Hallo,

ich habe am Donnerstag meinen USB Stick mit Bilddateien ins Photolabor gebracht und mit 3 zusätzlichen Dateien zurückbekommen:

- test1.exe
- autorun.inf
- log (ich kann leider nicht sagen, welcher Dateityp)

Beim Anstecken des Sticks (ohne Shift - weiß ich leider erst seit meiner Lektüre hier im Forum) hat sich sofort Antivir Guard gemeldet, mit dem Hinweis:

- In der Datei 'G:\test1.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.

Ausgeführte Aktion: Zugriff verweigern

Ich bin mit dem Stick ins Photolabor, wir haben ihn dort formatiert, nochmals an deren PC angesteckt, diesmal haben sich:

- usblog.dat
- autorun.inf
- log

draufgespielt.

Usblog.dat habe ich bei Virustotal hochgeladen. Dort war die Datei schon früher als winlogexpl.ex1 untersucht worden: Ergebnis 16/41
h**p://www.virustotal.com/de/analisis/efaf8c3e414ae625c68cbf618d7f722c7ad8a0e4e49dc8854fbcd800b3a259fe-1249970902

Antivir (Personal Free) findet keine infizierte Datei auf meinem PC (Einstellung wie hier empfohlen), ebensowenig Panda Onlinescan und MBAM. Der PC läuft einwandfrei.

Meine vermutlich sehr laienhafte Frage:
Kann ich sicher sein, daß Antivir Guard den Trojaner *trotz* Autorun so rechtzeitig erkannt hat, daß die ausgeführte Aktion: "Zugriff verweigern" meinen PC vor einer Infektion geschützt hat?

HJT Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:15:47, on 29.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ASUS\EPU-4 Engine\FourEngine.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Trend Micro\HijackThis\***.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Six Engine] "C:\Programme\ASUS\EPU-4 Engine\FourEngine.exe" -r
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ACSynchro] C:\Programme\ACSynchro\ACSynchro.exe -willkommen -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O23 - Service: Aciideartdi - Philips Semiconductors GmbH - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5632 bytes


GMER Logfile

GMER 1.0.15.15077 [g9n9xexc.exe] - http://www.gmer.net
Rootkit scan 2009-08-29 10:22:02
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT F7B906DE ZwCreateKey
SSDT F7B906D4 ZwCreateThread
SSDT F7B906E3 ZwDeleteKey
SSDT F7B906ED ZwDeleteValueKey
SSDT F7B906F2 ZwLoadKey
SSDT F7B906C0 ZwOpenProcess
SSDT F7B906C5 ZwOpenThread
SSDT F7B906FC ZwReplaceKey
SSDT F7B906F7 ZwRestoreKey
SSDT F7B906E8 ZwSetValueKey
SSDT F7B906CF ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2FA0 8050483C 4 Bytes CALL 75480147

---- EOF - GMER 1.0.15 ----


Herzlichen Dank im voraus,
mauriz

Hallo und

was ist denn das für ein Fotolabor? Hast Du da mal Bescheid gesagt, dass der Rechner dort ständig die USB-Sticks verseucht?

Besser wäre ein Logfile des Laborrechners.

Deins ist unauffällig, Du solltest aber mal die Windowsupdate-Seite besuchen. Der IE liegt bei Dir noch in Version 6 vor, aktuell ist der 8er!!

Zitat:

Zitat von cosinus

Hallo und

was ist denn das für ein Fotolabor? Hast Du da mal Bescheid gesagt, dass der Rechner dort ständig die USB-Sticks verseucht?

Besser wäre ein Logfile des Laborrechners.

Deins ist unauffällig, Du solltest aber mal die Windowsupdate-Seite besuchen. Der IE liegt bei Dir noch in Version 6 vor, aktuell ist der 8er!!

Danke für das Willkommen.

