Hallo Leute,

Ich bin langsam echt am verzweifeln. Ich hab mir da einen verdammt blöden Trojaner eingefangen, den ich einfach nicht wegbringe. Natürlich habe ich gegoogelt. Trotzdem konnte ich mein Problem nicht lösen. Ihr seid meine letzte Hoffnung :frown:

Immer wenn ich ein USB Stick, IPod, externe HD usw einstecke, meldet mir mein Antivirus, dass ich einen Trojaner habe: E:\autorun.inf. Ich hab gelesen, dass er jedes Gerät auch ansteckt, welches ich an meinen PC anstecke.

Ich hab da ein kleines Tool gefunden, welches genau diesen Trojaner eliminiert. Leider funktioniert es unter Windows 7 nicht... :(

Muss ich jetzt wirklich meinen Rechner neu installieren?? Ich hoffe nicht :frown:

Ich habe auch andere Tools versucht, Ipod, USB Sticks usw neu formatiert usw.. bringt alles nix. Schreibt sich sofort wieder neu.

Ich hoffe, jemand kann mir so schnell wie möglich helfen. Freue mich auf jeden Rat.

Danke:redface:

€: Es ist kein Trojaner, sondern ein Wurm

per hand entfernen.
dazu abgesicherten modus probieren, oder per knoppix/knoppicillin booten.

ich seh grad es gibt jetzt was neues, nennt sich desinfec't

http://www.heise.de/software/download/desinfect/71642

hallo x-force,

vielen Dank für deine Hilfe.
Ich werde es versuchen, sobald ich zuhause bin.

Ich habe es versucht auf der externen Festplatte über cmd zu löschen. Es wurde auch gelöscht. Aber sobald ich sie wieder an den Computer anstecke, ist er wieder da.

Was meinst du, wie soll ich die Festplatten und USB Sticks davon Befreien? Auch im Knoppix einstecken und versuchen über das zu löschen?

Wenn du weißt, was es ist, schreibs hin. Das Ding scheint ja immer wieder dein Laufwerk zu befallen und ohne Namen kann dir keiner konkrete Hilfe geben.

Ich tippe ja auf Conficker.

Win7 führt die Autorun auf USB-Sticks doch gar nicht mehr aus.

Wenn du weißt, was es ist, schreibs hin. Das Ding scheint ja immer wieder dein Laufwerk zu befallen und ohne Namen kann dir keiner konkrete Hilfe geben.

Ich tippe ja auf Conficker.

wie kann ich den namen sehen?
meine antivirus software bezeichnet es als "autostart.inf"

wenn ich auf der festplatte die versteckten ordner und dateien anzeigen lasse, dann sehe ich das file auch.

gruss

Win7 führt die Autorun auf USB-Sticks doch gar nicht mehr aus.
Heisst das, dass der Wurm gar nichts anstellen kann, obwohl er angezeigt wird?

Heisst das, dass der Wurm gar nichts anstellen kann, obwohl er angezeigt wird?Über die Autostart funktion jedenfalls nicht.
Aber es gibt ja noch andere Lücken, wo man nur auf den Stick drauf gucken muss.
http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS10-046.mspx

ok danke :)

kennt sich jemand mit diesen HiJackThis aus? wenn ja, dann kann ich die log datei gerne posten... vielleichts hilfts:frown:

Es gibt zwei Möglichkeiten:

Mit Hilfe eines anderen Computers:
- Laufwerk ausbauen und an einen anderen, sauberen Rechner anschließen
- Virusscann durchlaufen lassen
- fertig

Ohne einen anderen Computer:
- RKill runterladen: http://www.bleepingcomputer.com/forums/topic308364.html
- Virusscan durchlaufen lassen
- fertig


Sofern dein Computer selbstständig auf "sauberen" Wechseldatenträgern eine autorun.inf erstellt, dann ist dein Computer bereits infiziert. Wenn nicht, dann ist alles OK.

Es gibt zwei Möglichkeiten:

Mit Hilfe eines anderen Computers:
- Laufwerk ausbauen und an einen anderen, sauberen Rechner anschließen
- Virusscann durchlaufen lassen
- fertig

Ohne einen anderen Computer:
- RKill runterladen: http://www.bleepingcomputer.com/forums/topic308364.html
- Virusscan durchlaufen lassen
- fertig


Sofern dein Computer selbstständig auf "sauberen" Wechseldatenträgern eine autorun.inf erstellt, dann ist dein Computer bereits infiziert. Wenn nicht, dann ist alles OK.

Wenn ich das Laufwerk ausbaue und an einen anderen rechner anschliesse, dann wird der auch infiziert. :frown:

Ich habe von einem bekannten das programm desinfec't bekommen. Mal schauen ob es das bringt. RKill werde ich auch noch versuchen.

vielen Dank für eure Hilfe

wie kann ich den namen sehen?
meine antivirus software bezeichnet es als "autostart.ini"

:|
Das ändert alles. Ok, jagen wir etwas, was wir nicht kennen. :|

Hijackthis zu verstehen ist nicht schwer, hilft dir aber in deinem Fall vermutlich nicht weiter. Aber poste mal die Log.
Ansonsten mal den Virenscanner nennen, den du nutzt. In dem Thread hier fehlts eindeutig an Fakten.

:|
Das ändert alles. Ok, jagen wir etwas, was wir nicht kennen. :|

Hijackthis zu verstehen ist nicht schwer, hilft dir aber in deinem Fall vermutlich nicht weiter. Aber poste mal die Log.
Ansonsten mal den Virenscanner nennen, den du nutzt. In dem Thread hier fehlts eindeutig an Fakten.

sobald desinfec't fertig ist, poste ich die Log Datei von Hijackthis.

