Hallo erst mal alle zusammen!

Ich bin ganz neu hier und hoffe alles richtig zumachen.
Die Regeln habe ich gelesen und ich versuche mich an sie zu halten,
also bitte nicht böse sein wenn ich was falsch mache.

So, jetzt aber zu meinem Problem:
ich war drei Monate im Ausland und diese Zeit hat mein (jetzt ehemaliger)
Mitbewohner dazu genutzt, um trotz Verbot Unsinn mit meinem PC zu treiben.
Als ich wieder zurück kam war mein Rechner total im Eimer und übervoll mit Malware.
Als erstes habe ich Windows neu aufgesetzt, da ich keine unnötigen Risiken eingehen wollte.
Allerdings sind auf der angeschlossenen USB-Festplatte "lebenswichtige"
Daten, auf die ich keinesfalls verzichten kann.
Ich habe sie zur Sicherheit erst einmal abgeschaltet, da ich nicht wusste,
ob sie eventuell auch verseucht ist.
Dann habe ich mich im Netz schlau gemacht, was zu tun ist.
Dort fand ich die Empfehlung, daß ich erst das Autoplay für die
USB-Festplatte mit Tweak UI deaktivieren soll
(und zwar so: "My Computer > Autoplay > Types > Enable Autoplay for removable drives")
und dann mit antivir oder ähnlichen Programmen scannen soll.
Das Deaktivieren der Autoplayfunktion mit Tweak UI habe ich dann so wie
beschrieben gemacht, allerdings nicht mit dem gewünschten Effekt:
als ich die USB-Festplatte eingeschaltet habe, da wurde trotzdem das Autoplay ausgeführt.
Ich habe es zwar sofort abgebrochen, allerdings nützt das bestimmt nicht viel.
Nun ja, da das Kind nun in den Brunnen gefallen ist, habe ich trotzdem mal einen Scan
der externen Festplatte mit Antivir, Spybot und HijackThis durchgeführt.
Antivir hat auch was gefunden, und zwar folgendes Problem: TR/Crypt.XPACK.Gen
Bei Spybot weiß ich nicht wie man eine logfile erstellt, aber bei Antivir und
HJT habe ich aber eine gemacht. Vielleicht kann sich die ja jemand ansehen
und mir sagen was ich als nächstes machen soll.

Schon mal vielen Dank im Voraus für Eure Mühen!

Mit besten Grüßen, Javier


Logfile AntiVir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. Januar 2009 10:48

Es wird nach 1295648 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: ****
Computername: ****

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 16:23:39
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23.01.2009 22:18:57
ANTIVIR3.VDF : 7.1.1.198 330240 Bytes 29.01.2009 08:29:13
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 23.01.2009 22:19:02
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 15.01.2009 16:24:09
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 15.01.2009 16:24:05
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 23.01.2009 22:19:01
AEHELP.DLL : 8.1.2.0 119159 Bytes 15.01.2009 16:23:47
AEGEN.DLL : 8.1.1.10 323957 Bytes 17.01.2009 17:09:24
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 15.01.2009 16:23:43
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\****\LOKALE~1\Temp\edda5dce.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: G:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 29. Januar 2009 10:48

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'G:\' <EXTERN>
G:\System Volume Information\_restore{54937281-1295-413E-B132-CA0F7C7C9376}\RP1\A0000063.com
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49b17c9b.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Donnerstag, 29. Januar 2009 11:13
Benötigte Zeit: 25:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3842 Verzeichnisse wurden überprüft
196942 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
196941 Dateien ohne Befall
4345 Archive wurden durchsucht
0 Warnungen
1 Hinweise
--------------------------------------------------------------------------
Logfile HJT:

C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0L2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://w*w.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6507 bytes

Hi,

HJ-Log sieht gut aus;

Autorun ausschalten:
Temporär:
Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun (autorun.inf).


*Wichtig: Immer vorher eine Sicherheitskopie der Systemdateien
anlegen, bevor man die Registry "betritt" oder gar verändert !!*

Es gibt beim Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\
Policies\Explorer zum einen den Namen: "NoDriveTypeAutoRun"
(Standard ist: "95 00 00 00"), welcher den AutoPlay-Mechanismus der
Laufwerke regelt.

