Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Autorun.inf auf usb Stick (https://www.trojaner-board.de/76447-autorun-inf-usb-stick.html)

WinstonWolf 15.08.2009 18:06
Autorun.inf auf usb Stick
 
Hallo liebe Community,
Mir ist heute auf einem meiner Usb Sticks eine Autorun.inf aufgefallen,die ich vorher nie bemerkt habe.
Ich habe diese mal bei Virustotal auswerten lassen.Hier das Ergebnis:

Code:
a-squared        4.5.0.24        2009.08.15        -
AhnLab-V3        5.0.0.2        2009.08.15        -
AntiVir        7.9.1.1        2009.08.14        -
Antiy-AVL        2.0.3.7        2009.08.14        -
Authentium        5.1.2.4        2009.08.14        -
Avast        4.8.1335.0        2009.08.14        -
AVG        8.5.0.406        2009.08.15        -
BitDefender        7.2        2009.08.15        -
CAT-QuickHeal        10.00        2009.08.13        -
ClamAV        0.94.1        2009.08.15        -
Comodo        1979        2009.08.15        -
DrWeb        5.0.0.12182        2009.08.15        -
eSafe        7.0.17.0        2009.08.13        -
eTrust-Vet        31.6.6678        2009.08.14        -
F-Prot        4.4.4.56        2009.08.14        -
F-Secure        8.0.14470.0        2009.08.15        -
Fortinet        3.120.0.0        2009.08.15        -
GData        19        2009.08.15        -
Ikarus        T3.1.1.64.0        2009.08.15        -
Jiangmin        11.0.800        2009.08.15        -
K7AntiVirus        7.10.819        2009.08.14        -
Kaspersky        7.0.0.125        2009.08.15        -
McAfee        5710        2009.08.15        Generic!atr.b
McAfee+Artemis        5710        2009.08.15        Generic!atr.b
McAfee-GW-Edition        6.8.5        2009.08.15        -
Microsoft        1.4903        2009.08.15        -
NOD32        4337        2009.08.15        -
Norman        6.01.09        2009.08.14        -
nProtect        2009.1.8.0        2009.08.15        -
Panda        10.0.0.14        2009.08.15        -
PCTools        4.4.2.0        2009.08.15        -
Prevx        3.0        2009.08.15        -
Rising        21.42.52.00        2009.08.15        -
Sophos        4.44.0        2009.08.15        -
Sunbelt        3.2.1858.2        2009.08.15        -
Symantec        1.4.4.12        2009.08.15        -
TheHacker        6.3.4.3.383        2009.08.13        -
TrendMicro        8.950.0.1094        2009.08.14        -
VBA32        3.12.10.9        2009.08.15        -
ViRobot        2009.8.14.1885        2009.08.14        -
VirusBuster        4.6.5.0        2009.08.15        -
weitere Informationen
File size: 41 bytes
MD5...: 533600750a4a57cb78bd5864cc3774fb
SHA1..: 986b1f7c28b3e0a101a982a86ab787d40fa6d67a
SHA256: e863f3bcaa0eb12d07d4e38a3407df44c6ae8bce38b7baf2349dbfcbff97f98a
ssdeep: 3:It1KVkJy0D+:e1KkyD
PEiD..: -
TrID..: File type identification
Autorun.inf file (91.6%)
Generic INI configuration (8.3%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Meint Ihr das ist bedenklich?

Hier auch noch ein Hijackthis logfile

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:27, on 15.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
C:\PROGRA~1\WinTV\TVServer\HAUPPA~1.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
C:\Programme\Fisher-Price\DACS\MiniApp\DACSMiniApp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinTV\WinTV7\WinTVTray.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data\totalcare\avkkid\avkcks.exe
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DACSMiniApp] C:\Programme\Fisher-Price\DACS\MiniApp\DACSMiniApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WinTV Recording Status..lnk = C:\Programme\WinTV\WinTV7\WinTVTray.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1247241307301
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248599606859
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
O23 - Service: G Data Backup Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe
O23 - Service: G Data Tuner Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\TVServer\HAUPPA~1.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5225 bytes
Bin für jede Hilfe dankbar.

raman 15.08.2009 18:42
Die Autorun.inf ist uninteressant, interessant ist das, was diese Autorun.inf startet. Oeffne die Datei mit Notepad oder einem anderen Texteditor und poste den Inhalt hier

WinstonWolf 15.08.2009 18:49
Hy,
Das ist der Inhalt:


[autorun]
open=avira.exe
icon=avira.ico

raman 15.08.2009 18:59
Da ich nicht davon ausgehe, das die Datei irgendwas mit Avira zu tun hat, suche auf dem USB Stick nach der Datei avira.exe und teste sie bei virustotal.com und poste den Link zum Ergebniss.
Es kann sein, das du den Explorer so einstellen musst, damit du die Datei sehen kannst.
http://www.trojaner-board.de/59624-a...-sichtbar.html

WinstonWolf 15.08.2009 19:06
Also,

Ich habe zufällig noch die Anleitung von diesem Stick gefunden.
Laut Hersteller ist Avira Antivir auf dem Stick vorinstalliert.
Dann dürfte wohl doch alles in Ordnung sein, oder?

Danke WW

klaus1960 15.08.2009 19:39
Davon kann man ausgehen.

raman 15.08.2009 19:51
Moeglich, dennoch wuerde ich zur Sicherheit die Datei bei virustotal pruefen lassen!

WinstonWolf 16.08.2009 08:26
Hallo und guten Morgen,

Ich habe den Explorer wie beschrieben eingestellt,aber ich finde die Avira.exe nicht.Vielleicht hab ich sie irgendwann mal gelöscht.
Es gibt nur noch eine Avira.APC.ICO
Ich habe den Stick mal mit GDATA gescannt.

Code:
Virenprüfung mit G Data AntiVirus
Version 20.0.5.10 (22.06.2009)
Virensignaturen vom 16.08.2009
Startzeit: 16.08.2009 09:23:08
Engine(s): Engine A (AVA 19.7066), Engine B (AVB 19.440)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Aus

Prüfung der Systembereiche...
Prüfung folgender Verzeichnisse und Dateien:
  G:\


Analyse vollständig durchgeführt: 16.08.2009 09:23:37
    13 Dateien überprüft
    0 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden
Meinst du das ist ok?

raman 16.08.2009 08:28
Wenn die Datei nicht mehr da ist, reicht es, die inf Datei zu loeschen...

WinstonWolf 16.08.2009 09:15
Ich danke dir vielmals.Ich werd sie einfach löschen.
Ich hätte noch eine kurze Frage:
Ist dir an dem Hijackthis Log irgendwas aufgefallen was man besser machen könnte?Ich hab ehrlich gesagt relativ wenig Ahnung in diesen Dingen.

Danke WW

raman 16.08.2009 09:22
Das sieht sauber und aufgeraeumt aus. Mehr waere in meinen Augen unnoetig...
Wichtig ist eher, das man alle Treiber, Software und Betriebssystem auf dem neusten Stand haelt...

WinstonWolf 16.08.2009 09:28
Ok.Das ist gut zu wissen.
Ich prüfe ziemlich regelmäßig mit dem Filehippo.com Updatechecker (der leistet gute Dienste,finde ich),und auf Secunia.com.

Ich danke dir vielmals, das du dir Zeit für mich genommen hast,und wünsche noch einen schönen Sonntag.

Vielen Dank WW


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131