nach internet-cafe '.vbs'-skript auf stick, alle Dateien versteckt

[max0408]

Hallo,

nach einem Besuch in einem Internet-Cafe, bei dem ich ein Open-Office-Dokument von einem mitgebrachten USB-Stick habe ausdrucken lassen, hatte ich anschließend ein unbekanntes Skript auf dem Stick, alle Ordner und Dateien auf dem Hauptverzeichnis des Sticks waren versteckt und für alle waren Verknüpfungen angelegt, die mittlerweile verschwunden sind. Skripte sind mir wenig geläufig, die Datei, die mir unverständlichen Text enthält, kann ich nicht deuten. Aber Skripte können wohl ziemlich übel sein(?) Deswegen meine Frage, wie das einzuschätzen ist, ob es irgendwelche Maßnahmen zu ergreifen gilt?

Gruß, Max.

PS: Auf meinem Desktop-PC läuft W10 1803, im Cafe W7.

 

[Demon_666]

Dann stecke den stick auf keinen Fall an Deinen PC. Das hört sich nach einem Hackversuch an. Sollte das Script mit Admin-Rechten auf deinem PC ausgeführt werden, kann es praktisch alles machen: Daten klauen, Festplatte verschlüsseln oder ganz löschen etc. . Hängt natürlich vom script und der Intention des hackers ab.

 

[whats4]

das dubiose internet cafe meiden?

 

[Demon_666]

Und nimm besser das nächste Mal einen stick der sich schreibschützen lässt

 

[Smartcom5]

Was für Antivirus-Lösungen setzt Du ein? Warum werden wechselbare Datenträger nicht automatisch mitgeprüft?!
Pro-Tip für die Zukunft: Beim Einstecken von unbekannten USB-Sticks grundsätzlich ⇧ gedrückt halten!


In diesem Sinne

Smartcom

 

[Smily]

Der Stick war schon an deinem PC? Dann ist es jetzt eh zu spät eventuell.
Dann kannst du die Partitionen auf dem Stick in er Datenträgerverwaltung löschen und neu formatieren. Das überleben die Scripte nicht.

Und dann bei deinem PC scannen, ob was rüber gewandert ist.

 

[Smartcom5]

Aber mal zur Hilfe;

1. Autoruns einmal ausführen und von dem Fenster ein Bildschirmphoto machen (und hier bitte posten).
2. Lade Dir HiJackThis! herunter und lass es laufen. Ergebnisse hier bitte mitteilen.

Danach sehen wir weiter …


In diesem Sinne

Smartcom

 

[Hexenkessel]

Sprich erstmal mit dem Cafébetreiber, dass es wohl ein Infektionsverdacht gibt.

 

[M@rsupil@mi]

unbekannten

Der Stick ist nicht unbekannt. Ist ja sein USB-Stick. Da bringt der Pro-Tip wenig. Besser den Pro-Pro-Tip anwenden: Generell Autorun ausschalten und am Besten gleich noch Windows Scripting, wenn man es nicht selbst zwingend braucht. Ergebnis: 2 x mehr Sicherheit und man muss gar nicht immer erst daran denken im "richtigen" Moment eine Taste zu drücken.

 

[Smartcom5]

Sprich erstmal mit dem Cafébetreiber, dass es wohl ein Infektionsverdacht gibt.

Off-Topic
Aus eigener Erfahrung kann ich sagen; Das ist denen in der Regel einfach mal herzlich egal!
Genau das gegenteil ist oft der Fall; Wenn die Rechner virenverseucht unter der ständigen Rechenlast zusammenbrechen und das System an und für sich aus Performancegründen ohnehin kaum zu benutzen ist, dann freuen sich viele (unseriöse) Betreiber gar – weil dann der Kunde nämlich in Folge länger bleiben muß, um das selbe in einem (geldwert) längeren Zeitraum zu erreichen … Wie gesagt, Seriösität ist hier das Stichwort.

