Hallo alle zusammen,

mir ist folgendes passiert: ich habe in einem großen Markt ( man ist ja nicht
blöd ) einen USB-Stick mit mp3-Player gekauft. Beim ersten Anstecken an den Computer
meldete Antivir sofort in der Autorun.inf den Virus
TR/Autorun.EU.4 und auf dem Stick war eine mysteriöse tel.xls.exe- Datei.
Der Stick war original verpackt und wurde auch anstandslos umgetauscht.
Ist soetwas anderen Usern auch schon passiert ? Und wie überprüfe ich
jetzt, ob der PC wirklich noch sauber ist? Ein Scan mit Antivir brachte keine Funde und
im HJT-Logfile ist auch nichts auffälliges.

Viele Grüße suzifan

Lade mal bei virustotal hoch und gibt mehr infos über die Exe.

Zitat:

Zitat von suzifan

Hallo alle zusammen,

mir ist folgendes passiert: ich habe in einem großen Markt ( man ist ja nicht
blöd ) einen USB-Stick mit mp3-Player gekauft. Beim ersten Anstecken an den Computer
meldete Antivir sofort in der Autorun.inf den Virus
TR/Autorun.EU.4 und auf dem Stick war eine mysteriöse tel.xls.exe- Datei.
Der Stick war original verpackt und wurde auch anstandslos umgetauscht.
Ist soetwas anderen Usern auch schon passiert ? Und wie überprüfe ich
jetzt, ob der PC wirklich noch sauber ist? Ein Scan mit Antivir brachte keine Funde und
im HJT-Logfile ist auch nichts auffälliges.

Viele Grüße suzifan

Ich würde es mal mit dem bootfähigen Antivir Rescue System (kostenlos, Avira) versuchen. Oder Knoppicilin (c´t magazin).

Hallo,
hier mal ein Update. Ein Scan mit dem AVIRA-Linux-System brachte keine
Funde. Ich habe aber mal den Rootkit-Scanner GMER laufen lassen. Die
zahlreichen Einträge passen hier aber nicht rein, deshalb nur ein Stück.

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-10-01 17:05:13
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwAdjustPrivilegesToken [0xBAFEEC8C]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwConnectPort [0xBAFEE3C4]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwCreateFile [0xBAFEE8A0]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwCreateKey [0xBAFEF43C]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwCreatePort [0xBAFEE080]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwCreateSection [0xBAFF0084]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwCreateSymbolicLinkObject [0xBAFEEE72]
SSDT F7F37ABC ZwCreateThread
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwDeleteKey [0xBAFEF0B8]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwDeleteValueKey [0xBAFEF268]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwDuplicateObject [0xBAFEDB02]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwLoadDriver [0xBAFEFD24]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwOpenFile [0xBAFEEAB0]
SSDT F7F37AA8 ZwOpenProcess
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwOpenSection [0xBAFEE744]
SSDT F7F37AAD ZwOpenThread
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwRenameKey [0xBAFEF7F2]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwRequestWaitReplyPort [0xBAFEE196]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwSecureConnectPort [0xBAFEFAE6]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwSetSystemInformation [0xBAFEFEC4]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwSetValueKey [0xBAFEF602]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwShutdownSystem [0xBAFEE5D2]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwSystemDebugControl [0xBAFEE638]
SSDT F7F37AB7 ZwTerminateProcess
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Firewall Pro Sandbox Driver/COMODO) ZwTerminateThread [0xBAFEDE18]
SSDT F7F37AB2 ZwWriteVirtualMemory

Kann jemand dazu ein Urteil abgeben?

Viele Grüsse Suzifan

1. generell gilt, dass ein ausschnitt eines Logs, egal welches, unbrauchbar ist.
Dein Ausschnitt von GMER zeigt lediglich Einträge der Comodo Firewall, die sind ok

2. Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

tel.xls.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Bei der tel.xls.exe handelt es sich mit hoher wahrscheinlichkeit um einen Wurm --> deshalb die Datei auf keinen Fall ausführen.

Hier eine Beschreibung WORM_VB.CBW

Danke für die Hilfe,

mein Avira hat die Autorun.inf geblockt, deshalb sollte die tel.xls.exe nicht
ausgeführt worden sein. Den Stick habe ich dann umgetauscht.
Bei der Log-Datei hatte ich das Problem, das sie nicht in diseses Fenster passte
(zu groß ca 45000 Zeichen). Gibt es dafür einen Trick ?

viele Grüsse suzifan