Guten Abend zusammen.

Vor circa einem Monat hatte ich meinen USB-Stick im Informatikunterricht gerade an einem SchulPC eingesteckt, als der Admin vorbeikam und im Vorbeigehen meinte "Ah, wir haben übrigens Conficker auf dem Server, aber ich glaube nicht, dass das das jetzt schlimm ist mit dem USB-Stick da drin!"

Ich hab den USB-Stick trotzdem schnell rausgezogen. Zuhause lag er aber eine Woche nur rum, bis ich ihn wieder mal in meinen PC gesteckt habe.

Aber da poppt sofort Avira auf und meinte, "H:/autorun.inf ist Worm.Kido". Da ich zu der Zeit massive Probleme mit false posivitves von Avira hatte, hab ich einfach auf "Zugriff verweigern" geklickt und den Stick drin gelassen, auch für die nächsten Wochen. Dass das irgendwas mit Conficker zu tun haben könnte, ist mir natürlich nicht eingefallen (an dieser Stelle möchte ich mich selbst ohrfeigen!).
Einmal habe ich sogar die autorun.inf im Editor geöffnet, weil ich neugierig war, was da so besonderes dran sein sollte... Bitte geißelt mich nicht.

GERADE eben jedoch schoss mir in den Sinn, dass das evtl. etwas mit dem Conficker zu tun haben könnte! Ich hab den Stick sofort rausgezogen!

Vor ein oder zwei Tagen hatte ich mal ein paar Scans durchgeführt, zwar aus einem anderen Grund, aber das Ergebnis war bei diesen:

Avira AntiVir Personal: 8 Funde (6 false positives, 1 im Temp-Ordner [vergessen, welches genau. War aber nicht Kido, glaube ich], 1xautorun.inf)

Malwarebytes Anti-malware : 1 Fund: Hijack.DisplayPropertiers

Spybot S&D: Kein Fund.

Hier ein VirusTotal-Test von besagter autorun.inf: Virustotal. MD5: 81a1335e99444c243631de2b60dd8b74 W32.Downadup!autorun Worm.Kido.IH.54 Worm:W32/Downaduprun.A

Dann habe ich diesen Onlinetest gemacht, der Bilder von gängigen Seiten zusammenträgt, die Conficker normalerweise blockt. Ich konnte alle Bilder sehen.
Ich habe bisher auch keine Änderung an meiner Internetgeschwindigkeit, Updates oder sonstiges Auffälliges bemerkt. Mein System:

Windows 7 Ultimate 64bit - aktuelleste Updates
Graka: HD4850
Proz: E8400
RAM: 2x1GB Corsair TwinX, 1x1GB Samsung Unknown

Außerdem ein HiJackThis-Logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:44:06, on 11.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
E:\QIP\qip.exe
D:\Steam\Steam.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
E:\AIMP\AIMP2.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
E:\Thunderbird\thunderbird.exe
E:\HiJackThis\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.***.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.***.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.***.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.***.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AIMP2] E:\AIMP\AIMP2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [QIP2005] E:\QIP\qip.exe
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Taskmanager.lnk = C:\Windows\System32\taskmgr.exe
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://***.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6378 bytes

Jetzt habe ich ein paar Fragen:

1. Ist mein PC trotz allem infiziert? Wie kann ich da sicher gehen, dass ich weiterhin sicher bin?

2. Was soll ich nun mit dem USB-Stick machen? Da sind relativ wichtige Daten drauf. Kann ich dir sichern und den Stick formatieren? Oder vom schlimmsten ausgehen und alles plattmachen?

Hm, hat niemand eine Idee?

Die einzige wirksame Massnahme bei Befall mit Conficker ist die Neuinstallation. Es gibt aber auch ein Conficker Entfernungstool. Da sich Conficker immer weiter verändert, ist nicht sicher ob die Desinfektion erfolgreich ist.

http://www.virenschutz.info/virensch...tails-100.html

Natürlich verbreitet sich Conficker/Kido auf deinem Stick, sobald du diesen an einen infizierten Rechner einsteckst.

Hallo, vielen Dank für deine Antwort!

Ist denn ein Neuaufsetzen nötig? So wie es auf den ersten Blick aussieht, ist mein System doch gar nicht infiziert, das war meine Frage.

Mal ne Frage.

Hast Du denn noch Probleme? Besonders beim Aufruf von Security Seiten?

Conficker infiziert die svchost.exe. Da es aber ein win7 64 bit ist, denke ich das da nie wirklich aktiv gewesen sein kann.

Die autorun.inf ist nur ne Textdatei die einen Code enthält, was ausgeführt werden soll wenn Windows automatisch danach sucht bzw aufruft. Wird keine gefunden, wird Autoplay verwendet.

Diese Funktion sollte man aus sicherheitstechnischer Sicht abstellen. Geht mit ein paar kniffe in der Reg. Wenn Du das willst (empfohlen) sag bescheid.

Leonixx, ohne Log keine Diagnosen

Hallo Larusso, vielen Dank für deine Antwort! Ich habe keinerlei Beeinträchtigungen beim Surfen bemerkt. Keine PopUps, keine Weiterleitungen oder blockierte Seiten.