Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Autorun.inf

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.01.2010, 22:08   #1
Suchender1
 
Autorun.inf - Standard

Autorun.inf



Hallo an die Helfer in der Not,

nach dem Einlegen einer fremden Daten-DVD ließ sich diese nach einem Doppelklick darauf nicht öffnen (Zugriff verweigert). Im Kontextmenü tauchte ein seltsamer Eintrag auf (ä¯ÀÀ).

Skeptisch geworden, habe ich AntiVir das System überprüfen lassen, gefunden wurde nichts. Richtig stutzig bin ich geworden, als ich ein manuelles AntiVir-Update durchführen wollte. Die Suche nach Aktualisierung beginnt zwar, bleibt dann aber stehen. Nach einem Klick auf Abbrechen schlägt nach einiger Zeit die Meldung auf "Beim Downloaden der Dateien ist ein Fehler aufgetreten".

Ich habe im Netz gesucht und bin fündig geworden. Auch hier in diesem Forum gibt es einen Eintrag zum Thema, der aber so viele Infos enthält, dass ich lieber von vorne beginnen möchte.

Folgendes habe ich bis jetzt - auch nach eurer super Anleitung - unternommen:

1. Vollständiger Scan mit AntiVir - keine Beanstandung

2. Autorun deaktiviert

3. Der Inhalt der verantwortlichen autorun.inf ist:

[autorun]
open=.\recycled\info.exe
shell\1=ä¯ÀÀ
shell\1\Command=.\recycled\info.exe
shellexecute=.\recycled\info.exe

4. CCleaner aktiviert
Der Schlüssel "HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}" konnte nicht gelöscht werden

5. Malwarebytes hat keine infizierten Objekte gefunden - der Datenträger mit der autorun.inf wurde mit gescannt

6. RSIT lässt sich unter Windows 7 Prof. 32 Bit nicht durchführen.

Alle Aktionen wurden als Administrator ausgeführt.

Nach außen scheint bis jetzt alles okay zu sein. Wenn nur nicht die Sache mit dem AntiVir wäre.

Es ist sehr wichtig, dass das Notebook "sauber" ist, da ich in Kürze jede Menge Daten weitergeben muss.

Ich bitte euch um Hilfe.

Viele Grüße

Alt 21.01.2010, 22:17   #2
Chris4You
 
Autorun.inf - Standard

Autorun.inf



Hi,

das ist eindeutig Malware. Wo liegt die inf-Datei auf der CD oder schon auf dem Rechner?

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

Gmer und Win7 müssen wir probieren...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
Ps.: Akku vom Notbook ist gleich leer, Rest/Auswertung morgen...
__________________

__________________

Alt 21.01.2010, 23:38   #3
Suchender1
 
Autorun.inf - Standard

Autorun.inf



Hi Chris,

danke für die schnelle Antwort!

Autorun.inf habe ich einige gefunden, weiß aber nicht, welche da sein darf und welche nicht (s. Anhang).

Malwarebytes hatte ich schon durchgeführt, infizierte Objekte wurden nicht gefunden.

Die Logs von OTL findest du in der Anlage.

Gmer hoffentlich auch gleich, aber beim Scan ist der Rechner abgestürzt.

Gruß Oliver
__________________
Miniaturansicht angehängter Grafiken
Autorun.inf-autorun-suche.jpg  

Alt 21.01.2010, 23:50   #4
Suchender1
 
Autorun.inf - Standard

Autorun.inf



Okay, Gmer wird nichts.

Es meldet nichts, aber das System schmiert während des Scans bei \cdfs komplett ab.

Oh welche Freude! AntiVir hat gerade ein Update durchgeführt.

Bin ich aus dem Schneider?

Alt 22.01.2010, 07:37   #5
Chris4You
 
Autorun.inf - Standard

Autorun.inf



Hi,

versuche GMER im abgesicherten Modus zu starten, Sonst probieren wir RootRepeal...
  • Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.
  • Starte durch Klick auf "Scan".
  • Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern, und hier im forum posten.

Das OTL-Log sieht sauber aus, der von Dir genannte Reg.-Eintrag:
HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} gehört zu AntiVir und er wird für programminterne Zwecke
verwendet und kann nicht gelöscht/manipuliert werden!

Lass Avira mal komplett mit folgenden Einstellungen suchen:
Lege dazu die DVD ein und lasse sie ebenfalls durchsuchen!
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

Weiterhin würde ich gerne CF loslassen, das hat aber ein gewisses Risiko (in 99% der Fälle passiert nichts, in 1% der fälle wird der Rechner zerlegt wenn sich CF mit der Malware "verbeisst": Daher eine entsprechende Disk um ein Recovery zu machen und/oder ein gutes Backup ;o)...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt
werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (22.01.2010 um 07:49 Uhr)

Alt 22.01.2010, 10:38   #6
Suchender1
 
Autorun.inf - Standard

Autorun.inf



Hi Chris,

Gmer konnte ich im abgesicherten Modus ausführen, Log anbei.

AntiVir ebenfalls.

