Worm.Win32

Sehr geehrte Damen und Herren,

ich habe ein Problem.
Auf meinem USB-Stick sind seit gestern anscheinend ein oder sogar 2 Viren. Kaspersky meldete folgendes:

„Infiziert: Virus Worm.Win32.AutoRun.dui F:\Autorun.inf 274 Bytes“ (steht auf der Karteikarte „Backup“),

sowie:

„nicht gefunden: Virus Worm.Win32.AutoRun.dui Datei: F:\Autorun.inf
nicht gefunden: trojanisches Programm Trojan-Downloader.Win32.Agent.pdl Datei: F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe//PE_Patch.PNH//PE-Crypt.PNH“ (steht auf der Karteikarte „Gefunden“).

F ist mein USB-Laufwerk, und jedes mal, wenn ich den Stick in das USB-Laufwerk stecke, meldet sich Kaspersky mit der Virenwarnung. Als ich das erste mal diese Warnung erhielt, habe ich den Stick gleich wieder entfernt und den PC bzw. das, was er mir links unten angezeigt hat, desinfiziert. Danach waren alle Schädlinge neutralisiert. Aber die oben genannten Meldungen sind weiterhin in Kaspersky zu finden.

Damit ist aber noch nicht das Problem gelöst. Ich habe nach der Datei „F:\Autorun.inf“ gesucht, aber anscheinend existiert die gar nicht. Außerdem steht in der Virenwarnung von Kaspersky, dass die Datei wohl schreibgeschützt ist; jedenfalls fehlen mir die Rechte zum Schreiben. Aber wie kann das sein, wenn die Datei gar nicht existiert?

Ich habe dann einfach alle Dateien mit dem Namen „autorun.inf“ auf dem gesamten PC suchen und auflisten lassen; alle sind virenfrei - ich habe sie alle mit Kaspersky überprüfen lassen. Und auf F existiert keine Datei mit diesem Namen. Jedenfalls habe ich keine gefunden. Und trotzdem kommt immer diese Warnung; sobald ich den Stick an das USB-Laufwerk anschließe.

Diese Meldung kommt immer: „gefunden: Virus Worm.Win32.AutoRun.dui Datei: F:\Autorun.inf“. Und ich kann auch nicht desinfizieren, solange noch der Stick im Laufwerk ist. Erst wenn ich ihn entferne, kann ich desinfizieren.

Was soll ich tun? Können Sie mir einen Rat geben? Ich brauche dringend Rat, da ich am 3.8. für 11 Wochen nach Helsinki in ein Praktikum fliege und den Rechner, und eigentlich auch den Stick, mitnehmen will. Gut, den Stick könnte ich hier lassen und mir einen neuen kaufen, aber die Dateien auf dem Stick sind ja dann auch weg. Und die brauche ich ja.

Können Sie mir einen Rat geben, was ich tun kann, um den Stick wieder virenfrei zu bekommen?

Mit freundlichen Grüßen
Birgit Becker

Können Sie mir einen Rat geben, was ich tun kann, um den Stick
wieder virenfrei zu bekommen?

Schließ doch erstmal den Stick nochmal an deinen PC an und kopier erstmal alle Daten runter und brenn sie auf CD, egal was dein Kapersky sagt. Dann hast du die Daten vom Stick ja erstmal gesichert. Danach formatierst du den Stick neu. Alternativ oder sogar besser machst du das an nem anderen PC, der natürlich nen aktuellen Virenscanner drauf haben sollte und Autostart für USB-Sticks deaktiviert haben sollte zur Sicherheit. Oder du bootest deinen Rechner gleich von z.B. ner Linux-LiveCD und sicherst die Daten dort weg. Auf jeden Fall erstmal die Daten sichern und den Stick formatieren.

Wenn die Meldung dann immer noch kommt, dann ist - wie ich eigentlich vermute - in erster Linie dein PC infiziert. Ich denke mal dass sich ein oder mehrere Viren/Würmer/Trojaner auf deinem System richtig tief festgesetzt haben und sich vor deinem Kapersky ohne Probleme verstecken können. Jedes mal wenn du einen USB-Stick anschließt, dann versucht er diesen zu infizieren, vergisst aber, dies auch vor dem Virenscanner zu verstecken. Deshalb meldet dann dein Kapersky jedes mal wenn du einen USB-Stick anschließt versucht, dass da ne infizierte Datei drauf ist.

