Hi,

ich hatte den allseits beliebten recycler auf der Festplatte. nach ein wenig umsehen im Forum hier, hab ich beschlossen, meine Daten zu sichern und den Laptop neu aufzusetzen.

Jetzt steh ich etwas ratlos vor der Frage welche von meinen Externen Datenträgern evtl verseucht sind und wie ich das beseitigt bekomme.
Zunächst habe ich mal die autoplay Funktion im Windows abgeschaltet. Bei meiner XP Prof Fassung geht das ja laut Anleitung mit gpedit. Die Frage dazu ist jetzt ist das trotzdem normal, dass ich die dann im Arbeitsplatz habe? An die Registry hab ich mich zum ändern nicht dran getraut. Nachgesehen hab ich zwar, aber da steht bei mir jetzt auch nicht FD sondern FF.

Ausserdem wüsste ich gerne, wie ich nun an meine Daten komme. Welche Tools soll ich verwenden, um sicherzugehen, dass ich den Rootkit nicht mehr auf den ganzen externen Medien habe bzw falls ich irgendwas vergesse, dass es dann Alarm schlägt.

LG
Janice

Wenn du die externen Medien einsteckst, unbedingt Shift drücken! Das verhindert das AutoPlay der externen Medien. Dann mit einem Virenscanner scannen...

Die Autoplay-Funktion hab ich über gpedit.msc gemäß der Anleitung auf winfaq (h**p://www.winfaq.de/faq_html/Content/tip0000/onlinefaq.php?h=tip0055.htm) für alles ausser cds/dvds deaktiviert.

Also ich hab jetzt alle meine externen Festplatten und sonstigen Speichermedien mit Malwarebytes, Superantispyware und Antivir überprüft.

Soweit scheint auchbei Komplettscans alles in Ordnung zu sein. Das einzige was noch etwas findet, ist das Malwarebytes. Und das ist die Skype-start.exe vom Skypeportable.

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2259
Windows 5.1.2600 Service Pack 2

12.06.2009 16:56:53
mbam-log-2009-06-12 (16-56-44).txt

Scan-Methode: Vollständiger Scan (L:\|)
Durchsuchte Objekte: 100523
Laufzeit: 11 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
l:\Portable\skypeportable\skype-start.exe (Trojan.Downloader) -> No action taken.

Aber weder Antivir noch SUPERAntiSpyware haben damit ein Problem.

LG
Janice

Lade mal die Skype Start EXE bei Virustotal.com hoch...

Nur zwei von 39 haben was dagegen

Link zur Analyse
h**p://www.virustotal.com/de/analisis/507b581a232d44d475dc44916595f05f74af70770ab1cea9d3d433e757654940-1244825001

Der Link geht nicht...

Linkinhalt

Datei skype-start.exe empfangen 2009.06.12 16:43:21 (UTC)
Status: Beendet
Ergebnis: 2/39 (5.13%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.12 -
AhnLab-V3 5.0.0.2 2009.06.12 -
AntiVir 7.9.0.187 2009.06.12 -
Antiy-AVL 2.0.3.1 2009.06.12 -
Authentium 5.1.2.4 2009.06.12 -
Avast 4.8.1335.0 2009.06.11 -
AVG 8.5.0.339 2009.06.12 -
BitDefender 7.2 2009.06.12 -
CAT-QuickHeal 10.00 2009.06.12 -
ClamAV 0.94.1 2009.06.12 -
Comodo 1320 2009.06.12 -
DrWeb 5.0.0.12182 2009.06.12 -
eSafe 7.0.17.0 2009.06.11 Suspicious File
eTrust-Vet 31.6.6555 2009.06.12 -
F-Prot 4.4.4.56 2009.06.12 -
F-Secure 8.0.14470.0 2009.06.12 -
Fortinet 3.117.0.0 2009.06.12 -
GData 19 2009.06.12 -
Ikarus T3.1.1.59.0 2009.06.12 -
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.12 -
McAfee 5643 2009.06.11 -
McAfee+Artemis 5643 2009.06.11 -
McAfee-GW-Edition 6.7.6 2009.06.12 -
Microsoft 1.4701 2009.06.12 -
NOD32 4151 2009.06.12 -
Norman 6.01.09 2009.06.12 -
nProtect 2009.1.8.0 2009.06.12 -
Panda 10.0.0.14 2009.06.12 -
PCTools 4.4.2.0 2009.06.12 Adware.Maxifiles
Prevx 3.0 2009.06.12 -
Rising 21.33.44.00 2009.06.12 -
Sophos 4.42.0 2009.06.12 -
Sunbelt 3.2.1858.2 2009.06.12 -
Symantec 1.4.4.12 2009.06.12 -
TheHacker 6.3.4.3.344 2009.06.11 -
TrendMicro 8.950.0.1092 2009.06.12 -
VBA32 3.12.10.7 2009.06.12 -
ViRobot 2009.6.12.1783 2009.06.12 -
weitere Informationen
File size: 211407 bytes
MD5 : f4aa1f54be96434fd8736e4ae7ff80f5
SHA1 : 57af760b7a8c13d01092a9d5f137531ae5f3d643
SHA256: 507b581a232d44d475dc44916595f05f74af70770ab1cea9d3d433e757654940
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6A1A0
timedatestamp.....: 0x42F64D10 (Sun Aug 7 20:04:00 2005)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x4E000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x4F000 0x1C000 0x1B400 7.92 d4c8d264b65f8b4d14535614d049b349
.rsrc 0x6B000 0x18000 0x18000 4.50 7c51776a744f20e3285b880427955f3f

( 0 imports )


( 0 exports )
TrID : File type identification
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
ssdeep: 3072:E80SO3VqLL8W/jTLdTBzJE0pCtagvI2zoR0ggf9zeB9:/0SOUUWLdVzJE0KQmwdgleB9
PEiD : UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers (Kaspersky): UPX
packers (F-Prot): UPX
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f4aa1f54be96434fd8736e4ae7ff80f5
RDS : NSRL Reference Data Set