Hallo zusammen,

ich habe scheinbar dasselbe Problem wie sweetchuck (http://www.trojaner-board.de/72699-b...torun-inf.html) vor ziemlich genau einem Jahr. Bei mir hat sich allem Anschein nach ebenfalls ein Wurm eingenistet, der mittlerweile USB-Stick und dummerweise auch die externe HDD befallen hat.

Entsprechend der Hinweise schadet eine Nutzung der vorhandenen Scripte ja mehr, als dass sie helfen :/

Kann mir jemand weiterhelfen und mich ein wenig anleiten?
Bei Fragen, fragen - Falls irgendwelche Infos benötigt werden, bitte kurz darum bitten, damit ich diese besser gestern als heute liefern kann.

Danke für die schnelle Antwort.

Gruß
Chris

Hallo und

Betriebssystem? Ich wäre dafür erst den Autorun auf allen Medien zu deaktivieren, damit die automatische Ausführung beim Einstecken unterdrückt wird.

Hallo Arne,

ich nutze an dem Rechner hier derzeit noch Windows XP (SP3).

Zum ersten Tipp: Ich habe gemäß Anleitung (hxxp://www.schirmacher.de/display/INFO/Windows+Autostart+Funktion+abschalten) die Werte in der Registry auf "bd" geändert, doch Autorun ist irgendwie weiterhin aktiv :/

Autostart auf allen Laufwerken deaktivieren

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist der Autostart auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Jau, G Data meckert zwar weiterhin über den Wurm, aber die Autostart-Funktion von Windows ist damit jetzt unterbunden.

Danke dafür. Next Step ?

Google mal nach FlashDisinfector, lad Dir das Tool.
Steck alle befallenen USB-Stick und -Platten an, führ das Tool aus.
Der sollte sie eigentlich entseuchen

Danach gehts weiter, aber mach erstmal das.

Ausgeführt. G Data meckert weiterhin und der Wurm ist ebenso noch auf externer HDD und USB-Stick vorhanden.

Dementsprechend frage ich mich, was du unter entseuchen verstehst

Aber gut, wie geht's weiter?

Ist der nach dem Löschen da wieder raufgekommen oder wurde der nicht entfernt?

=> autorun.inf auf den USB-Geräten untersuchen, da drin steht der Pfad zum Virus, am besten mal die autorun.inf komplett hier posten (mit notepad öffnen)

Sorry, mein Fehler. Ich habe mich etwas missverständlich ausgedrückt... die autorun-Dateien sind weg, aber der Wurm selbst nicht.

Meldung von G Data:

Datei: "jwgkvsq.vmx"
Virus: "Win32.Worm.Kido.K (Engine A), Win32:Confi [Wrm] (Engine B) (Engine B)"

Die Datei ist gerade unter Quarantäne gestellt, lässt sich aber nicht löschen.

/edit: Der Wurm selbst blieb scheinbar unangetastet, um deine Frage noch zu beantworten.

Das beantwortet so nicht meine Frage. Du hast die Schädlingsdateien von den Sticks gelöscht bzw. in Quaratäne verschoben (dann sind sie nicht mehr auf dem Stick!) und danach sind dieselben Dateien auf dem Stick wieder an der gleichen Stelle gewesen? Ja oder nein??

Zitat:

Meldung von G Data:
Datei: "jwgkvsq.vmx"
Virus: "Win32.Worm.Kido.K (Engine A), Win32:Confi [Wrm] (Engine B) (Engine B)"

Zu solchen Meldungen gehören immer Pfadangaben.

Steck jetzt mal wieder alle ext. Platten und USB-Sticks ran. Mach danach einen Vollscan mit einem aktuellem Malwarebytes und poste das Log.

Hab die Quarantäne aufgehoben und nochmals ausgeführt. Jetzt ist die autorun entfernt, der Wurm selbst aber noch da, Pfadangabe kannst du der Auswertung von Malwarebytes entnehmen. Stand also wie zuvor.

Danach habe ich Malwarebytes rödeln lassen, hat ein wenig gedauert bei 1 TB Daten

Laufwerk H = externe HDD, G = USB-Stick

Mich persönlich wundert es ein wenig, dass auf dem Stick nichts angeschlagen hat.

