Skriptdatei C:******.vbs wurde nicht gefunden...was tun?

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Scarto, 01.10.2009.

  1. Scarto

    Scarto Erfahrener Benutzer

    Dabei seit:
    18.12.2008
    Beiträge:
    240
    Zustimmungen:
    0
    Ort:
    Bayern
    So und ein nächstes Problem. Meine Schwester ist gerade zu Besuch und hat ein Laptop-Problem. Betriebssstem ist Windows XP und Laptop ist von MSI.

    Die Festplatte des Notebooks wurde in 4 Partitionen aufgeteilt. Seit kurzem kann man keine normal öffnen. Immer kommt eine Fehlermeldung wie im Titel.Man kann die Partitionen nur mit "Rechtsklick -> Öffnen" aufmachen.

    Ich habe schon etwas gegoogelt und rausgefunden, dass das ein Trojaner sein könnte. Aber es gibt ein paar unterschiede: normalerweise müsste es heißen "Die Skriptdatei C:(NAme).vbs wurde nciht gefunden". Aber wo eigentlich der Computername stehen sollte steht SEPNST (ich glaube das ist der ehemalige Name).

    Was ist das alles? Wie bekomme ich das weg? MAche gerade Scanns. Ergebnis kommt dann. Ich hoffe ihr könnt helfen. Ein anderes Problem ist nämlich auch, dass meine Schwester mittags wieder wegfährt und sie mir erst gestern abend erzählt hat...

    Hier schon mal das Hijackthis Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:15:41, on 01.10.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\O2Micro Oz128 Driver\o2flash.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    E:\Programme\Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    E:\Security\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losstarten.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SEPNST
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [TREUDES-RECHNER] C:\WINDOWS\SYSTEM32\TREUDES-RECHNER.vbs
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://asia.msi.com.tw
    O15 - Trusted Zone: http://global.msi.com.tw
    O15 - Trusted Zone: http://www.msi.com.tw
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/wuweb_site.cab?1229541806129
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1229541795426
    O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{51349B92-263F-49C7-B965-E85C2E285950}: NameServer = 192.168.125.8
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Programme\O2Micro Oz128 Driver\o2flash.exe

    --
    End of file - 6664 bytes

    Danke für die Hilfe!


    EDIT: Malewarebytes und Antivir haben beide nix gefunden. Weiß keiner einen Rat?


    EDIT 2: Auf jeder Partition gibt es eine autorun.inf mit dem Inhalt: "[autorun]
    shellexecute=wscript.exe SEPNST.vbs "

    Folgende zeilen stören mich ein bisschen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by SEPNST
    und: O4 - HKLM\..\Run: [TREUDES-RECHNER] C:\WINDOWS\SYSTEM32\TREUDES-RECHNER.vbs (wobei die vielleicht sogar da sein muss)
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. Scarto

    Scarto Erfahrener Benutzer

    Dabei seit:
    18.12.2008
    Beiträge:
    240
    Zustimmungen:
    0
    Ort:
    Bayern
    Ich spare mir mal das dritte EDIT und schreibe en neuen Post. Wenn es nicht angebracht ist entschuldige ich mich gleich und werde das dann ändern :)

    Ich habe wieder was neues entdeckt... Ich habe mal aus Spaß auf einer Partition die autorun.inf (siehe Edit 2) gelöscht und neu gestartet. Jetzt kann ich auf diese Partition mit einem Doppelklick zugreifen. Auf die anderen noch immer nicht. Ach ja und komischerweise gibt es die wscript.exe (siehe Inhalt von autorun.inf aus EDIT 2) nicht bei den laufenden Prozessen...

    Hier meine Theorie: Es war mal ein Trojaner drauf, aber der wurde eliminiert und das sind nur die Reste die noch stören aber nicht mehr schädlich sind. Was sagt ihr dazu?
     
  4. #3 Leonixx, 01.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hi,

    so wie sich das liest, kann es alles sein. Für einen tieferen Einblick in das System wende Combofix an, wie im Link in meiner Sig. Anschließend Logfile posten.

    Lade diese Datei C:\WINDOWS\SYSTEM32\TREUDES-RECHNER.vbs bei Virustotal hoch und lasse auswerten. www.virustotal.com

    Gruss

    PS: Dauert ein bisschen mit der Auswertung da ich im Büro bin. Kann ich notfalls erst Heute Abend machen.
     
  5. #4 xandros, 01.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.890
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Nicht jeder Prozess muss nach dem Ausführen auch aktiv sein. Gerade bei diesen VB-Scripts wird die wscript.exe lediglich aufgerufen, um das VB-Script abzuarbeiten. Danach wird der Prozess direkt beendet....