Ich nutze Avast Antivirus.

Wenn ich das Laufwerk ausbaue und an einen anderen rechner anschliesse, dann wird der auch infiziert. :frown:




Nein. Solange der Rechner ein aktuellen Virenschutz hat und nicht versucht das Laufwerk automatisch zu öffnen passiert da nichts.


Das Probem ist doch: Wenn dein Rechner infiziert ist, dann kannste auch Antivirenprogrammen keinen glauben mehr schenken, denn diese könnten kompromitiert sein. RKill versucht bekannte Malwareprogramme zu beenden, danach kann man versuchen einen Virenscan durchzuführen.


Das Sicherste ist jedoch immernoch die Festplatte "extern" zu bearbeiten.

Nein. Solange der Rechner ein aktuellen Virenschutz hat und nicht versucht das Laufwerk automatisch zu öffnen passiert da nichts.


Das Probem ist doch: Wenn dein Rechner infiziert ist, dann kannste auch Antivirenprogrammen keinen glauben mehr schenken, denn diese könnten kompromitiert sein. RKill versucht bekannte Malwareprogramme zu beenden, danach kann man versuchen einen Virenscan durchzuführen.


Das Sicherste ist jedoch immernoch die Festplatte "extern" zu bearbeiten.

Ahso, ich habe schon gedacht, was das Programm RKill macht. geht 2 Sekunden und dann kommt nur noch ein Log.

Wie meinst du das mit extern bearbeiten? Ich schliesse sie nach dem desinfect am desktop pc an. mal schauen ob er da etwas findet, oder evtl auch schon infiziert ist -.-

Angenommen ein Virus nistet sich in Systemdateien ein, dann startet er potentiell auch gleich beim Windowsstart mit und "versteckt" sich dann.

Wenn man die Festplatte an einen anderen Rechner anschliest und von dessen primären Festplatte startet (also nicht von der Infizierten) dann kann der Virus erstmal nichts machen, er wird ja nicht gestartet.

Das scheiss ding hatte ich auch. Eingefagen in der Schule und alle meine externen Datenträger (zum Glück nicht die ext. Platte) mitgefangen.

Lösung: Antivir Free Installiert und alle externen Medien Formatiert.

Seitdem Ruhe :)

Ist das blödeste Teil was ich mir je eingefangen habe... nervt nur... :freak:

Ok, hab die Festplatte nun an meinen Desktop PC angeschlossen. Avast hat da was gefunden und gelöscht (mscdll.exe).

jetzt mal schauen, ob es beim laptop nochmal kommt..

ist echt nervig, fat dogg. :frown:

Zum Immunisieren einfach einen Ordner namens "autorun.inf" im Hauptverzeichnis des Usb Sticks erstellen, danach können die meisten dieser Viren keine autorun.inf mehr schreiben ;)

(Kein Scherz, es funktioniert)

einen Ordner? Oder eine Editor Datei?

Wenn ich diese mache, heisst sie autorun.inf.txt. Wie bring ich sie dazu, dass sie wirklich zu einer inf datei wird?

Einen Ordner mit dem Namen "autorun.inf"

http://1.bp.blogspot.com/_7P2GQF2GLmo/S-ExGwm-ZrI/AAAAAAAAAMA/O1dlMjCVuuE/s1600/autorun.jpg

Jag das mal drüber (BootCD):
http://www.free-av.com/de/tools/12/avira_antivir_rescue_system.html

Einen Ordner mit dem Namen "autorun.inf"

http://1.bp.blogspot.com/_7P2GQF2GLmo/S-ExGwm-ZrI/AAAAAAAAAMA/O1dlMjCVuuE/s1600/autorun.jpg

hehe, ok verstehe :redface:
Vielen Dank.

Ich will nicht zu viel sagen, aber ich glaube, dass ich das das Monster vertrieben habe. Hab wie geschrieben Desinfec't drüber laufen lassen (Laptop).

auf dem Desktop PC habe ich AutorunEater installiert, sodass es den nicht angreiffen kann und dann die externen Geräte (Ipod, HDD, USB Stick) angeschlossen und Avast 5.0 drüber laufen lassen. Hat überall Viren gefunden und beseitigt.

Danach habe ich die Geräte am Laptop angestöpselt und voila. Keine Meldung mehr. Nun habe ich versteckte Autorun.inf Ordner zur Absicherung erstellt, mit der Hoffnung dass das nicht mehr vorkommt. Sollte das Problem trotzdem auftauchen, melde ich mich wieder :)

Vielen Dank für eure Hilfe!

Ich kann mir echt nicht vorstellen, dass diese Würmer keinen Löschbefehl haben. Aber ok, hab so ein Mistding nicht zur Hand, ums zu testen.

Die Hijackthis Log fehlt immer noch, aber ok, ist kein muss..

Ich kann mir echt nicht vorstellen, dass diese Würmer keinen Löschbefehl haben. Aber ok, hab so ein Mistding nicht zur Hand, ums zu testen.

Die Hijackthis Log fehlt immer noch, aber ok, ist kein muss..

Ich poste dir den Hijackthis Log noch. Vielleicht kannst du daraus noch etwas auslesen.

Gruss

Zum Immunisieren einfach einen Ordner namens "autorun.inf" im Hauptverzeichnis des Usb Sticks erstellen, danach können die meisten dieser Viren keine autorun.inf mehr schreiben ;)

(Kein Scherz, es funktioniert)Geile Idee zum "immunisieren", gefällt mir. :D :up:

MfG
Rooter