser Virus hat ja die Laufwerke so verstellt das diese sich mit Autostart öffnen wollen, und beziehen sich dann auf diese Datei. Jetzt ist die nicht mehr da, und in einem vorigen Post hatte ich gezeigt, welche versteckten Dateien in C: geblieben sind.
Wenn ich jetzt nämlich mit doppelklick auf c: gehe, zeigt der mir einen Fehler. Ist auf spanisch... kann jetzt den inhalt nicht unbedingt wiedergeben.


@humi:

Ich weiss das man hier nicht dauer aktiv ist bzw. online sein kann. Aber wenn man mich schon so von der Seite anfurzt und ich dann das Log online stelle, wäre es doch nett ein kurzes Feedback zu geben, oder ?

 

ich frage mich wirklich warum du da soviel arbeit reinsteckst. sag dem admin er soll den bzw die rechner wiederherstellen und gut.

solange das script irgendwo gestartet wird infiziert es das system immer wieder neu. damit man halbwegs normal arbeiten kann würde ich im schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
den dword wert NoDriveTypeAutoRun anlegen und auf den wert FF setzen (bzw ändern).

btw...
wenn du aus der suche gelernt hast wäre das auch die 1. aktion nach dem neu aufsetzen.

 

Guten Morgen,

Ich hänge mich da soviel rein weil der Admin eine absolute Pfeife ist... ich habe erst den Virus entdeckt ....

Ausserdem interessiert es mich, wie ich diese Plage loswerden kann und mich eventuell schützen muss.

 

an Firmenrechnern bastelt ausschliesslich der Admin...

 

neuinstallation bzw image drüberspielen

autostart für externe laufwerke/usbsticks/cds abschalten.

 

Naja, ich habe es auf dem Firmenlaptop auch so hinbekommen, ohne das Image drüberzubügeln.

dazu mussten die Registereinträge, welche ihr vorher schon erwähnt hattet, geändert werden.
Ausserdem die autorun.inf und win31.dll.vbs aus C: erst löschen, wenn im Task-Manager Windows Script ausgeschaltet ist (ich glaube das war winscr.exe oder so ähnlich).

Danach den Computer neu starten, da die win31.dll.vbs als dll in der Memory drinn war, und logischerweise nach Neustart daraus gelöscht wird.

Aber wenn man Windows Script nicht aus dem Task-manager schmeisst, und doppelklick auf C: macht, dann "regeneriert" sich das Script... und macht haufenweise Probleme.

Naja, ich geh nach Hause, ein schönes WE