virus/wurm entdeckt durch eset und gelöscht, aber bin mir nicht sicher ob das system sauber ist
 

Servus.

habe am wochenende meine externe HD an einen PC angeschlossen und einige dateien von der externen HD auf den PC übertragen. Dann habe ich gestern die externe HD an meinen Notebook angeschlossen und sofort kam durch ESET eine Virusmeldung.

AUTORUN Virus wurde mir gemeldet

Daraufhin sollte ich mein NB runterfahren damit der gelöscht werden kann. Aber erst beim 3ten Versuch hat dann das löschen geklappt.
Anschließend habe ich die HD des NB sowie die externe HD gescannt.

WURM wurde in der $recycle.bin der externen HD gefunden

Daraufhin habe ich diesen löschen lassen. Allerdings bin ich mir jetzt nicht sicher ob mein System wirklich bereinigt ist. Lasse gerade wieder einen vollständigen Scan durch ESET vollziehen und bisher (C: 100%, D: 22%) ist noch keine Meldung zu sehen.

was kann ich machen damit ich mir sicher bin ob alles weg ist?

danke für die Infos.

gruß
J

ps. scan beendet - Befund: WIN32/Conficker.AA Wurm

hier die Logs

Hallo und :hallo:

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Sind das alle Logs mit Funden? Bitte beachten => http://www.trojaner-board.de/125889-...tml#post941520

hi cosinus,

danke das du dir die zeit nimmst mir zu helfen.

vorab:
nach dem ich den virus gefunden habe, habe ich diverse methoden probiert den virus zu entfernen zzgl. defogger und otl.
- malwarebytes anti-malware
- pc tools spyware doctor - programm hat sich immer sofort geschlossen
- mc afee stinger
- ssconftool_10_sfx
- econfickerremover
- sdsetup
- Windows-KB890830-x64-V4.14

ausserdem habe ich versucht mit dem befehl rd /s die $recycle.bin und recycler ordner auf der externen HD versucht zu löschen. bis auf 3 dateien (inkl. der jwgkvsq.vmx) hat das auch geklappt.

von nun an werd ich dann wohl nichts mehr probieren und warte auf deine anweisungen :daumenhoc

einen mbam log hab ich gefunden: (ich hoffe das mit den codes hab ich richtig verstanden)

Malwarebytes Anti-Malware (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.07.13

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
*** :: ***-PC [Administrator]

Schutz: Aktiviert

16.11.2012 00:23:55
mbam-log-2012-11-16 (00-23-55).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 230227
Laufzeit: 3 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Wurde da nur etwas auf der externen Platte gefunden?

ja es wurde nur etwas auf der externen HD gefunden.

allerdings hab ich natürlich direkt panik bekommen und das ganze system vom netz genommen.

gestern hab ich über nacht noch das "window tool zum beseitigen bösartiger software" wie schon oben beschrieben laufen lassen und der hat mir gemeldet das der Wurm gelöscht worden ist.

hab dann anschließend eset laufen lassen und da siehe, der ist diesmal wirklich gelöscht.

Bin ich jetzt wirklich sicher, kann ich die HD wo anders anschließen?!?
Was wäre der nächste Schritt?

Im Anhang hab ich ein Screenshot von dem Window Tool beigelegt da der kein Log ausgegeben hat und hier der eset Log (nur das Ergebnis ansonsten ist der zu lang):

Log
Version der Signaturdatenbank: 7701 (20121116)
Datum: 18.11.2012 Uhrzeit: 11:58:46
Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;C:\Bootsektor;D:\Bootsektor;C:\;D:\

Geprüfte Objekte: 738941
Erkannte Bedrohungen: 0
Abgeschlossen: 15:21:17 Benötigte Zeit: 12151 Sek. (03:22:31)

Automatische Wiedergabe deaktivieren

Windows XP: Zur Vereinfachung hab ich mal die noautoplay.reg hochgeladen. Lad das auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern

habe nun alles deaktiviert!

muss ich jetzt nun an allen geräten wo ich die HD anschließe immer die automatische Wiedergabe zuerst deaktivieren?
ist durch das löschen die bedrohung wirklich weg?
wurde mein system angegriffen oder wurde es automatisch durch Eset blockiert?

danke für deine antworten :dankeschoen:

ps. nutze an allen systemen Win7

Nach dem Deaktivieren der automatischen Wiedergabe den USB-Datenträger mal genauer untersuchen => Aussschau halten nach einer autorun.inf - vorher alle Dateien anzeigen lassen! => http://www.trojaner-board.de/59624-a...-sichtbar.html

Die in der autorun.inf erwähnte Datei, dort wird ja festgelegt welches Programm automatisch starten soll, muss man dann löschen.
Wenn man will kann man auch gleich den USB-Datenträger neu formatieren.


Schön, wenn du aber noch weiterbuddeln lassen willst, dann bitte erstmal nur einen Rechner aber nicht mehrere Rechner in einem Strang! Für andere Rechner jew. einen separaten Strang aufmachen!

so hab alles überprüft und alle autorun.inf gelöscht.

die anderen systeme will ich auch nicht hier überprüfen lassen da ich dort die platte nicht angeschlossen hab.

kurz gesagt bin ich jetzt sauber und formatieren wäre besser oder?

formatieren kann ich erst nach dem ich die daten zwischengespeichert habe und das auf anderen Rechnern. also brauch ich ein ok ob alles sauber ist :daumenhoc

hast mich vergessen???

Was ist denn noch offen? Ging das nicht nur um die externe Platte, die du nun schon längst untersucht hast? :confused:

doch ging nur um die externe platte.

wusste nicht dass das alles war

danke dir für deine hilfe :daumenhoc:daumenhoc:daumenhoc