Hallo,

nun ist es so weit - ich brauche Hilfe! Aber ich schilder erstmal kurz das Problem: Vor Kurzem bekam ich von meinem Antivirenprogramm (Avira Antivir) beim Anstecken der externen Festplatte die Meldung, dass die autorun.inf blockiert werden würde. Mit meinem Halbwissen habe ich dann mal im Internet rumgestöbert und die eine oder andere Information bekommen.

Dann habe ich einen Scan vom ganzen System gemacht (mit Avira), welcher jedoch erfolglos blieb. Das hat mich verwundert, da das Programm ja offensichtlich beim Anstecken der Externen HDD ein Poblem entdeckt aber beim Systemscan nichts mehr. Also habe ich erstmal Avira deinstalliert und eine Testversion von Kaspersky aufgespielt - auch hier ergab der Systemscan keine Infizierung.

Ich habe aber nun ein sehr unwohles Gefühl. Mittlerweile bin ich so weit gekommen, dass ich die ersteckten Systemdateien eingeblendet habe und dann einmal den Namen der autorun.inf in autoxxxrun.inf umbenannt, aber ob das was bringt bezweifle ich.

Zwischenzeitlich ist ein Bereinigungsversuch mit Flash disinfector erfolglos geblieben, das Programm startet irgendwie nicht, auch wenn ich im Kontextmenü als Administrator ausführen anwähle!

Ich habe nun mehrere USB-Sticks, Handy von mir und meiner Freundin mit Speicherkarte, Digitalcamera mit Speicherkarte und drei externe Festplatten. All diese Geräte hängen entweder am Notebook (Vista, Internetzugang) oder am PC (XP, kein Internetzugang)

Jetzt kommt mein Vorschlag:

1) alle Daten auf eine externe Festplatte spielen
2) die restlichen Datenträger (USB/SD/extHDD) formatieren
3) externe Festplatte mit Daten desinfizieren
4) beide Systeme neu aufsetzen

Dazu meine Fragen:

A) macht das so im Ansatz Sinn?
B) wenn mein System infiziert ist, setzt es dann nicht automatisch beim Formatieren wieder Müll auf das Medium (habe nämlich teilweise auf den Sticks auch nach Formatierung noch seltsame Dateien gefunden) - wenn ja, wie soll ich SAUBER formatieren?
C) welchen Suchlauf soll ich von was posten (alle Datenträger würde ich ja gar nicht auf einmal an das Notebook bekommen)
D) verteil sich eine infizierte autorun.inf unter Umständen auch auf eine CD, die man brennt?

Ich würde mich sehr über Hilfe freuen!

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vB Code Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen[/list]

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

- nur weil Avira etwas gemeldet hat, bedeutet nicht gleich, dass dein System bzw ext. anschließbare Geräte infiziert sind. es könnte an die Einstellungen auch liegen z.B bei "Autorun blockieren" ein Haken gesetzt war?

- Flash disinfector: läuft nicht auf 64-Bit Betriebsystemen
andere Möglichkeit wäre auch noch: -> http://research.pandasecurity.com/Pa...-NTFS-Support/

► Um die Autoplay-Funktion des CD-Laufwerkes zu aktivieren oder deaktivieren, gibt es verschiedene Möglichkeiten:

-> Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org
-> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de

-> Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst.

-> Autostartfunktion einstellen für unterschiedliche Laufwerkstypen

1.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ "Download"→ " Download from FileHippo.com"
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

gruß
Coverflow

Hallo Coverflow,

sorry erstmal, dass ich so lange nichts habe hören lassen - musste plötzlich verreisen und hatte deshalb auch mein notebook nicht bei mir!

Nun wollte ich mich an die Arbeit machen, aber schon bei Punkt 1 treten Probleme auf... HiJackThis funktioniert scheinbar nicht richtig: Zuerst dauert der Scan nur ein paar Sekunden (aber vielleicht muss das ja so sein) und dann entsteht kein logfile.

Wie soll ich nun weiter machen?

Vielen Dank!

Edit.: ich habe noch eine Fehlermeldung angehangen

Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
also Rechtsklick auf HijackThis..als Admin ausführen

Hallo,

das habe ich zwar machen wollen, aber im Kontextmenü kann ich leider keinen derartigen Eintrag finden - bin als Administrator angemeldet

Ich hänge das Menü mal als Sreenshot an

HJT halt ganz normal starten-> "Do a system scan and save a logfile" klicken-> auf die Meldung mit "Hosts" auf "OK" klicken-> und abwarten
eventuell vorher das alte Logfiles löschen! solltest dann eigentlich ein neues automatisch bekommen. auf dem Desktop, oder im HJT-Ordner nachsehen