Muss immer wieder an Computer ran mit folgendem Virus: VBS.Solow
 

Hallo,

folgendes Problem:
Ich muss auf der Arbeit immer wieder an einem Rechner arbeiten, der mir nicht gehört, nicht am Internet hängt, weil auf ihm eine seltene und sehr teure Software lagert. Diese brauche ich zum Auswerten von Daten aus Laborexperimenten.

Die Daten müssen ja dann irgendwie zu mir. Also per USB-Stick. Der infizierte Rechner läd mir dann jedoch immer eine autorun-Datei und eine Datei namens 2ua832070k.vbs auf den Stick.
Ich kann die Dateien auf dem infizierten rechner noch nicht sehen, da sie versteckt sind, und da einfach manuell löschen.

Auf meinem eigenen Rechner habe ich Norton. Das erkennt das Problem sofort und entdeckt den Virus und nimmt ihn in Quarantäne und erfordert einen Neustart. Das dauert jedoch und ganz geheuer ist es mir auch nicht, ob es so 100% klappt.

Nun habe ich bespw. versucht, den USB-Stick mit gleichzeitigem Drücken der Steuerungstaste bei mir zu verbinden. Und im Anschluss mit Eraser den Virus zu zerhacken bevor er trouble macht. Sobald Eraser auf ihn zugreift, springt jedoch Norton wieder an.

Daß ich auch nur irgendwelche Änderungen am Rechner auf der Arbeit vornehme ist ausgeschlossen, da ich da in Haftbarkeiten komme, in die ich nicht will.

Gibt es eine Möglichkeit entweder die Infektion des USB-Sticks zu verhindern oder ihn auf dem Stick zu löschen, bevor er aktiv wird? Das Norton ihn findet soll keine Dauerlösung sein.
Komplizierter wäre die Daten auf DVD zu brennen. Das verbraucht dann zahlreiche Rohlinge, und ich bin mir nicht sicher, ob der Virus nicht auch auf die DVD geht.

Die EDV auf der Arebit wird ihn ja eventuell irgendwann beseitigen, aber viele User unterschiedlicher Arbeitsgruppen und immer wieder die gleichen Sticks... Der ist da dann sofort wieder drauf. Und ich muss heute schon wieder ran.
Über gute Tips wäre ich sehr dankbar!
Danke und Grüße!

PS: Hab nochmal bei Norton in Details geguckt. Der Virus kopiert sich hierhin:

Dateiname: 2ua832070k.vbs
Bedrohungsname: VBS.Solow
Vollständiger Pfad: e:\2ua832070k.vbs


Quelle: externe Medien
Quelldatei:
2ua832070k.vbs

____________________________

Dateiaktionen

Datei: c:\users\hendrik\appdata\local\virtualstore\windows\syswow64\google.htmentfernt
Datei: c:\windows\syswow64\google.htmentfernt
Infizierte Datei: e:\2ua832070k.vbsKeine Aktion erforderlich
____________________________

:hallo:

mit Panda USB Vaccine - Download - Filepony kannst du autostart unterbinden.
Weiteres: http://www.trojaner-board.de/83238-a...sschalten.html


und dann in Ruhe vom Stick loeschen.

Eine Alternative wäre Flashdisinfector:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab. Gehe nun wie folgt vor (Anleitung):

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis: Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist. Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Vielen Dank!
Werde erstmal den Panda versuchen. Meinen Norton zu deaktivieren um an autorun-Einträgen scannen zu lassen - ist sicher sicher, aber Panda scheint mir kontrollierbarer.
Falls das nicht zufriedenstellend klappt, nehm ich den zweiten Tipp.

Offensichtlich genau was ich brauche! Danke für die Hilfe!

Nochmal eine Rückmeldung:
Ganz kapiert habe ich Panda nicht. Was genau macht die Vaccinierung? Wenn ich den Stick in den infizierten Computer stecke, wird er nach wie vor mit dem Virus infiziert.
Verhindert Panda nicht die Infektion, sondern nur die Verknüpfung mit autorun.inf ?

Was auch nicht klappt, ist die Virus-Datei dann mit Eraser zu löschen. Sobald Eraser daraufzugreift, wird sie scheinbar aktiviert, und schreibt sich wieder in dese Datei: c:\windows\syswow64\google.htm

Vielleicht klappt ja direkt löschen, werde ich das nächste mal ausprobieren. Obwohl ich "erasen" beruhigender fände.

Oder klappt Panda bei mir gar nicht?

Panda verhindert den Autostart.

Deaktiviere deinen Virenscanner (der dein System dann blockiert) und loesche die Datei.
GGf mit Unlocker - Download - Filepony

Vllt sollte man auch mal überlegen, ob man diesen nervig-riskanten Autorun nicht generell komplett deaktiviert. Johnnie hat eine Anleitung dazu ja schon verlinkt.

@tolk: versuchs doch mal mit dem FlashDisinfector. Der erstellt einen Ordner "autorun.inf" auf deinem Stick, darin eine "unlöschbare" Datei. So kann kein Schädling mehr so einfach seine autorunconfig dem Wechseldatenträger aufzwingen ;)

Hallo nochmal!
Vorerst komme ich mit Panda zurecht. Ich habe jetzt gesehen, daß ich den infizierten Stick öffnen und den Virus dann manuell löschen kann. Was nicht geht, ist ihn mit Eraser zu löschen. Das aktiviert ihn offensichtlich bevor er gelöscht wird.
Also einfach nur so löschen.

Landet er dann eigentlich in irgendwelchen Recycler-Ordnern? Oder ist einmal von einem Stick gelöscht auch wirklich gelöscht (mal abgesehen von Wiederherstellungstools wie Recuva etc..).?

Kommt drauf an, wie du loeschst.

Mit SHIFT kannst du gleich richtig Loeschen.
Oder Papierkorb ausschalten.

Komisch, Daten auf USB-Sticks landen bei mir nie im Papiertkorb. Daher weiß ich gar nicht, ob die nicht doch nochmal irgendwoanders zwischengelagert werden.
Aber das mit Shift wußte ich noch nicht. Guter Tip!

Daten von Wechseldatenträgern oder Netzlaufwerken werden idR immer direkt gelöscht, d.h. nix mit Papierkorb