Wenn das der Fall ist, dann kannst du dich gleich mal seelisch drauf einstellen deinen Rechner neu aufzusetzen. Und in Zukunft würde ich Sicherheitskopien machen. Was tust du denn wenn dein Stick kaputt geht, weil er dir runter fällt oder sonstwas passiert? Dann sind die Daten da drauf auch futsch. Wenn das halbwegs wichtige Daten für dich sind, dann ist es leichtsinnig und grob fahrlässig, wenn du davon kein Backup hast…

Hallo Fr.Becker,

ich verweise hiemit freundlichst auf diesen Post:

/t/komische-meldung-von-antivir/4712945/3

indem erklärt wird wie Dateien die von Windows vor Benutzern versteckt werden für den Benutzer sichtbar und somit löschbar werden! Wichtig!
Ihr Laufwerk und wie von deconstruct angemerkt auch ihr Rechner sind mit großer Wahrscheinlichkeit verseucht, daher empfiehlt sich diesen Rechner nicht mehr ans Internet anzuschließen oder andere „saubere“ Medien USB Sticks, USB Festplatten, etc. an diesen!

Machen Sie ein Backup ihrer wichtigen pers. Dateien die nicht verseucht sind wie vorgeschlagen auf CD/DVD aber noch auf dem wahrscheinlich verseuchten Rechner (um keine sauberen Rechner mit dem USB-Stick zu infizieren) und lassen sie die gebrannte CD/DVD von verschiedenen Virenscannern überprüfen z.b wie ebenfalls vorgeschlagen mit einer Linux-Boot-CD oder mit einer Rettungs CD (Link weiter unten angeführt) damit sie sicher sein können das ihre pers. Daten sauber sind. Mit dieser Rettungs CD können sie auch ihr gesamtes System auf Schädlingen überprüfen was sie auch tun sollten bevor sie überhaupt an das Neuaufspielen von Windows denken.Denn die Neuinstallation von Windows, der ganzen Treiber sowie der zum Arbeitsgebrauch benötigten Programme ist ja schließlich kein Kinderspiel und vorallem sehr zeitintensiv! Daher die Neuaufspielung von Windows bitte erst als letzte Möglichkeit sehen!

Download und Info zur Rettungs CD unter diesem Link:

http://avira-antivir-rescue-system.softonic.de/

Ich hoffe Ihnen hiemit weitergeholfen zu haben

und verbleibe

mfg.

maxi

Sei nicht so frech, das nutzt niemandem.
Offensichtlich hat die Birgit noch weniger Ahnung als du.

Und ich bin auch nicht der Spezialist für infizierte PC, deshalb schreibe ich auch keine vermeintliche „Lösung für alle Fälle“.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Sehr geehrte Damen und Herren,

ich habe ein Problem.
Auf meinem USB-Stick sind seit gestern anscheinend ein oder
sogar 2 Viren.:

1. lade dir hier http://www.free-av.de/de/download/1/download_avira_a… ( Basisversion ) mal Antivir runter und installiere es
   schalte Kaspersky ab und mach einen vollständigen Virenscan mit AV Antivir - findet meist mehr als McAffe und Kasperlsky

2. hol dir hier http://www.chip.de/downloads/HijackThis_13011934.html das Programm HijackThis - eine Anleitung für das Programm ist hier http://www.trojaner-board.de/51130-anleitung-hijackt… - du erstellst ein Log File und lässt es hier prüfen http://www.hijackthis.de/de - dann weißt Du schon mal mehr was so auf deinem Rechner ist ( du kannst das LogFile auch hier posten und ich schau dann mal )

3. Autorun.inf - http://de.wikipedia.org/wiki/Autorun

Wenn Du Pech hast musst du deinen Rechner neu aufsetzen…

Hab leider grad wenig Zeit - aber wenn Du mehr weißt gib Bescheid, ich schau, wenn ich es schaffe, heute ( bestimmt aber morgen Vormittag ) wieder hier vorbei.

mfg

Tanima

Wenn der Rechner bereits befallen ist, dann bringt es wenig, noch mit Virenscanner oder HijackThis zu scannen, während das infizierte System läuft.
Eine halbwegs brauchbare Analyse kriegst du nur wenn du da System in nicht laufendem Zustand scannst, z.B. mit einer Boot-CD mit Virenscanner. Gibts von Avira z.B. auch zum kostenfreien Download.

Sei nicht so frech, das nutzt niemandem.
Offensichtlich hat die Birgit noch weniger Ahnung als du.