Ein halbwegs seriöses Internet-Café setzt grundsätzlich auf Linux und die Sitzungen sind ohnehin temporär. Vorzugsweise gar mit Bezahlautomaten direkt am (gesichert verschlossenen) Rechner, der nach Ablauf der Zeit den (temporären) Benutzer abmeldet. … und es wird von mir administriert.


In diesem Sinne

Smartcom

 

[purzelbär]

Aber mal zur Hilfe;

1. Autoruns einmal ausführen und von dem Fenster ein Bildschirmphoto machen (und hier bitte posten).
2. Lade Dir HiJackThis! herunter und lass es laufen. Ergebnisse hier bitte mitteilen.

Danach sehen wir weiter …


In diesem Sinne

Smartcom

HiJackThis ist doch veraltet und funktionierte schon mit Windows 7 nicht mehr richtig, also kann man damit als Helfer auch nichts mehr richtig analysieren. Besser und zeitgemässer wäre da für den Helfer FRST: https://www.trojaner-board.de/145752-anleitung-farbar-recovery-scan-tool-frst.html

Ergänzung (18. September 2018)

Was für Antivirus-Lösungen setzt Du ein? Warum werden wechselbare Datenträger nicht automatisch mitgeprüft?!
Pro-Tip für die Zukunft: Beim Einstecken von unbekannten USB-Sticks grundsätzlich ⇧ gedrückt halten!


In diesem Sinne

Smartcom

Er hat ja Windows 10 1803 und wenn er da den integrierten Windows Defender Virenschutz hat und kein Drittanbieter AV, dann scannt/überprüft der Defender Virenschutz nach meinem Kenntnisstand nicht USB Sticks in Echtzeit die man anschliesst. Geht nur per OnDemand Scan den USB Stick zu überprüfen mit dem Defender Virenschutz so weit ich das weiß.

 

[Smartcom5]

HiJackThis ist doch veraltet und funktionierte schon mit Windows 7 nicht mehr richtig …

Habe zwar niemals Probleme damit gehabt und selbst zu Windows 7-Zeiten wurde dies exzessiv von eben jenem Trojaner-Board eingesetzt, aber gern – nur zu, wenn‘s denn hilft.

Er hat ja Windows 10 1803 und wenn er da den integrierten Windows Defender Virenschutz hat und kein Drittanbieter AV, dann scannt/überprüft der Defender Virenschutz nach meinem Kenntnisstand nicht USB Sticks in Echtzeit die man anschliesst. Geht nur per OnDemand Scan den USB Stick zu überprüfen mit dem Defender Virenschutz so weit ich das weiß.

Das ist wahr, ja.


In diesem Sinne

Smartcom

 

[Sepp Depp]

und wenn er da...

Reine Vermutung.....

dann scannt/überprüft...nach meinem Kenntnisstand nicht USB Sticks in Echtzeit ...Geht nur per OnDemand Scan den USB Stick zu überprüfen...

Er scannt kein USB-Gerät beim Herstellen einer Verbindung, aber der Echtzeitschutz scannt Dateien beim Zugriff / Öffnen. Kenntnisstand hiermit erweitert.

 

[purzelbär]

Habe zwar niemals Probleme damit gehabt und selbst zu Windows 7-Zeiten wurde dies exzessiv von eben jenem Trojaner-Board eingesetzt, aber gern – nur zu, wenn‘s denn hilft.

Die Helfer bzw. Bereiniger dort haben schon mehrfach geschrieben das HiJackthis überholt sei und die User doch bitte FRST nach ihrer Anleitung ausführen sollen und die Logs dann bitte posten möchten.

Ergänzung (18. September 2018)

Er scannt kein USB-Gerät beim Herstellen einer Verbindung, aber der Echtzeitschutz scannt Dateien beim Zugriff / Öffnen. Kenntnisstand hiermit erweitert.