    Bei normalen Festplattenpartitionen ist eine autorun nicht notwendig. Die Partitionen lassen sich ja nicht wie CDs/DVDs austauschen und brauchen daher auch nicht automatisch beim einlegen gestartet werden. Diese autorun-Dateien kannst du auf den Partitionen entfernen.
     
  6. Scarto

    Scarto Erfahrener Benutzer

    Dabei seit:
    18.12.2008
    Beiträge:
    240
    Zustimmungen:
    0
    Ort:
    Bayern
    Und jetzt ist der Laptop weg. Die mussten wieder fahren und ich soll denen später übers Telefon die Anweisungen geben...

    Naja... Was ich aber noch gemerkt habe: ich kann die vbs datei nicht hochladen, weil sie nicht existiert. Weder bei der suche noch an dem entsprechenden ORt. Keine versteckte Datei oder sonstwas...

    Das mit Combofix probiere ich aber noch. Könnte aber dauern. Die fahren jetzt erst mal 3 stunden
     
  7. #6 xandros, 01.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.890
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    das ist immer eine lustige bis lästige Aktion. Verwende z.B. TeamViewer und greife direkt auf den Rechner zu. Dann kannst du die Aktionen selbst ausführen oder der entsprechenden Person zuschauen.
     
  8. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
Thema: Skriptdatei C:******.vbs wurde nicht gefunden...was tun?
Besucher kamen mit folgenden Suchen
  1. die skriptdatei c .vbs wurde nicht gefunden

    ,
  2. skriptdatei .vbs nicht gefunden

    ,
  3. prot.vbs wurde nicht gefunden

    ,
  4. skriptdatei wurde nicht gefunden,
  5. die skriptdatei wurde nicht gefunden,
  6. die skriptdatei .vbs wurde nicht gefunden,
  7. run.vbs nicht gefunden,
  8. script datei nicht gefunden,
  9. die skriptdatei c vbs wurde nicht gefunden,
  10. die skriptdatei wurde nicht gefunden windows run.vbs schwarz,
  11. skriptdatei nicht gefunden,
  12. prot.vbs,
  13. run.vbs wurde nicht gefunden,
  14. die skriptdatei c:\windows\run.vbs wurde nicht gefunden,
  15. skriptdatei run vbs nicht gefunden,
  16. skriptdatei vbs wurde nicht gefunden,
  17. die skriptdatei vbs wurde nicht gefunden festplatte,
  18. skriptdatei lenovo-24044.vbs nicht gefunden,
  19. die skriptdatei vbs wurde nicht gefunden,
  20. skriptdatei prot.vbs wurde nicht gefunden,
  21. windows 7 die skriptdatei file.vbs wurde nicht gefunden,
  22. c:vbs nicht gefunden,
  23. vbs datei wurde nicht gefunden,
  24. die skriptdatei .vbs wurde nicht gefunden externe festplatte,
  25. port.vbs wurde nicht gefunden
Die Seite wird geladen...

Skriptdatei C:******.vbs wurde nicht gefunden...was tun? - Ähnliche Themen

  1. Tumbleweed hat ins Forum gefunden

    Tumbleweed hat ins Forum gefunden: Bin schon mehrfach beim googlen über das Forum gestoßen und dachte mir, ich melde mich mal an! In Gebrauch habe ich derzeit eine ungewöhnliche...
  2. [ANDROID] App wurde beendet

    [ANDROID] App wurde beendet: Hallo, ich habe seit ich mein Handy auf Werkeinstellungen zurückgesetzt habe ein ziemlich nerviges und seltsames Problem. Denn nach dem Reset und...
  3. Sinn des Lebens und was tun

    Sinn des Lebens und was tun: Also erstmal, das soll jetzt keine Frage zum Thema Selbstmord sein, ich verspreche euch im vornherein, das ich mich nicht umbringen werde! Also,...
  4. User im Internet nimmt meinen Namen an und beleidigt andere! was soll ich tun?

    User im Internet nimmt meinen Namen an und beleidigt andere! was soll ich tun?: ich bin empört und weiß nicht weiter. diese person nimmt meinen namen an und sogar meinen avatar und gibt sich als mich aus.
  5. Problem mit Cybermobbing: was tun?

    Problem mit Cybermobbing: was tun?: Hey Leute, mal eine Frage: was kann man bei Cybermobbing tun? Unsere 12 jährige Tochter wird in letzter Zeit regelmäßig mit Mails, Nachrichten auf...