Ich glaub ich hab´mich verlesen ?.. warte nein da steht ja wirklich „frech“. Was heißt da bitte frech? Ich glaub Dir ist die Definition diese Wortes nicht bekannt. Das die Birgit in diesem Bereich weniger Ahnung hat als ich mag sein denn sonst hätte sie wohl keinen Post verfasst oder seh ich das anders?

Außerdem bezieh ich mich mit diesem Link

/t/komische-meldung-von-antivir/4712945/3

lediglich auf das Entfernen der vermeintlich infizierten Datei.

les dir bitte meinen Post nochmals genau durch!

lg

maxi

Sei nicht so frech, das nutzt niemandem.
Offensichtlich hat die Birgit noch weniger Ahnung als du.

Und ich bin auch nicht der Spezialist für infizierte PC,
deshalb schreibe ich auch keine vermeintliche „Lösung für alle
Fälle“.

Und außerdem, wie soll ihr denn dein Post weiterhelfen???
Ich glaub´der nutzt ihr noch weniger.

maxi

Wenn der Rechner bereits befallen ist, dann bringt es wenig,
noch mit Virenscanner oder HijackThis zu scannen, während das
infizierte System läuft.

Beim einem Virenscanner geb´ich Dir zum Teil Recht aber ich hab besser einen minimalen Schutz als gar keinen!

Bei HijackThis liegst du falsch denn gerade diese tool ist für eine Analyse bei laufendem System geeignet! Nebenbei gibt´s ja noch den „Abgesicherten Modus“!

Eine halbwegs brauchbare Analyse kriegst du nur wenn du da
System in nicht laufendem Zustand scannst, z.B. mit einer
Boot-CD mit Virenscanner.

Meinen Post bitte genau lesen!!!

Download und Info zur Rettungs CD unter diesem Link:

http://avira-antivir-rescue-system.so…

Außerdem glaub ich das die unter diesem Link gepostete Anleitung wenn sie Schritt für Schritt abgearbeitet wird keine Hürde darstellen sollte!

/t/komische-meldung-von-antivir/4712945/3

lg.

maxi

Beim einem Virenscanner geb´ich Dir zum Teil Recht aber ich
hab besser einen minimalen Schutz als gar keinen!

Bei HijackThis liegst du falsch denn gerade diese tool ist für
eine Analyse bei laufendem System geeignet! Nebenbei gibt´s ja
noch den „Abgesicherten Modus“!

Und wieso sollte ein halbwegs intelligenter Trojaner kein Rootkit nachgeladen haben, das in keinem deiner tollen HijackThis-Logs auftauchen wird? Auch der abgesicherte Modus bringt dir da nicht viel.

HijackThis ist ein Kinderspielzeug um die dumme Malware zu finden, die initial deinen Rechner befallen hat. Es ist aber ungeeignet die Malware zu finden, die von diesem Trojaner dann nachgeladen wurde.

Und wieso sollte ein halbwegs intelligenter Trojaner kein
Rootkit nachgeladen haben, das in keinem deiner tollen
HijackThis-Logs auftauchen wird?

I.d.R. sollte man seinen Rechner eh platt machen und neu aufsetzen wenn man Schädlinge drauf hat - soviel vorne weg.

Ich habe auch nicht behauptet, dass man mit AV und HijackThis den Rechner retten kann, sondern wollte nur Wissen was AV an Viren findet und wie das System von Birgit aufgesetzt ist. HijackThis mag für Dich vielleicht Kinderspielzeug sein, hat aber den Vorteil, dass es daher auch kinderleicht zu bedienen und zu verstehen ist.

Bevor Du allerdings dazu übergehst Rootkits zu entfernen ( mit z.B.
http://www.pcwelt.de/downloads/datenschutz/sicherhei… oder http://www.chip.de/downloads/Rootkit-Unhooker-3.7_21… ) sollteste Du m.E. erstmal den Virus finden und entfernen.

Übrigens finde ich deine Tips zur Problemlösung sehr gut…äh Moment, sorry…ich seh grad gar keine Tips von Dir…außer eine Boot-CD zu erstellen…hmmm - wäre gut zu Wissen ob Sie weiß was Du meinst…
Nix für Ungut

mfg

Tanima

Sinn von HijackThis

Ich habe auch nicht behauptet, dass man mit AV und HijackThis
den Rechner retten kann, sondern wollte nur Wissen was AV an
Viren findet und wie das System von Birgit aufgesetzt ist.

