Hi Leute,

wo soll ich anfangen...

Ich glaube es war so vor 3 Wochen...da habe ich meine Externe Festplatte ("BlackBoy") an eine Freundin verliehen. Da tauchte ein Trojaner auf (auf BlackBoy). Der wurde auch gleich gelöscht. Der Scan danach war dann auch sauber. (AntiVir und Norman)
So.
Aber danach tauchte immer wieder und überall ein Trojaner auf. Überall bedeutet: Zuerst USB-Sticks und externe Festplatte, dann mein Läppi, der Rechner bei der Arbeit, die anderen vernetzten Arbeits-Rechner, die Sticks bei der Arbeit...
ich führe seit 2 Wochen Trojaner-Tagebuch...und google nach den Trojaner-Namen, aber finde nicht so richtig meinen Fall...

Laufen tun alle Rechner...das "Einzige Problem" in der PC-Nutzung war, dass ich auf die USB-Geräte nicht mehr über den Arbeitsplatz zugreifen konnte. Bei Doppelklick hat er ein Fenster geöffnet aus dem ich dann das Programm aussuchen sollte, das er benutzen soll...anstatt mir einfach den Ordner zu öffnen...
Das Problem lässt sich umgehen wenn man über den Explorer geht.

Meinen Läppi habe ich schon mit frischen XP überspielt, ich weiß aber nicht ob nu alles weg ist. Die BlackBoy Platte habe ich heute nochmal an meinen Rechner bei der Arbeit angeschlossen und er hat sage und schreibe NEUN!!!! Trojaner gefunden. Vorher war es immer mal einer...(alles mit Norman)

Hier nochmal die diversen Trojanernamen, die immer wieder auftauchen:

W32/Delf.EKEH (in "winamp_cache_0001/ehthumbs.exe") USB-STICK
INI/AutoRun.CYI (in "winamp_cache_0001/desktop.ini") USB-STICK+BLACKBOY
WSCommCntr1.exe (NormanDiagnose: "W32/Suspicious_Gen2.TDC") ARBEIT
W32/Delf.EKEH (im "Recycler/.../Desktop.ini" und in "System Volume Information/.../(diverseNummern).ini") BLACKBOY
BAT/Autorun.IZJ (in "Recycler/.../Desktop.ini") ARBEIT

Der letzte Eintrag (BAT) ist heute zum ersten Mal aufgetaucht. Gleich 4 Meldungen auf einmal (Norman hat's in Quarantäne gepackt) und eine Stunde später ging das von vorne los. Wieder 4 Meldungen...

Aber in den häufigsten Fällen (immer wenn ich einen Stick anschließe) ist es der Delf oder der AutoRun.
Auch Stick Formatierungen haben mich nicht weitergebracht.

Auf dem BlackBoy ist meine Datensicherung vom Läppi, den kann ich also nicht einfach formatieren.



Habe die Anleitung abgearbeitet:

CCleaner ist durchgelaufen

http://w*w.file-upload.net/download-1990646/log.txt.html

http://w*w.file-upload.net/download-1990665/mbam-log-2009-11-05--13-11-49-.txt.html


Ich bin verwirrt und hilflos.

Wie werde ich das los?

danke schonmal,
die Katja.

Eben nochmal einen Suchlauf bei den anderen Rechnern auf der Arbeit gemacht. Rechner A hat einmal den BAT gefunden, Rechner C hatte ihn gleich ca. 15mal... alles nun in Quarantäne.

Bin jetzt zu Hause an meinem Läppi und poste gleich nochmal das logfile von hier...

So, habe meinen Läppi mit CCleaner bearbeitet. In der Registry lässt sich ein Eintrag nicht entfernen:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}


Und hier sind die Analysen meines Läppis:

hxxp://w*w.file-upload.net/download-1991951/kaaskopp.zip.html

Dazu muss ich noch was sagen:
Das XP neu draufziehen hat nicht so ganz geklappt wie ich das wollte. Erst wurde neu installiert und dann das alte XP gelöscht. Ich hatte das anders geplant...nun ist es aber so. Das alte XP heißt jetzt "Windows alt gelöscht". Da sind noch zwei letzte Dateien drin, die sich nicht löschen lassen. Das neue heißt Windows.0

Okay, ich hoffe ihr könnt mir in diesem Wirrwarr weiterhelfen...

die Katja.

Habe meine BlackBoy Platte heute nochmal gescannt, Norman hat nichts gefunden. Aber wenn ich die autorun datei, die ich da drauf sehe bei virustotal hochlade, dann sagt er das hier:


Datei Autorun.inf_2 empfangen 2009.09.20 21:26:53 (UTC)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.20 Trojan.Win32.AutoRun!IK
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.18 -
Antiy-AVL 2.0.3.7 2009.09.18 -
Authentium 5.1.2.4 2009.09.20 IS/Autorun
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.20 -
BitDefender 7.2 2009.09.20 -
CAT-QuickHeal 10.00 2009.09.19 -
ClamAV 0.94.1 2009.09.19 -
Comodo 2384 2009.09.20 -
DrWeb 5.0.0.12182 2009.09.20 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6746 2009.09.18 -
F-Prot 4.5.1.85 2009.09.20 IS/Autorun
F-Secure 8.0.14470.0 2009.09.20 Trojan.Win32.AutoRun.t
Fortinet 3.120.0.0 2009.09.19 -
GData 19 2009.09.20 -
Ikarus T3.1.1.72.0 2009.09.20 Trojan.Win32.AutoRun
Jiangmin 11.0.800 2009.09.20 -
K7AntiVirus 7.10.849 2009.09.19 -
Kaspersky 7.0.0.125 2009.09.20 Trojan.Win32.AutoRun.t
McAfee 5747 2009.09.20 Generic component
McAfee+Artemis 5747 2009.09.20 Generic component
McAfee-GW-Edition 6.8.5 2009.09.20 -
Microsoft 1.5005 2009.09.20 -
NOD32 4441 2009.09.19 Win32/Peerfrag.DO
Norman 6.01.09 2009.09.18 -
nProtect 2009.1.8.0 2009.09.20 -
Panda 10.0.2.2 2009.09.20 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.20 -
Rising 21.47.62.00 2009.09.20 -
Sophos 4.45.0 2009.09.20 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.20 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.20 TROJ_AUTORUN.FJN
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.18.1943 2009.09.18 INF.Autorun.496
VirusBuster 4.6.5.0 2009.09.20 -
weitere Informationen
File size: 496 bytes
MD5   : 01d5c090c09e95a8b7245256c1c1bc68
SHA1  : 217a9b79fc7c5c7aa61de97be1a4dd07452401ed
SHA256: a027f59daa1f3b99a48f28623fed39fab34949a5655319cb5830a017ab03ca60
TrID&nbsp;&nbsp;: File type identification<br>Unknown!
ssdeep: 12OWQEzqz0LKqcrkxv0fXRDNkUwCbKWB2gCbKRabFRiiur5NGkxv0fhDSgmoabaH
PEiD&nbsp;&nbsp;: -
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-



Die Datei hatte ich eher zufällig ausgewählt. Autorun Dateien findet man ja überall...und da der eine Trojaner was mit Autorun heißt, habe ich das einfach mal ausprobiert...
Soll ich nochmal mit nem anderen Virenscanner arbeiten?