"95 00 00 00" - Autoplay für Festplatten und CD-Rom
"00 00 00 00" - AutoPlay-Mechanismus für alle Laufwerke
"FF 00 00 00" - kein Autoplay für alle Laufwerke
"b1 00 00 00" - Autoplay für Festplatte und Diskette, nicht für
CD-Rom
"b5 00 00 00" - AutoPlay für Musik-CD's, nicht jedoch AutoPlay
von Daten-CD's.
"b9 00 00 00" - Autoplay nur für Diskette
(Allerdings "rattert" dann die Kiste auch öfter ;-)

Änderungen wirken sich hierbei erst nach einem Windows-Neustart
aus.

Auch die Programme "TweakUI" oder "TuneUp97" benutzen diese Registry-
Funktion, mit der das "Autoplay" deaktiviert wird.

Über "NoDriveAutoRun" beim Schlüssel HKEY_CURRENT_USER\Software\
Microsoft\ Windows\CurrentVersion\Policies\Explorer kann darüber
hinaus für jedes Laufwerk einzeln festgelegt werden, ob es die
Autoplay-Fähigkeit haben soll *oder nicht*.
Hat der Name "NoDriveAutoRun" z.B. einen Dword-Wert von "7" (Option:
"dezimal" aktivieren !) sind alle Laufwerke von A:\ bis C:\ vom
AutoPlay ausgeschlossen.

chris

Ps.: Lass mal MAM über alles (inkl. der externen Festplatte) laufen;
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Dann lege auf der ext. Festplatte ein Verzeichnis autorun.inf an und schreibschütze es...
Damit wird verhindert, das ein Virus sich dadurch "fortpflanzen" kann...

Tag Chris!

Vielen Dank für die schnelle Antwort, das ist ja echt ein tolles Forum!
Allerdings habe ich diesen Teil nicht so ganz verstanden:
"Es gibt beim Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\
Policies\Explorer zum einen den Namen: "NoDriveTypeAutoRun"
(Standard ist: "95 00 00 00"), welcher den AutoPlay-Mechanismus der
Laufwerke regelt.

"95 00 00 00" - Autoplay für Festplatten und CD-Rom
"00 00 00 00" - AutoPlay-Mechanismus für alle Laufwerke
"FF 00 00 00" - kein Autoplay für alle Laufwerke
"b1 00 00 00" - Autoplay für Festplatte und Diskette, nicht für
CD-Rom
"b5 00 00 00" - AutoPlay für Musik-CD's, nicht jedoch AutoPlay
von Daten-CD's.
"b9 00 00 00" - Autoplay nur für Diskette
(Allerdings "rattert" dann die Kiste auch öfter ;-)

Änderungen wirken sich hierbei erst nach einem Windows-Neustart
aus.

Auch die Programme "TweakUI" oder "TuneUp97" benutzen diese Registry-
Funktion, mit der das "Autoplay" deaktiviert wird.

Über "NoDriveAutoRun" beim Schlüssel HKEY_CURRENT_USER\Software\
Microsoft\ Windows\CurrentVersion\Policies\Explorer kann darüber
hinaus für jedes Laufwerk einzeln festgelegt werden, ob es die
Autoplay-Fähigkeit haben soll *oder nicht*.
Hat der Name "NoDriveAutoRun" z.B. einen Dword-Wert von "7" (Option:
"dezimal" aktivieren !) sind alle Laufwerke von A:\ bis C:\ vom
AutoPlay ausgeschlossen."

War das rein informativ gemeint oder sollte ich da etwas umstellen?
Muß ich wenn ich autorun mit Tweak UI deaktiviert habe auch Windows neu starten?
Und wie mache ich eine Sicherung der Sytemdateien?
Und wie ist das mit dem autorun.inf-Verzeichnis, das ich erstellen soll?
Reicht es wenn ich einen schreibgeschützten Ordner mit dem Namen autorun.inf erstelle?
Bitte entschuldige, die Fragen wirken bestimmt total doof auf richtige Computerasse,
aber ich bin leider ein Amateur!

Ansonsten habe ich Malwarebytes drüber laufen lassen mit folgendem Ergebnis:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1704
Windows 5.1.2600 Service Pack 3

29.01.2009 14:36:09
mbam-log-2009-01-29 (14-36-09).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|)
Durchsuchte Objekte: 146076
Laufzeit: 1 hour(s), 43 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
G:\Old\new\WH0LE Bunch of VST stuffs\Sound.Forge.v8.0b\Sound.Forge.v8.0b\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
G:\Old\****\WH0LE Bunch of VST stuffs\Sound.Forge.v8.0b\Sound.Forge.v8.0b\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Und noch eine Frage:
ich habe Malwarebytes mal kurz beim Scannen beobachtet, und da wurden
Ordner angezeigt, die ich auf der Festplatte nicht sehen kann (z.B. "done")
Wie kann ich das umstellen? Würde gerne mal sehen was da drin ist!