Zitat:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4169

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

05.06.2010 02:36:41
mbam-log-2010-06-05 (02-36-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|H:\|)
Durchsuchte Objekte: 432143
Laufzeit: 4 Stunde(n), 58 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:

C:\WINDOWS\system32\lvtwni.dll (Worm.Conficker)
-> Delete on reboot.

E:\*********************\******\***\******\*****.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

E:\**********************\******\***************\********.exe (Trojan.Agent.CK)
-> Quarantined and deleted successfully.

E:\System Volume Information\_restore{9119A315-3BBD-4C91-8B80-DEF81EF2D10C}\RP73\A0104251.exe (Spyware.Passwords)
-> Quarantined and deleted successfully.

H:\**********************\******\***\******\******.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

H:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker)
-> Quarantined and deleted successfully.

H:\System Volume Information\_restore{9119A315-3BBD-4C91-8B80-DEF81EF2D10C}\RP68\A0091997.exe (Spyware.Passwords)
-> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\******\Anwendungsdaten\avdrn.dat (Malware.Trace)
-> Quarantined and deleted successfully.

Ich habe mir mal bei bit defender das removal tool für den wurm geladen, welches allerdings nur den system32-ordner auf befall prüft und meinen rechner somit falscherweise als clean ausgibt, nachdem mittels Malwarebytes die dll-datei von dort bereits entfernt wurde. Es bleiben also noch "die Reste" auf den externen Medien.

/ edit: und keine Sorge wegen der Log und dem dort angezeigten IE 6... ich nutze durchgehend opera. aber generell frage ich mich langsam, was man als "otto-normal-user" alles auf dem rechner haben muss, um einigermaßen abgesichert zu sein.

Was hast Du da unleserlich gemacht? Das sind doch nicht alles persönliche Informationen!
Ich brauch den kompletten Pfad und wenn Du alles unleserlich machst, ist das so als wenn Du ihn nicht postest!

Aaaaaaaalso...

Aktueller Stand:

- Inzwischen ist augenscheinlich sämtlicher Sondermüll von der internen HDD entfernt, der sich durch die - dank des Wurms - blockierte Updatefähgikeit meiner Security-Tools angesammelt hat. Die "System Volume Information" auf Laufwerk E:, die laut Logfile (das gesamte auf Wunsch gern per PM, aber nicht öffentlich hier) befallen waren, sind ebenfalls durchs Deaktivieren der Systemwiederherstellung und dem damit einher gehenden Löschen der alten Wiederherstellungspunkte gesäubert. Ad-Aware, Spybot Search & Destroy und G Data Internet Security 2010 in neuesten Versionen bzw. mit neuestem Update finden nichts mehr.

- Der "Conficker-Cleaner" von Bit Defender findet weiterhin nichts, ergo ist scheinbar Partition C: sauber. Dieser überprüft ja, wie zuvor schon beschrieben, wohl leider nur die System-Ordner, nicht aber die angeschlossenen Laufwerke, obwohl die Verbreitung darüber bekannt zu sein scheint.

- Den USB-Stick habe ich mittlerweile einfach formatiert, wodurch der Recycler inkl. der Unterordner gelöscht ist. Beim Einstecken schlägt G Data hier auch nicht mehr Alarm. Damit sollte, denke ich, der erstmal aus dem Rennen sein - Solange ich nicht die Systempartition wieder infiziere, was ich definitiv nicht vor habe.

- Die externe HDD ist meines Eindrucks nach von sonstigem Unrat befreit, "lediglich" das Wurmproblem besteht hier weiterhin. Ad-Aware, Spybot Search & Destroy und G Data Internet Security 2010 in neuesten Versionen bzw. mit neuestem Update finden - nebst dem Wurm - nichts mehr.
Allerdings findet sich wieder die Warnmeldung bei der autorun.inf (s. Screen).


1. Screen: hxxp://www.jaypac.de/upload/out/4025612010-06-05_201116.jpg

Meldung von G Data.

2. Screen: hxxp://www.jaypac.de/image.php?file=709851

Wurm auf der externen HDD.

Im Laufe des Sonntags folgt noch ein erneuter Check mit Malwarebytes.

Frage:

Wie gehe ich weiter vor? Und ja, ich folge jetzt brav den Anweisungen ^^

Was soll ich mit dem ersten Bild anfangen? Ist viel zu klein.
Es geht weiter, wenn Du mir sagst, was für Dateien und Ordernamen Du vorher unleserlich gemacht hast im Malwarebytes Log.