Die Sache ist doch die:
Selbst wenn HijackThis nichts findet, heißt das noch lange nicht, dass der Rechner nicht kompromittiert wurde. Halbwegs sicher findest du das nur durch Scannen von ner Boot-CD raus.

HijackThis mag für Dich vielleicht Kinderspielzeug sein, hat
aber den Vorteil, dass es daher auch kinderleicht zu bedienen
und zu verstehen ist.

Nein, ist es nicht. Ein normaler Nutzer kann mit dem HijackThis Log überhaupt nichts anfangen und auf die Bewertungen der Prozesse durch Nutzer auf den diversen Auswertungsseiten würde ich auch nicht viel geben:

C:\WINDOWS\System32\svchost.exe
Art: Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

Super… Mit Svchost kann ich jeden beliebigen Dienst laufen lassen. Auch einen der ein Schadprogramm ist. Die Einstufung als „Sehr sicher“ ist letzlich ein schlechter Witz. Genau wie der Rest:

Genauso kann sich hinter
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
auch ein Virus verstecken und nicht der Java Updatedienst.

Aus dem Pfad einer Datei kann ich so gut wie gar nichts schließen, da Malware üblicherweise nicht als „C:\Malware\BöserProgrammierer\MeinTrojaner“ installiert wird.

Welche Information kriegst du also wirklich von dem HijackThis-Log, selbst wenn du Ahnung hast??

Bevor Du allerdings dazu übergehst Rootkits zu entfernen ( mit
z.B.
http://www.pcwelt.de/downloads/datenschutz/sicherhei…
oder
http://www.chip.de/downloads/Rootkit-Unhooker-3.7_21…
) sollteste Du m.E. erstmal den Virus finden und entfernen.

a)
Wozu bitte? Wenn ich ein Rootkit drauf hab, dann muss ich meinen Rechner so und so platt machen? Mir erschließt sich der Sinn nicht, wozu ich mir dann vorher überhaupt die Mühe machen sollte zu versuchen ein Rootkit zu entfernen…
b)
Rootkits zu entfernen ist in vielen Fällen gar nicht möglich. Es gibt Rootkits die schieben dein ganzes Betriebssystem in ne virtuelle Maschine. Aus dem laufenden System heraus kannst du sowas prinzipiell nicht mehr entfernen.

Übrigens finde ich deine Tips zur Problemlösung sehr
gut…äh Moment, sorry…ich seh grad gar keine
Tips von Dir…außer eine Boot-CD zu
erstellen…

Einen ausführlichen Tipp zur Boot-CD hat Max bereits gegeben. Wozu das nochmal wiederholen, v.a. wenn noch nicht mal eine einzige Antwort vom OP kam?

Du meinst…
Nix für Ungut

Das hier ist ein IT-Security Forum. Es geht mir hier nur darum, dass hier nicht Halbwahrheiten oder gar Unsinn verbreitet wird. Zu diesem Thema wird schon genug Unfug von den Herstellern und Vermarktern diverser „Sicherheitssoftware“ erzählt, und z.T. sogar in PC-Zeitschriften mehr oder weniger unreflektiert weiter verbreitet.

Ich habe auch nicht behauptet, dass man mit AV und HijackThis
den Rechner retten kann, sondern wollte nur Wissen was AV an
Viren findet und wie das System von Birgit aufgesetzt ist.

Die Sache ist doch die:
Selbst wenn HijackThis nichts findet, heißt das noch lange
nicht, dass der Rechner nicht kompromittiert wurde. Halbwegs
sicher findest du das nur durch Scannen von ner Boot-CD raus.

HijackThis mag für Dich vielleicht Kinderspielzeug sein, hat
aber den Vorteil, dass es daher auch kinderleicht zu bedienen
und zu verstehen ist.

Nein, ist es nicht. Ein normaler Nutzer kann mit dem
HijackThis Log überhaupt nichts anfangen
und auf die Bewertungen der Prozesse durch Nutzer auf den
diversen Auswertungsseiten würde ich auch nicht viel geben:

C:\WINDOWS\System32\svchost.exe
Art: Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut
eingestuft.

schon mal sowas gelesen bei HJT - Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Dieser Dienst (svchost.exe) scheint schädlich zu sein.
Prozess läuft nicht im System32 Ordner!

Super… Mit Svchost kann ich jeden beliebigen Dienst laufen
lassen. Auch einen der ein Schadprogramm ist. Die Einstufung
als „Sehr sicher“ ist letzlich ein schlechter Witz. Genau wie
der Rest:

da Malware üblicherweise nicht als
„C:\Malware\BöserProgrammierer\MeinTrojaner“ installiert wird.

echt ?

