Hallo,
Ich habe schon alles mögliche versucht aber auf all meinen Usb-Sticks und auf meiner externen Festplatte sowie jetzt sogar schon auf meinem Handy finden sich die exen wieder, autostart.ini, silke.exe, start.exe,
Wenn ich versuche diese zu löschen sind sie sofort wieder da, sobald ich den USB stick oä. einstecke.
Antivir schlägt an, Bitdefender jedoch nicht o_O Meldung: Dropper.gen
muss ich evtl. neu aufsetzen?! ich benötige die usb sticks auch auf der Arbeit :/
Ich bitte um eure Hilfe!!
Vielen DAnk schonmal
Gruß mourda

Hi,

las die Files start.exe und silke.exe auf virustotal.com analysieren und poste das gesamte Ergebnis mit Filename...

Alle verseuchten Datenträger anschließen (USB-Sticks, USB-Festplatten etc.) und dann Combofix starten:

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.

Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun (autorun.inf).

Autostart ausschalten:
Es gibt beim Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\
Policies\Explorer zum einen den Namen: "NoDriveTypeAutoRun"
(Standard ist: "95 00 00 00"), welcher den AutoPlay-Mechanismus der
Laufwerke regelt.
"FF 00 00 00" - kein Autoplay für alle Laufwerke
Danach neu booten...

chris

hmm da mein Laptop evtl. auch betroffen ist warte ich bis ich daheim bin
gut ich poste dann wie es lief morgen
Ich habe aber dann das Fenster dass sich öffnet nicht mehr wenn ich z.B. nen usb stick anschließe oder? / Ordner öffnen/ Bilder anzeigen etc..)
oder Bezieht sich das nur auf autoruns

Dankeschön
mourda

Datei silke.exe empfangen 2009.07.16 07:07:39 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 9/41 (21.96%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 50 und 71 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.16 Virus.Win32.AutoRun!IK
AhnLab-V3 5.0.0.2 2009.07.16 -
AntiVir 7.9.0.215 2009.07.16 TR/VB.sow
Antiy-AVL 2.0.3.7 2009.07.16 -
Authentium 5.1.2.4 2009.07.16 -
Avast 4.8.1335.0 2009.07.16 Win32:AutoRun-AXP
AVG 8.5.0.387 2009.07.15 VB.IQE
BitDefender 7.2 2009.07.16 -
CAT-QuickHeal 10.00 2009.07.16 -
ClamAV 0.94.1 2009.07.16 -
Comodo 1667 2009.07.16 -
DrWeb 5.0.0.12182 2009.07.16 -
eSafe 7.0.17.0 2009.07.15 -
eTrust-Vet 31.6.6617 2009.07.15 -
F-Prot 4.4.4.56 2009.07.16 -
F-Secure 8.0.14470.0 2009.07.16 -
Fortinet 3.120.0.0 2009.07.16 -
GData 19 2009.07.16 Win32:AutoRun-AXP
Ikarus T3.1.1.64.0 2009.07.16 Virus.Win32.AutoRun
Jiangmin 11.0.706 2009.07.16 -
K7AntiVirus 7.10.793 2009.07.15 -
Kaspersky 7.0.0.125 2009.07.16 -
McAfee 5677 2009.07.15 -
McAfee+Artemis 5677 2009.07.15 -
McAfee-GW-Edition 6.8.5 2009.07.16 Trojan.VB.sow
Microsoft 1.4803 2009.07.16 -
NOD32 4248 2009.07.16 a variant of Win32/AutoRun.VB.EW
Norman 6.01.09 2009.07.15 -
nProtect 2009.1.8.0 2009.07.16 Trojan/W32.Agent.128000.AO
Panda 10.0.0.14 2009.07.15 -
PCTools 4.4.2.0 2009.07.15 -
Prevx 3.0 2009.07.16 -
Rising 21.38.30.00 2009.07.16 -
Sophos 4.43.0 2009.07.16 -
Sunbelt 3.2.1858.2 2009.07.16 -
Symantec 1.4.4.12 2009.07.16 -
TheHacker 6.3.4.3.368 2009.07.15 -
TrendMicro 8.950.0.1094 2009.07.16 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.16.1838 2009.07.16 -
VirusBuster 4.6.5.0 2009.07.15 -
weitere Informationen
File size: 128000 bytes
MD5...: 16f4676cc79ffb365949c234cfc73ec6
SHA1..: 250d81c7cd8faf988874039fb6f7e4e83dc20919
SHA256: de478835104fcf89b470c6c6f26362f1b51954ff65357a84ee43da7ad54d3508
ssdeep: 3072:MPg7pLDuLE2goAIl2EwrLSm5WLyD1v6jVAfunNg4K7QmcY+MZGQ:ZpLDuLE
2gRGoXr5Gyhv6jVAfKglLZG

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x216c
timedatestamp.....: 0x4a2ea073 (Tue Jun 09 17:48:35 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ede0 0x1ee00 5.37 40055b6b8e2630cac01dd5c52d0653f0
.data 0x20000 0x1360 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x22000 0x134 0x200 1.93 d9593740c8b3c34aae681d197b47d49e

( 1 imports )
> MSVBVM60.DLL: __vbaVarSub, __vbaVarTstGt, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaAryMove, __vbaLenBstr, __vbaStrVarMove, __vbaGosubReturn, __vbaEnd, __vbaFreeVarList, __vbaPut3, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, -, __vbaRecAnsiToUni, __vbaStrCat, __vbaError, __vbaLsetFixstr, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, __vbaAryDestruct, __vbaVarIndexLoadRefLock, -, __vbaExitProc, -, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, __vbaVarIndexLoad, -, -, __vbaStrFixstr, __vbaBoolVarNull, _CIsin, __vbaErase, -, __vbaVarZero, -, __vbaChkstk, __vbaGosubFree, -, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaGet3, -, __vbaPutOwner3, __vbaAryConstruct2, __vbaVarTstEq, __vbaObjVar, __vbaI2I4, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaUI1I2, _CIsqrt, EVENT_SINK_QueryInterface, __vbaFpCmpCy, __vbaVarMul, __vbaExceptHandler, -, __vbaStrToUnicode, -, -, _adj_fprem, _adj_fdivr_m64, __vbaGosub, -, -, -, __vbaFPException, -, __vbaInStrVar, __vbaUbound, __vbaStrVarVal, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaNew2, __vbaInStr, -, -, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, __vbaPowerR8, _adj_fdiv_r, -, __vbaVarTstNe, __vbaLateMemCall, __vbaVarAdd, __vbaAryLock, __vbaStrToAnsi, __vbaVarDup, __vbaVarMod, -, __vbaVarCopy, __vbaFpI4, _CIatan, __vbaStrMove, -, __vbaAryCopy, __vbaI2ErrVar, __vbaStrVarCopy, _allmul, _CItan, -, __vbaUI1Var, __vbaAryUnlock, -, _CIexp, __vbaFreeObj, __vbaFreeStr, -

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set

Hi,

das ist korrekt...
Lieber per Hand aufmachen und dafür "sauber" bleiben....

chris