Vielleicht war das beim TO schon ausreichend genug das sein USB Stick bzw Daten darauf infiziert wurde?

 

[max0408]

Uff! Vielen Dank für die zahlreichen vernünftigen Antworten, damit hatte ich überhaupt nicht gerechnet, war den ganzen Tag/Abend unterwegs. Bisher ist alles i.O. Auf meinem System ist der Defender aktiv, inklusive Ordnerschutz (Ramsonware-Schutz); (Datenausführungsverhinderung und Benutzerkontensteuerung nutzen bei Skripten nix?) . Weils ein wenig peinlich ist, erst jetzt: Um 2:57 letzte Nacht hatte ich im Halbschlaf auf die Datei doppelgeklickt und es kam eine Meldung vom "Windows Skript Host", dass meine Antivirensoftware die Ausführung verhindert hätte - "das Skript enthält schädliche Dateien" (von 2:57 ist der Screenshot). Könnte man anhand des Skripttextes nicht den möglichen Schaden abschätzen? Vllt ist das Verstecken der Dateien auf dem USB-Stick schon alles? Kleiner Scherzbold? Ja, ob das Cafe selbst Geschädigter ist oder eher Schädiger...?
Manche der Tipps und Hinweise habe ich noch nicht ganz geschnallt, guck mir das morgen in Ruhe an und würde gerne auf das Angebot Ergebnisse von Scans (oder auch den Skripttext) zu posten zurückkommen. Erstmal gute Nacht und nochmals Danke, Max.

 

[Dr. McCoy]

Wenn Du die Datei sogar direkt ausgeführt hast, solltest Du Windows neu aufsetzen. Es ist in diesem Fall als kompromittiert einzustufen.

nach einem Besuch in einem Internet-Cafe, bei dem ich ein Open-Office-Dokument von einem mitgebrachten USB-Stick habe ausdrucken lassen, hatte ich anschließend ein unbekanntes Skript auf dem Stick, alle Ordner und Dateien auf dem Hauptverzeichnis des Sticks waren versteckt und für alle waren Verknüpfungen angelegt, die mittlerweile verschwunden sind.

Sie "verschwinden" erfahrungsgemäß, je nach Malware, dann vom Stick, wenn das Script (bzw. die Malware) zur Ausführung gelangte, was Du ja auch direkt von Hand initialisiert hast.

Skripte sind mir wenig geläufig, die Datei, die mir unverständlichen Text enthält, kann ich nicht deuten. Aber Skripte können wohl ziemlich übel sein(?) Deswegen meine Frage, wie das einzuschätzen ist, ob es irgendwelche Maßnahmen zu ergreifen gilt?

Dass Du das Script ausgeführt hast, hätte bereits in den Ausgangsbeitrag gehört, denn es ist in diesem Zusammenhang mit die wesentlichste Information überhaupt. Und, ja, das Ausführen eines Scriptes, und insbesondere eines solchen, das plötzlich nach dem Betrieb an einem fremden PC auftauchte, ist im Sinne der Systemsicherheit und des Datenschutzes in der Tat "ziemlich übel".

Es gibt zudem, und das sei ergänzend angemerkt, verschiedene Möglichkeiten, einen Schreibschutz in gewissen Grenzen(!) herbeizuführen, bevor man seine Wechseldatenträger an andere Systeme stöpselt. So kann man statt eines USB-Sticks z.B. einfach auf eine SD-Card mit Schreibschutzschieber zurückgreifen, oder einen USB-Stick mit Schreibschutzschieber speziell für solche Zwecke kaufen (letztgenannter Tipp wurde hier im Threadverlauf bereits genannt). Im Weiteren besteht die Option, einen Wechseldatenträger in NTFS zu formatieren, um damit anschließend Zugriffsrechte zu setzen. Beispielsweise, den Schreibzugriff auf das Wurzelverzeichnis verbieten, die auszudruckenden Dateien in einem Ordner platzieren, für den man nur lesende Zugriffsrechte gewährt hatte.