Noch eine Anmerkung:

ich kann jetzt die externe Festplatte nicht mehr einfach öffnen.
Wenn ich es versuche, dann kommt folgende Fehlermeldung:
"resycled\boot.com ist keine zulässige win32-Anwendung."
Über den explorer geht es aber!

Hi,

wenn Du mit dem Regedit umgehen kannst, solltest Du den genannten Key per Hand auf "FF 00 00 00" setzten.

Erstelle auf dem ext. Laufwerk (USB-Stick etc.) einen Ordner mit dem Namen autorun.inf, den dann schreibschützen.
Versucht ein Trojaner/Virus eine solche Datei zu erstellen um sich automatisch starten zu lassen, so geht das nicht, ein gleichnamiges Verzeichnis ist schon da. Jetzt müsste er erst das Verzeichnis vom Schreibschutz erleichtern und dann löschen (und soweit geht momentan keine Schadsoftware; ist aber nur eine Frage der Zeit....).

Alle Dateien sichtbar machen:
Punkt 1 in: http://www.trojaner-board.de/54791-a...tml#post349565

chris

Okay:
Autorun-Vrius und Autorun disablen!
\Autorun.inf
\resycled
\resycled\boot.com
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden).
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

Wenn es dann immer noch auftaucht, sind noch Mountpoints übrieg:
Mountpoints ausgeben:
http://forums.techguy.org/attachment...diagnostic.zip
Auf den Desktop downloaden, auspacken und per Doppelklick starten.
Es wird eine Datei Diagnostic.txt erstellt, die im Notepad angezeigt wird.
Abkopieren und im Forum posten!

Ich kann NICHT mit regedit umgehen, gibt es auch einen anderen Weg?
Reicht es, wenn ich shift gedrückt halte beim erneuten Anschließen der externen Platte?

Erstellen des Ordners autorun.inf hat geklappt nachdem ich die alte Datei
gelöscht habe.
Und ich habe den Ordner "resycled" gefunden, der die Datei "boot.com" enthält.
Ich werde jetzt den Schritt mit dem Flash_disinfector durchführen.
Wollte auch schonmal das Teil zur Entfernung von Mountpoints besorgen,
allerdings komme ich dort nicht hin - die Aktivierungsmail des Forums erreicht mich nicht...

Ich glaube es hat geklappt!
Ich kann auf die externe Platte wieder ganz normal zugreifen!
Ist jetzt wieder alles ok und der Trojaner weg?
Soll ich noch was machen?

Zwei Sachen aber noch:

1.
Beim Neustart bekome ich folgende Meldung von Spybot:
"Spybot - Search & Destroy hat festgestellt, dass ein
wichtiger Registrierungsdatenbank-Eintrag geändert wurde.

Kategorie: System Startup global entry
Änderung: Wert gelöscht
Eintrag: Malwarebytes' Anti-Malware
Alte Daten: c:\Programme\Malwarebytes' Anti-Malware\"

Soll ich das erlauben, ja oder nein? Entscheidung merken, ja oder nein?

2.
Auf der externen Platte existiert der Ordner "resycled" mit der Datei
"boot.com" noch. Soll ich diesen löschen?

Und ganz ehrlich: vielen, vielen Dank für Deine Mühe und auch für Deine
Geduld! Erstklassige Unterstützung!


PS. Hier ist dann auch der Report von Mountpoint-Diagnostic:
Diagnostic Report
29.01.2009 16:13:32,00

Mountpoints > Drives subkeys:
------------------------------------

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{08a60f42-e312-11dd-bd4f-806d6172696f}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,01,00,01,01,ee,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,00,20,00,00,00,09,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{08a60f42-e312-11dd-bd4f-806d6172696f}\_Autorun]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{08a60f42-e312-11dd-bd4f-806d6172696f}\_Autorun\DefaultIcon]
@="D:\\setup.exe"

~~~~~~~~~~~~~~~~~~~~~~~~~

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{08a60f43-e312-11dd-bd4f-806d6172696f}]
"BaseClass"="Drive"

