Heute hat mir ein Skript namens killVBS.vbs ziemlich Ärger bereitet.

Hier ein kleiner Auszug zur

Charakteristik der Datei killVBS.vbs (von http://www.file.net/prozess/killvbs.vbs.html):

Der Prozess gehört zur Software wscript.exe der Firma unbekannt.

Charakteristik: killVBS.vbs befindet sich a not identifiable Ordner. Die Dateigröße unter Windows XP ist 0 bytes.
Das Programm ist sichtbar. Es gibt kein Datei Impressum. Anmerkung: Die Datei existiert nicht mehr. Die Anwendung wird automatisch beim Windows-Start aufgerufen (siehe Registry Schlüssel: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit). Diese Datei ist keine Datei, die vom Windows System unbedingt benötigt wird. Deshalb bewerten wir diese Datei zu 26% als gefährlich.

Speicherort:

Bei mir tauchte der Virus auf meinen externen USB Sticks in der autorun.ini und im Root Verzeichnis des Wechseldatenträgers auf.

Auf Betriebssystemebene ist er unter C:/Windows/System32/killVBS.vbs zu finden.

Erkenntnisse:

Die Datei nistet sich sofort beim autorun jedes externen Speicherlaufwerks ein und wird ab dann an jedes weitere Laufwerk weitergegeben. Ein Virus wie er im Buche steht. Weiters ist die Datei zu finden unter C:/Windows/system32/killVBS.vbs.

AntiVir Private erkennt den Virus sofort, schafft es aber unter Windows XP nicht ihn dauerhaft zu entfernen. Der Virus erstellt die Datei ein paar Sekunden nach dem Löschen erneut. Lediglich unter Windows Vista schaffte es AntiVir Private ihn dauerhaft von Speicherlaufwerken und dem Betriebssystem zu entfernen.

Lösungsvariante für die Entfernung:

• Entfernen von Wechseldatenträgern
  • USB Stick an Windows Vista anstecken
  • Anti Vir Private das Laufwerk durchsuchen lassen
  • Gefundenen Virus löschen lassen
  • Fertig
  • Hinweis: Unter Windows XP schaffte es wie gesagt Anti Vir nicht den Virus dauerhaft zu entfernen. Das kann natürlich auch daran liegen, dass sich das Skript bereits am Betriebssystem eingenistet hat.

• Entfernen von Windows Vista
  • Den Ordner C:/Windows/System32 mit AntiVir Private durchsuchen lassen
  • Gefundenen Virus entfernen
  • Fertig
• Entfernen von Windows XP
  • Task Manager öffnen
  • Den Prozess wscript.exe beenden (den dieser erstellt das Skript ständig neu)
  • Den Ordner C:/Windows/System32 mit AntiVir Private durchsuchen lassen
  • Gefundenen Virus entfernen
  • Neustart
  • Nach dem Neustart erscheint die Windows Fehlermeldung, dass die Datei killvbs.vbs fehlt. Das ist gut, denn immerhin haben wir die ja auch gelöscht und soll ja auch nicht mehr hier sein. Damit der Fehler verschwindet, erstellen wir einfach eine leere killVBS.vbs Datei unter C:/Windows/System32/killVBS.vbs mit dem Notepad (Vorsicht dabei: Bei den Einstellungen müssen die “Erweiterungen bei bekannten Dateien” eingeschaltet werden)
  • Fertig

Recherchen:

Die Datei killVBS.vbs ist eigentlich eine Datei die von Windows erstellt aber nicht zwingend benötigt wird. Daher kann diese auch problemlos und ohne Folgen gelöscht bzw. als leere Datei neu angelegt werden.

Aufpassen muss man bei der Schreibweise, denn killVBS.vbs ist nicht zu verwechseln mit kill.vbs, dass wiederum ein “gutartiges” Programm darstellt, das z.b. von PC-Welt heruntergeladen werden kann. (Link: http://www.pcwelt.de/downloads/tools_utilities/systemoptimierung/20238/killvbs/ ). PC Welt beschreibt dieses Programm folgendermaßen: “kill.vbs: Dieses Visual-Basic-Script kann mit Hilfe der WMI-Schnittstelle System-Prozesse und Anwendungen gezielt beenden”.

Hinweise und Korrekturen:

Hoffe das ich damit auch weiteren Usern helfen konnte. Sollten sich bei meiner Beschreibung Fehler oder falsche Behauptungen wiederfinden würde ich mich über eine Korrektur von dir freuen. Kommentare oder Mails, alles ist erwünscht.