PS: Auf meinem Desktop-PC läuft W10 1803, im Cafe W7.

Da kommt es natürlich auch darauf an, wie das Windows 7 im CopyShop konfiguriert ist. Vermutlich läuft es u.a. mit Adminrechten. Das wäre natürlich katastrophal.

Dann stecke den stick auf keinen Fall an Deinen PC. Das hört sich nach einem Hackversuch an. Sollte das Script mit Admin-Rechten auf deinem PC ausgeführt werden, kann es praktisch alles machen: Daten klauen, Festplatte verschlüsseln oder ganz löschen etc. . Hängt natürlich vom script und der Intention des hackers ab.

Exakt. Genau diese wäre die richtige Verhaltensmaßnahme gewesen. Deshalb hebe ich sie noch einmal hervor.

Was für Antivirus-Lösungen setzt Du ein? Warum werden wechselbare Datenträger nicht automatisch mitgeprüft?!

Ein Virenscanner spielt hier sicherheitstechnisch nur eine untergeordnete Rolle, da oftmals solche Malware nicht oder nur partiell erkannt wird. Selbst dann, wenn der Stick von einem Virenscanner direkt geprüft wurde, muss dies nicht bedeuten, dass die auf ihm befindlichen Inhalte allesamt vertrauenswürdig und ungefährlich sind.

Der Stick war schon an deinem PC? Dann ist es jetzt eh zu spät eventuell.

So ist es. Zu spät.

HiJackThis ist doch veraltet und funktionierte schon mit Windows 7 nicht mehr richtig, also kann man damit als Helfer auch nichts mehr richtig analysieren. Besser und zeitgemässer wäre da für den Helfer FRST: https://www.trojaner-board.de/145752-anleitung-farbar-recovery-scan-tool-frst.html

Richtig, das ist auf neuere Malware besser "abgestimmt", man kann mehr erkennen. Hat einfach den Grund, dass HijackThis im Laufe der Zeit nicht mehr großartig weiterentwickelt wurde.

Bisher ist alles i.O.

Das Gegenteil ist der Fall. Durch Dein aktives Ausführen der Malware ist nun gar nichts mehr "i.O".

Könnte man anhand des Skripttextes nicht den möglichen Schaden abschätzen? Vllt ist das Verstecken der Dateien auf dem USB-Stick schon alles? Kleiner Scherzbold?

So eine gutgläubige Einschätzung wünscht sich jeder Malwareverbreiter. Natürlich wird solche Malware heutzutage nicht als "Scherz" platziert. Nur mal als Anhaltspunkt ein, zwei Beispiele:
-> https://www.symantec.com/security-center/writeup/2013-022211-4844-99
Immer wieder aktiv:
-> https://www.golem.de/news/usb-stick...ationsmedien-mit-malware-aus-1705-127644.html
-> https://www.golem.de/news/grossbritannien-o2-verschickt-malware-als-werbegeschenk-1608-122591.html

Solche Schädlinge sind also durchaus auch darauf ausgerichtet, Schaden anzurichten, persönliche Informationen wie Passwörter, Zugangsdaten zu loggen und und zu versenden.

Aber auch Ransomware, also Daten verschlüsselnde und dann erpressende Malware, wird via Wechseldatenträger verbreitet:
-> https://www.golem.de/news/zcryptor-...t-sich-auch-ueber-usb-sticks-1605-121148.html

Ja, ob das Cafe selbst Geschädigter ist oder eher Schädiger...?

Beides.