~~~~~~~~~~~~~~~~~~~~~~~~~

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{08a60f44-e312-11dd-bd4f-806d6172696f}]
"BaseClass"="Drive"

~~~~~~~~~~~~~~~~~~~~~~~~~

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{79b04f0a-e310-11dd-86ed-806d6172696f}]
"BaseClass"="Drive"

~~~~~~~~~~~~~~~~~~~~~~~~~

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{937ebed7-edde-11dd-b961-000fea8af177}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,\
5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,cf,cf,5f,5f,5f,5f,cf,cf,cf,cf,cf,cf,cf,cf,\
5f,cf,cf,cf,5f,5f,5f,5f,5f,5f,5f,5f,5f,5f,00,00,10,00,00,00,00,00,00

~~~~~~~~~~~~~~~~~~~~~~~~~

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d471cfa4-e314-11dd-aa4a-806d6172696f}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,01,00,01,01,ee,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,20,00,00,00,09,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d471cfa4-e314-11dd-aa4a-806d6172696f}\_Autorun]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d471cfa4-e314-11dd-aa4a-806d6172696f}\_Autorun\DefaultIcon]
@="D:\\_SETIMG\\CDROMSPC.ICO"

~~~~~~~~~~~~~~~~~~~~~~~~~

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d471cfa5-e314-11dd-aa4a-806d6172696f}]
"BaseClass"="Drive"

~~~~~~~~~~~~~~~~~~~~~~~~~

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{eeb1b218-ede0-11dd-b962-000fea8af177}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,01,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,00,01,00,00,00,08,00,00,00

~~~~~~~~~~~~~~~~~~~~~~~~~
No Autorun files found in C:\WINDOWS

No Autorun files found in C:\WINDOWS\system32

C:\autorun.inf **folder** found
Files in C:\autorun.inf
lpt3.This folder was created by Flash_Disinfector



G:\autorun.inf **folder** found
Files in G:\autorun.inf

Hi,

ja unbedingt, da ist der Übeltäter drin.
Beim Löschen die Shift-Taste gedrückt halten, dann landet der Übeltäter ohne Umweg im Datennirvana...
Bloss nicht ausführen!

Okay: Autorun:
Deaktivierung über Gruppenrichtlinie:
Start -> Ausführen -> gpedit.msc
Computer Konfiguration -> Administrative Vorlagen -> System-> Autoplay deaktivieren
"Autoplay deaktivieren für" -> Alle Laufwerke...

Hast Du Immunisierung bemerkt?:
C:\autorun.inf **folder** found
Files in C:\autorun.inf
lpt3.This folder was created by Flash_Disinfector
-und-
G:\autorun.inf **folder** found
Files in G:\autorun.inf

Zur Frage 1 bin ich überfragt...
Hast MAM gelöscht und es versucht den Eintrag zu entfernen?
Es ist keine Exe im Pfad angegeben....
Wer den Eintrag ändern will, wird nicht angezeigt?

chris

Ok, Autoplay ist wie beschrieben deaktiviert,
der Seuchenordner von der externen Platte gelöscht!

Was meinst Du damit, ob ich die Immunisierung bemerkt habe?
Nein, habe ich nicht. Aber ich habe mit Spybot immunisiert, meinst Du das?

MAM habe ich nicht gelöscht, aber vielleicht bezieht es sich auf die von MAM
beseitigten Probleme, kann das sein?
Wer den Eintrag ändern will wird leider nicht gezeigt.

Hi,

MAM wird, wenn es die Probleme nicht sofort löschen kann (da von Windows gelockt), die Dateien beim Start von Windows löschen. Dazu trägt es sich in die Autorun-Liste ein, nach getaner Arbeit löscht es diesen Eintrag wieder...

Vielleicht hat das Spyboot mitbekommen und verhindert nun das Austragen aus der Liste...

Die Immunisierung sind die autorun-Verzeichnisse die angelegt worden sind...

Gelegentlich würde ich MAM updaten und dann die Platte komplett scannen lassen, ca 1xpro Woche...

chris

Tag Chris!
Also die Sache scheint tatsächlich erledigt!
Konnte keine weiteren Probleme feststellen und diverse Suchprogramme, die ich
benutzt habe, finden auch keine weitere Malware.
Deinen Rat, einmal wöchentlich mit MAM zu scannen, werde ich natürlich
beherzigen!

Vielen Dank nochmal für Deine engagierte Hilfe und ein schönes Wochenende!:aplaus:
Gruß, Javier.