|
Plagegeister aller Art und deren Bekämpfung: Autorun.infWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.01.2010, 22:08 | #1 |
| Autorun.inf Hallo an die Helfer in der Not, nach dem Einlegen einer fremden Daten-DVD ließ sich diese nach einem Doppelklick darauf nicht öffnen (Zugriff verweigert). Im Kontextmenü tauchte ein seltsamer Eintrag auf (ä¯ÀÀ). Skeptisch geworden, habe ich AntiVir das System überprüfen lassen, gefunden wurde nichts. Richtig stutzig bin ich geworden, als ich ein manuelles AntiVir-Update durchführen wollte. Die Suche nach Aktualisierung beginnt zwar, bleibt dann aber stehen. Nach einem Klick auf Abbrechen schlägt nach einiger Zeit die Meldung auf "Beim Downloaden der Dateien ist ein Fehler aufgetreten". Ich habe im Netz gesucht und bin fündig geworden. Auch hier in diesem Forum gibt es einen Eintrag zum Thema, der aber so viele Infos enthält, dass ich lieber von vorne beginnen möchte. Folgendes habe ich bis jetzt - auch nach eurer super Anleitung - unternommen: 1. Vollständiger Scan mit AntiVir - keine Beanstandung 2. Autorun deaktiviert 3. Der Inhalt der verantwortlichen autorun.inf ist: [autorun] open=.\recycled\info.exe shell\1=ä¯ÀÀ shell\1\Command=.\recycled\info.exe shellexecute=.\recycled\info.exe 4. CCleaner aktiviert Der Schlüssel "HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}" konnte nicht gelöscht werden 5. Malwarebytes hat keine infizierten Objekte gefunden - der Datenträger mit der autorun.inf wurde mit gescannt 6. RSIT lässt sich unter Windows 7 Prof. 32 Bit nicht durchführen. Alle Aktionen wurden als Administrator ausgeführt. Nach außen scheint bis jetzt alles okay zu sein. Wenn nur nicht die Sache mit dem AntiVir wäre. Es ist sehr wichtig, dass das Notebook "sauber" ist, da ich in Kürze jede Menge Daten weitergeben muss. Ich bitte euch um Hilfe. Viele Grüße |
21.01.2010, 22:17 | #2 |
| Autorun.inf Hi,
__________________das ist eindeutig Malware. Wo liegt die inf-Datei auf der CD oder schon auf dem Rechner? Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop * Doppelklick auf die OTL.exe * Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen * Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output * Unter Extra Registry, wähle bitte Use SafeList * Klicke nun auf Run Scan links oben * Wenn der Scan beendet wurde werden 2 Logfiles erstellt * Poste die Logfiles hier in den Thread. Gmer und Win7 müssen wir probieren... Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris Ps.: Akku vom Notbook ist gleich leer, Rest/Auswertung morgen...
__________________ |
21.01.2010, 23:38 | #3 |
| Autorun.inf Hi Chris,
__________________danke für die schnelle Antwort! Autorun.inf habe ich einige gefunden, weiß aber nicht, welche da sein darf und welche nicht (s. Anhang). Malwarebytes hatte ich schon durchgeführt, infizierte Objekte wurden nicht gefunden. Die Logs von OTL findest du in der Anlage. Gmer hoffentlich auch gleich, aber beim Scan ist der Rechner abgestürzt. Gruß Oliver |
21.01.2010, 23:50 | #4 |
| Autorun.inf Okay, Gmer wird nichts. Es meldet nichts, aber das System schmiert während des Scans bei \cdfs komplett ab. Oh welche Freude! AntiVir hat gerade ein Update durchgeführt. Bin ich aus dem Schneider? |
22.01.2010, 07:37 | #5 |
| Autorun.inf Hi, versuche GMER im abgesicherten Modus zu starten, Sonst probieren wir RootRepeal...
Das OTL-Log sieht sauber aus, der von Dir genannte Reg.-Eintrag: HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} gehört zu AntiVir und er wird für programminterne Zwecke verwendet und kann nicht gelöscht/manipuliert werden! Lass Avira mal komplett mit folgenden Einstellungen suchen: Lege dazu die DVD ein und lasse sie ebenfalls durchsuchen! Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! Weiterhin würde ich gerne CF loslassen, das hat aber ein gewisses Risiko (in 99% der Fälle passiert nichts, in 1% der fälle wird der Rechner zerlegt wenn sich CF mit der Malware "verbeisst": Daher eine entsprechende Disk um ein Recovery zu machen und/oder ein gutes Backup ;o)... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (22.01.2010 um 07:49 Uhr) |
22.01.2010, 10:38 | #6 |
| Autorun.inf Hi Chris, Gmer konnte ich im abgesicherten Modus ausführen, Log anbei. AntiVir ebenfalls. RootkitRevealer hat mich halb zum Wahnsinn getrieben. Häufige Neuanmeldungen, Fensterinhalte zum Teil nicht lesbar, beim Klick auf Save stürzt das Ding ab. Ich habe es zweimal probiert - keine Chance. Ein Start im abgesicherten Modus ist nicht möglich. Bist du dir sicher, dass das Tool voll kompatibel zu Win 7 ist? Dein ACHTUNG zu Combofix macht mich ziemlich nervös. Ich habe ein arbeitsreiches Wochenende vor mir, brauche den Rechner und habe keine Zeit ihn neu aufzusetzen. Ich warte lieber erstmal ab, was du bei GMER und AntiVir findest. Oliver |
22.01.2010, 11:11 | #7 |
| Autorun.inf Hi, beides Logs sehen i. O. aus! Ja RootRepealer ist schon realtiv alt, daher hat er wohl seine Probleme mit Win7. Lassen wir CF erst mal und gehen auf Prevx, das ist nur ein Scanner (löschen bedingt die kostenpflichte Vollversion), hat auch einige Fehlalarme (Funde erst bei virustotal.com prüfen lassen), findet aber so einiges: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
22.01.2010, 12:22 | #8 |
| Autorun.inf Prevx hat nichts gefunden. |
22.01.2010, 13:50 | #9 |
| Autorun.inf Hi, dann wäre wir mal durch... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
22.01.2010, 17:06 | #10 |
| Autorun.inf Ui, na dann hoffe ich mal, dass es das dann war. Vielen Dank für deine kompetente und schnelle Hilfe Bleibt nur noch die Frage, warum AntiVir nicht angeschlagen hat. Sollte ich mich nach etwas anderem umsehen? Gruß Oliver |
22.01.2010, 17:11 | #11 |
| Autorun.inf Hi, keine Ahnung warum keine Meldung kam. Allerdings gibt es normalerweise ja auf DVD keinen Papierkorb (und da ist die eigentliche Malware drin), die inf-datei stellt "nur" den Start sicher und ist nicht "infektiös"... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu Autorun.inf |
32 bit, administrator, anleitung, antivir, autorun, autorun.inf, ccleaner, dateien, datenträger, fehler, forum, gelöscht, infizierte, kontextmenü, malwarebytes, nicht öffnen, not, notebook, recycled, scan, suche, super, system, wichtig, windows, windows 7 prof., zugriff, zugriff verweigert, öffnen, {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} |