Hallo,

habe gestern einen Stick vom Kollegen an meinen PC gehabt und vorsichtshalber vor dem öffnen mal gescannt.

Folgende Dateien werden als Virus/Trojaner erkannt.

autorun.inf Generic! atr
desktop.exe W32/Autorun

habe den Stick wieder entfernt und meinen PC gescannt, alles ohne Fund.
Habe nochmal zur Sicherheit Hyjack drüberlaufen lassen und kann da aber auch nix feststellen. Scan hänge ich an.

Vielleicht schaut ja mal einer drüber der sich da besser auskennt

Meine Frage wäre noch, kann sich der Virus Trojaner überhaupt auf den Rechner ausbreiten wenn ich den Stick nicht öffne ?

Danke und Gruß Walker

  Spoiler:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:03, on 26.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Dexpot\dexpot.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\ShutDownPro\ShutDownPro.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501 .1418\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Dexpot 1.4] C:\Programme\Dexpot\dexpot.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleT oolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ShutDownPro.lnk = C:\Programme\ShutDownPro\ShutDownPro.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 6358 bytes

Zitat:

Meine Frage wäre noch, kann sich der Virus Trojaner überhaupt auf den Rechner ausbreiten wenn ich den Stick nicht öffne ?

Nur wenn die Autostartfunktion aktiviert ist. Denn dafür ist die "autorun.inf" Datei gedacht (die ist nicht selber der Virus, aber dadurch wird er startbar!).

USB-Sticks und ähnliche Datenträger sind zur Zeit ein beliebter Verbreitungsweg von Schädlingen.

Dein Logbuch sieht soweit OK aus.

Sag Deinem Spezl, daß er vermutlich die Pest im Rechner hat und daß er am besten allen Bekannten (die nicht so vorsichtig wie Du sind!) mit denen er vielleicht "ungeschützten Verkehr":herzsmil: hatte ebenfalls bescheid gibt!
(Das klingt schon wie bei Geschlechtskrankheiten)
Was er aber unbedingt auch machen sollte ist den Stick zu formatieren!

Grüße Grunzer

Hi Grunzer,

ich sag ihm er soll allen Bescheid geben mit denen er ungeschüzten Verkehr hatte

Autostart ist in soweit aktiviert das mich Windows fragt was ich machen will also Ordner öffnen Dateien abspielen oder sonstiges.

Was mich eh stutzig gemacht hat, das Windows mich da gefragt hat ob ich den Sick mit dem darauf enthaltenen Programm öffnen will

Diese Frage hatte ich noch nie.

Gruß Walker

Ich hatte mal einen der war versteckt und hat sich über Autorun.inf auf jeden USB Stick kopiert

der hieß ravmon.exe
die unter der registry stand und sich über autorun.inf kopiert hat

Zitat:

Autostart ist in soweit aktiviert das mich Windows fragt was ich machen will also Ordner öffnen Dateien abspielen oder sonstiges.
Was mich eh stutzig gemacht hat, das Windows mich da gefragt hat ob ich den Sick mit dem darauf enthaltenen Programm öffnen will

Da ich diese Funktion bei mir überall aus bekannten Gründen komplett abgedreht habe, weiß ich das nicht mehr so richtig...
Aber ist das nicht so, daß abhängig von den gefundenen Dateien die Einblendung anders aussieht (Programme<>andere Daten)?
Solange Du nicht auf "mach doch" geklickt hast sollte es da kein Problem geben.
Außerdem hat Dein Virenscanner ja auch bei dem Suchlauf angeschlagen, was mich zuversichtlich stimmt, daß der die Ausführung auch verhindert hätte wenn sie gestartet worden wäre (aber das weiß man ja nie sicher).

Grüße derweil
Grunzer

PS:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de

Zitat:

Zitat von grunzer

Da ich diese Funktion bei mir überall aus bekannten Gründen komplett abgedreht habe, weiß ich das nicht mehr so richtig...
Aber ist das nicht so, daß abhängig von den gefundenen Dateien die Einblendung anders aussieht (Programme<>andere Daten)?
Solange Du nicht auf "mach doch" geklickt hast sollte es da kein Problem geben.

Hi Grunzer,
ja natürlich hast du recht wollte aber nicht alle Funktionen auflisten

Ich denk auch das ohne Betstätigen der Funktion nichts passiert.

Zitat:

Zitat von flummiflamme

Ich hatte mal einen der war versteckt und hat sich über Autorun.inf auf jeden USB Stick kopiert

der hieß ravmon.exe
die unter der registry stand und sich über autorun.inf kopiert hat

Hi flummiflamme

Das find ich interessant, weil das da wohl auch so zu sein scheint, sobald der Stick auf dem Rechner geöffnet wird installieren sich die Schädlinge, irgend eine Idee ob man da manuell was machen kann? Also ohne Programm, Problem wär natürlich, nach was soll ich suchen

Gruß Walker

Alle Dateien unter ordneroptionen sichtbar machen
und dann die Dateien auf allen USB sticks löschen jenachdem wie die Datei heißt ( steht in der autorun) Must du die in der registry suchen ( regedit bei ausführen eingeben) Strg+F um nach der datei zu suchen und alle einträge dazu löschen
gruß Flummiflamme

Hi Flummiflamme,

ja das wär toll wenn das ginge

wenn ich alle Daten sichtbar mache und den Stick öffne, ist er leer nix ist zu sehen, aber wenn ich ein Virusprogramm drüberlaufen lasse findet das eben die autorun und die desktop.exe?