RootkitRevealer hat mich halb zum Wahnsinn getrieben. Häufige Neuanmeldungen, Fensterinhalte zum Teil nicht lesbar, beim Klick auf Save stürzt das Ding ab. Ich habe es zweimal probiert - keine Chance. Ein Start im abgesicherten Modus ist nicht möglich. Bist du dir sicher, dass das Tool voll kompatibel zu Win 7 ist?

Dein ACHTUNG zu Combofix macht mich ziemlich nervös. Ich habe ein arbeitsreiches Wochenende vor mir, brauche den Rechner und habe keine Zeit ihn neu aufzusetzen. Ich warte lieber erstmal ab, was du bei GMER und AntiVir findest.

Oliver

Alt 22.01.2010, 11:11   #7
Chris4You
 
Autorun.inf - Standard

Autorun.inf



Hi,

beides Logs sehen i. O. aus!
Ja RootRepealer ist schon realtiv alt, daher hat er wohl seine Probleme mit Win7.

Lassen wir CF erst mal und gehen auf Prevx, das ist nur ein Scanner (löschen bedingt die kostenpflichte Vollversion), hat auch einige Fehlalarme (Funde erst bei virustotal.com prüfen lassen), findet aber so einiges:

http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 22.01.2010, 12:22   #8
Suchender1
 
Autorun.inf - Standard

Autorun.inf



Prevx hat nichts gefunden.

Alt 22.01.2010, 13:50   #9
Chris4You
 
Autorun.inf - Standard

Autorun.inf



Hi,

dann wäre wir mal durch...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 22.01.2010, 17:06   #10
Suchender1
 
Autorun.inf - Standard

Autorun.inf



Ui, na dann hoffe ich mal, dass es das dann war.

Vielen Dank für deine kompetente und schnelle Hilfe

Bleibt nur noch die Frage, warum AntiVir nicht angeschlagen hat. Sollte ich mich nach etwas anderem umsehen?

Gruß Oliver

Alt 22.01.2010, 17:11   #11
Chris4You
 
Autorun.inf - Standard

Autorun.inf



Hi,

keine Ahnung warum keine Meldung kam. Allerdings gibt es normalerweise ja auf DVD keinen Papierkorb (und da ist die eigentliche Malware drin), die inf-datei stellt "nur" den Start sicher und ist nicht "infektiös"...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Autorun.inf
32 bit, administrator, anleitung, antivir, autorun, autorun.inf, ccleaner, dateien, datenträger, fehler, forum, gelöscht, infizierte, kontextmenü, malwarebytes, nicht öffnen, not, notebook, recycled, scan, suche, super, system, wichtig, windows, windows 7 prof., zugriff, zugriff verweigert, öffnen, {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}




Ähnliche Themen: Autorun.inf


  1. Cd/Dvd autorun
    Alles rund um Windows - 15.07.2014 (7)
  2. autorun-BJQ
    Plagegeister aller Art und deren Bekämpfung - 08.01.2013 (1)
  3. autorun.inf!
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (1)
  4. autorun.inf
    Plagegeister aller Art und deren Bekämpfung - 24.02.2011 (5)
  5. autorun.inf wrm
    Plagegeister aller Art und deren Bekämpfung - 11.02.2011 (1)
  6. autorun.inf
    Log-Analyse und Auswertung - 18.12.2010 (3)
  7. autorun blockiert
    Überwachung, Datenschutz und Spam - 14.09.2010 (17)
  8. Autorun blockiert C:\autorun.inf frisches System
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (6)
  9. D:\autorun.inf
    Plagegeister aller Art und deren Bekämpfung - 31.07.2010 (10)
  10. win32.autorun.tmp - was tun?
    Plagegeister aller Art und deren Bekämpfung - 11.06.2010 (33)
  11. Probleme mit BV:AutoRun-G[Wrm] in autorun.inf
    Plagegeister aller Art und deren Bekämpfung - 06.06.2010 (16)
  12. "autorun.inf ist der Trojaner: TR/Autorun.TE" Meldung beim Anschluss eines USB Sticks
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (19)
  13. autorun.inf - TR/Autorun.SJ.1 Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (1)
  14. TROJANER Flut! W32/Delf.EKEH, INI/AutoRun.CYI, WSCommCntr1.exe, BAT/Autorun.IZJ
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (3)
  15. BV:AutoRun-G[Wrm] in J:\autorun.inf
    Plagegeister aller Art und deren Bekämpfung - 06.05.2009 (34)
  16. worm autorun.vdj
    Plagegeister aller Art und deren Bekämpfung - 29.04.2009 (7)
  17. autorun.inf: Trojan.Autorun-271 FOUND - USB-Stick
    Log-Analyse und Auswertung - 11.03.2009 (1)

Zum Thema Autorun.inf - Hallo an die Helfer in der Not, nach dem Einlegen einer fremden Daten-DVD ließ sich diese nach einem Doppelklick darauf nicht öffnen (Zugriff verweigert). Im Kontextmenü tauchte ein seltsamer Eintrag - Autorun.inf...
Archiv
Du betrachtest: Autorun.inf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.