 

[performi]

Habe zwar niemals Probleme damit gehabt und selbst zu Windows 7-Zeiten wurde dies exzessiv von eben jenem Trojaner-Board eingesetzt...

für deine Erfahrung:
https://www.trojaner-board.de/86908-windows-7-64bit-registry-zerstoert.html#post531866

ein bißchen mehr virtuelle Schläge verteilen sie z.B. auch noch bei Paule:
https://www.paules-pc-forum.de/forum/thread/184651-hijackthis-nicht-mehr-erreichbar/

summasumarum ist das HJT-Teil nur noch für angehende Hacker von CB interessant...

PS hoffentlich ist das hier auch unangemeldet zu lesen

 

[max0408]

@Dr. McCoy: Danke für deine ausführliche Einschätzung. Laut Meldung ist das Skript nicht ausgeführt worden, sondern seine Ausführung verhindert worden. Aber es müsste doch an Hand des Textes des Skriptes die Wirkung erkennbar sein, für jeden der ihn zu deuten weiß? Eine Offlineüberprüfung durch den Defender blieb ebenso ohne Befund wie ein Scan von Malewarebytes. Bei einer Überprüfung der zur Textdatei umfirmierten vbs-datei bei Virustotal kamen 20Scanner zu unterschiedlichen Malwarediagnosen.

@Smartcom5 die aktuelle autorun-version habe ich mir noch mal runtergeladen, aber welcher Bereich interessiert da besonders, weil die Liste unter 'everything' geht ja nicht auf einen screenshot und ist total unübersichtlich? Hijackthis habe ich die immer noch aktuelle Version und dir einen Screenshot gepostet, hoffentlich was du meintest, einen Diagnosehinweis mag es ja immer noch geben, bei einem 32er?

Gruß, M.

Ergänzung (19. September 2018)

...anbei noch die beiden txt-dateien vom ebenfalls neu/aktuell heruntergeladenen FRST-Scan. Falls mir damit wer genaues sagen könnte, wäre toll. thx.

 

[vASNator]

Ein halbwegs seriöses Internet-Café setzt grundsätzlich auf Linux

Welcher Durchschnittskunde hat denn schon Ahnung von (geschweige Bock auf) Linux?
Welcher Cafebetreiber hat schon Bock jedem Kunden einen Linux-Einführungskurs geben zu müssen?

Ob ein Internet-Cafe seriös ist oder nicht hängt doch nicht vom verwendeten Betriebssystem ab...
Auf jeden öffentlichen Rechner, egal ob Internetcafe, Unirechner, Bibliothek, Schulrechner, etc. gehört eine sogenannte Reboot-To-Restore software. Die sind genau dafür gemacht und werden sogut wie auf jeden öffentlichen Rechner eingesetzt. Egal ob Windows, OSX oder Linux.

Damit kann jeder Kundemit dem Rechner anstellen was er will, nach jedem Neustart ist alles wieder weg und sauber wie am ersten Tag.

 

[max0408]

...wenn schon, dann auch noch explizit der Vorfall von letzter Nacht 2:57 (Versuch die Datei zu öffnen), wie er in FRST-Addition steht:

Date: 2018-09-18 02:57:13.463
Description:
Von Windows Defender Antivirus wurde Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?li...bfuscator.SQ&threatid=2147697433&enterprise=0
Name: VirTool:VBS/Obfuscator.SQ
ID: 2147697433
Schweregrad: Schwerwiegend
Kategorie: Tool
Pfad: amsi:_VBScriptb3501a1889b08568
Erkennungsursprung: Unbekannt
Erkennungstyp: Konkret
Erkennungsquelle: AMSI
Benutzer: nn-PC\nn
Prozessname: C:\Windows\System32\wscript.exe
Signaturversion: AV: 1.275.1362.0, AS: 1.275.1362.0, NIS: 1.275.1362.0
Modulversion: AM: 1.1.15200.1, NIS: 1.1.15200.1

PS: Derzeit läuft ein Vollscan des Defenders und danach lass ich wie in der im FRST-Addition-Text angegebenen MS-Website empfohlen den Microsoft Safety Scanner durchlaufen, noch nie von gehört. Bin gespannt...