|
Plagegeister aller Art und deren Bekämpfung: autorun auf USB-SticksWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.10.2008, 20:42 | #1 |
| autorun auf USB-Sticks Hallo Hab ständig das Problem, dass Leute mit UBS-Stick mir Viren bringen, die dann auf jedem Stick ne autorun.inf erstellen. Wie finder ich den dazugehörigen Prozess?? Hier nochma das aktuelle HijackThis Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:36:33 p.m., on 01/11/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVG\AVG8\avgwdsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\AVG\AVG8\avgtray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVG\AVG8\avgrsx.exe C:\Programme\AVG\AVG8\avgemc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE D:\Install\FirefoxPortable\FirefoxPortable.exe D:\Install\FirefoxPortable\App\firefox\firefox.exe Z:\Progs\Portable TotalCommander7.0 RC3.exe C:\Windows\Temp\RarSFX0\TOTALCMD.exe Z:\Progs\SkypePortable\Phone\Skype.exe Z:\Progs\hijackthis\HiJackThis2.0.2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Schrott R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Doks\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\Programme\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing) -- End of file - 4515 bytes Also sry, aber das hier ist ein spanisches System. Archivos de Programa- Programme Danke nano91 |
01.11.2008, 12:59 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | autorun auf USB-Sticks Hallo,
__________________das Logfile sieht okay aus. Mir fallen noch weitere geeignete Maßnahmen ein, um den Befall von externen Medien zu verhindern bzw. zu erschweren: - nur mit eingeschränkten Rechten arbeiten - den Autostart aller Laufwerke deaktivieren Wenn das ein XP Pro ist, dann lässt sich der Autostart aller Laufwerke recht bequem in der Gruppenrichtlinie gpedit.msc ändern, ansonsten funktioniert's auch zu Fuß in der Registry.
__________________ |
Themen zu autorun auf USB-Sticks |
adobe, askbar, autorun, avg, bho, e-mail, excel, explorer, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, locker, logfile, micro, microsoft, pdf, problem, programme, prozess, rarsfx0, software, system, temp, usb-stick, viren, windows, windows xp, windows\temp |