Welche Information kriegst du also wirklich von dem
HijackThis-Log, selbst wenn du Ahnung hast??

deshalb meinte ich ja Sie kann es auch hier posten.

Bevor Du allerdings dazu übergehst Rootkits zu entfernen ( mit
z.B.
http://www.pcwelt.de/downloads/datenschutz/sicherhei…
oder
http://www.chip.de/downloads/Rootkit-Unhooker-3.7_21…
) sollteste Du m.E. erstmal den Virus finden und entfernen.

a)
Wozu bitte? Wenn ich ein Rootkit drauf hab, dann muss ich
meinen Rechner so und so platt machen? Mir erschließt sich der
Sinn nicht, wozu ich mir dann vorher überhaupt die Mühe machen
sollte zu versuchen ein Rootkit zu entfernen…
b)
Rootkits zu entfernen ist in vielen Fällen gar nicht möglich.
Es gibt Rootkits die schieben dein ganzes Betriebssystem in ne
virtuelle Maschine. Aus dem laufenden System heraus kannst du
sowas prinzipiell nicht mehr entfernen.

In vielen Fällen nicht - in wenigen schon.

Es geht mir hier nur
darum, dass hier nicht Halbwahrheiten oder gar Unsinn
verbreitet wird.

Hab ich das ? - meine ich nicht
Da ich schon öfters Viren etc. hatte ( sag aber nicht warum ) glaub ich kenne ich mich schon ein bischen aus - und wie ich bereits 2x gesagt habe ist im Falle einer Verseuchung des PC die beste Wahl immer noch den PC platt zumachen und neu aufzusetzen.

Da aber wie Du richtig bemerkt hast bisher keine Antwort kam lassen wir es erst mal gut sein

mfg

Tanima

schon mal sowas gelesen bei HJT - Der angebliche Systemprozess
läuft nicht im System32 Ordner und ist deshalb als schädlich
einzustufen. Dieser Dienst (svchost.exe) scheint schädlich zu
sein.
Prozess läuft nicht im System32 Ordner!

Nochmal von vorne:
SvcHost ist ein Programm, das DLLs ermöglicht, bestimmte Funktionen als Dienst anzubieten.

Die svchost.exe kann ruhig im System32 Ordern laufen, deswegen kann der Prozess der dahinter steckt trotzdem böse sein. Die SvcHost muss dazu nicht mal manipuliert werden, die bietet einfach DLLs die Möglichkeit als Dienst zu agieren. Ob der Dienst dabei gut oder böse ist, das ist der svchost.exe vollkommen egal.
SvcHost selbst ist deshalb NICHT das eigentliche Programm, welche ausgeführt wird, sondern das eigentliche Programm kann z.B. c:\programme\irgenwas\malware.dll sein. Das siehst du nur nicht.

Deshalb KANN HijackThis mit der Information des Logs überhaupt nichts darüber aussagen, ob der SVCHost-Prozess gut oder böse ist, weil nicht ersichtlich ist, welche DLL dahinter steckt.

Welche Information kriegst du also wirklich von dem
HijackThis-Log, selbst wenn du Ahnung hast??

deshalb meinte ich ja Sie kann es auch hier posten.

Ich wollte wissen, was DU mit dieser Information anfangen kannst, ob das nun ein Virus/Trojaner ist:

C:\WINDOWS\System32\svchost.exe
Art: Sehr sicher
Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.

Kannst du das oder kannst du es nicht einstufen?
Wenn du es nicht kannst: Wozu das ganze?

Es geht mir hier nur
darum, dass hier nicht Halbwahrheiten oder gar Unsinn
verbreitet wird.

Hab ich das ? - meine ich nicht

Ja, hast du. Du ruderst nur immer erst zurück, wenn ich dir ein Argument gebracht habe.

Da ich schon öfters Viren etc. hatte ( sag aber nicht warum
) glaub ich kenne ich mich schon ein bischen aus - und

Es ist keine Auszeichnung oder Qualifikation , wenn man viele Viren hatte. Damit wären die meisten DAUs die besten Virenexperten, die haben nämlich auch regelmäßig Viren.

wie ich bereits 2x gesagt habe ist im Falle einer Verseuchung
des PC die beste Wahl immer noch den PC platt zumachen und neu
aufzusetzen.

Das habe ich schon bemerkt. Ändert aber nicht am Rest deiner Ausführungen in Bezug auf den Nutzen von Tools wie HijackThis.