Gruß Walker

Zitat:

Zitat von Daywalker1965

wenn ich alle Daten sichtbar mache und den Stick öffne, ist er leer nix ist zu sehen, aber wenn ich ein Virusprogramm drüberlaufen lasse findet das eben die autorun und die desktop.exe?

Genau deshalb schrieb ich formatieren
Die sind gewitzer als man denkt!

Dann ist der Wurm Desktop.exe

Hi Grunzer und Flummiflamme,

USB Stick hab ich formatiert und auch gescannt der ist wieder sauber.

Und der Wurm heißt Desktop.exe auf dem Stick.
Soll ich in der Registry alle Einträge zu Desktop.exe löschen?

Oder zerschieß ich dann noch was?
Weil es halt nicht mein Rechner ist und wär blöd wenn ich das Ding zerschieße

Danke und Gruß Walker

desktop.exe - Was ist desktop.exe?

Also ich wäre sehr vorsichtig bei solchen Bereinigungen.
Man übersieht leicht was und die Dinger werden immer gerissener! Im schlimmsten Fall geht dann erst mal nichts mehr, da man "zu viel" bereinigt...

Deshalb würde ich Laien immer eine Neuinstallation empfehlen:
Verbindung mit google-analystiks.us und PWStealer
R/Crypt.ZPACK.Gen
Das sind nur zwei Beispiele wo ich Gründe (und Erklärungen wie es am "besten" geht) nenne, warum eine Neuinstallation angebracht ist.


Sollte Dein Spezl wirklich keine Neuinstallation machen wollen, dann macht wenigstens das hier:
Du könntest natürlich noch die AviraRescueDisk versuchen, aber ob dann wirklich alles bereinigt ist kann ich Dir nicht sagen!!
Support Downloads
Hier ein wenig Text von der Netzwelt dazu:
http://www.netzwelt.de/download/6519...ue-system.html

Danach dann den Hijackthis laufen lassen und hier mal das Logbuch posten. Dann schauen wir mal weiter, aber versprechen tue ich nix

Grüße Grunzer

Hallo Grunzer,

ich gebe dir natürlich voll und ganz recht.

Ich würd auch wenn ich mir nicht 100% sicher wäre eine Neuinstallation machen.
Problem ist folgendes, der Wirt ist sein Arbeitsrechner im Büro

Das heißt er hat weder Internetzugang noch dürfen auf dem Rechner Programme installiert werden.
Da aber jeder da völlig unbedarft seinen USB Stick reinstoppt, hat nachher auch jeder den Schädling drauf :bedrueck:

Deshalb ist die einzigste Lösung event. die Rescue Disk aber auch nur dann wenn der Rechner von CD bootet, denn ich werd daran sicher nix verstellen.
Wenn alle Stricke reißen muß er eben sehn was er dann macht.

Gruß Walker

Zitat:

der Wirt ist sein Arbeitsrechner im Büro...
Das heißt er hat weder Internetzugang noch dürfen auf dem Rechner Programme installiert werden.

Dann haben die doch sicher EDV-ler, oder wenigstens einen. Der muß sich sicher drum kümmern!
Gerade in einer Firma ist das besonders schrecklich, da auch Betriebsspionage möglich wird!

Viel Glück!

Hi Grunzer,

ich denk das wird das beste sein.
Wobei ich nicht glaube das der Trojaner sehr gefährlich ist.

Dazu ist er einfach zu leicht auszumachen

Das können andere weitaus besser, leider

Das Problem ist halt, da läuft nicht mal ne Virensoftware drauf?
Aber muß eben jeder selber wissen.

Thx nochmal und schönes we

Walker

Zitat:

Zitat von Daywalker1965

Hi Grunzer,

ich sag ihm er soll allen Bescheid geben mit denen er ungeschüzten Verkehr hatte

Autostart ist in soweit aktiviert das mich Windows fragt was ich machen will also Ordner öffnen Dateien abspielen oder sonstiges.

Was mich eh stutzig gemacht hat, das Windows mich da gefragt hat ob ich den Sick mit dem darauf enthaltenen Programm öffnen will

Diese Frage hatte ich noch nie.

Gruß Walker

Vielleicht wollte sich Dein Kollege auch nur einen Spaß mit Dir erlauben, weil er möglicher Weise ahnte, daß Du Dich mit solchen Dingen beschäftigst.

Wird ein ungewolltes Programm auf dem USB-Stick gefunden, kann man alternativ das Programm in Quarantäne stellen, entfernen, oder den USB-Stick nicht benutzen und an den Kollegen zurück geben.