Klar hab' ich im Photolabor Bescheid gesagt, das war mein erster Weg. Aber obwohl an das Labor ein PC-Fachhändler angeschlossen ist (oder vermutlich eher umgekehrt) hat man es dort sehr leicht genommen: Sie haben sich gemeinsam mit mir angeschaut, wie sich die drei Dateien auf meinem neu formatierten USB-Stick breit gemacht haben, versprochen, man würde sich der Sache annehmen, und am nächsten Tag hab' ich erfahren, sie hätten via Antivir die betreffende exe.Datei von Ihrem System gelöscht und damit sei das Problem erledigt ...

Was den IE Explorer betrifft: Der Rechner ist ganz neu, der PC-Händler, von dem ich ihn mir habe zusammenstellen lassen, hat mir geraten, die Windows-Updates so einzustellen, daß sich der IE 8 nicht installiert! Ich benutze nur Opera, deswegen hat mir das kein Kopfzerbrechen verursacht. Trotzdem updaten?

TIA,
mauriz

Zitat:

man würde sich der Sache annehmen, und am nächsten Tag hab' ich erfahren, sie hätten via Antivir die betreffende exe.Datei von Ihrem System gelöscht und damit sei das Problem erledigt ...

Also das halte ich doch von den Verantwortlichen des Labors für ein bisschen naiv. Man bereinigt kein System, indem man mit dem Virenscanner eine *.exe Datei löscht und dann ist das Problem vom Tisch...

Tipp: Wenn Du dort weiterhin Dein USB-Stick hinbringst, würde ich den dann zu Hause nur noch mit der Kneifzange anfassen. Steck den nur noch ein, wenn Du in einem Benutzerkonto OHNE Adminrechte angemeldet bist, sonst ist die Gefahr einer Infektion einfach zu groß.

Man sollte grundsätzlich nur mit Benutzerrechten unterwegs sein und sich Adminrechte holen, wenn die wirklich benötigt werden. Das ist ein Grundstein in jedem Sicherheitskonzept!

Zitat:

Was den IE Explorer betrifft: Der Rechner ist ganz neu, der PC-Händler, von dem ich ihn mir habe zusammenstellen lassen, hat mir geraten, die Windows-Updates so einzustellen, daß sich der IE 8 nicht installiert!

Au man
Der Händler hat auch keine Ahnung.
Der IE ist ein integraler Bestandteil von Windows, das nutzt immer die Kernkomponenten des IE. Den IE8 solltest Du auf jeden Fall installieren!

Nur in manchen Spezialumgebungen darf das nicht passieren, das ist in manchen Firmen zB so. Da sind einige "doofe" Applets nur und ausschließlich für den IE6 da. Da haben die Programmierer ganze Arbeit geleistet

Danke, Arne. IE8 wird installiert. Ich hab' inzwischen Autorun auf meinem System deaktiviert und bring' meine Bilder ab jetzt per CD-R ins Labor. Was Benutzer- und Administratorrechte betrifft: Das habe ich bis jetzt völlig vernachlässigt, weil niemand außer mir meinen PC nutzt. Wird offenbar Zeit, daß ich mich damit befasse ...

Gibt's noch irgend etwas, was ich tun kann, um herauszufinden, ob die betreffende Datei auf dem Stick trotz anschlagendem Virenguard Zeit hatte, mein System zu infizieren?

Gruß,
M.

Ganz sicher kannst Du da nie sein, aber ich denke es ist ziemlich unwahrschein, dass sich das Teil breit gemacht hat. Sei froh, dass Avira angeschlagen hat, dank Adminrechte hätte sich der Schädling in nullkommanix ausbreiten können auf Deinen System. Einen Virenscanner als einzige Schutzkomponente ist da ziemlich witzlos, sobald der mal einen Schädling nicht erkennt und Du führst es aus, haste den Salat.

Für weitere Analysen: bitte diese Liste beachten und abarbeiten.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Arne, wär' Dir dankbar, wenn Du Dir die Logfiles von MBAM und RSIT anschauen würdest:

File-Upload.net - Logs-20090829.zip

Gruß,
M.

Hallo Arne,

IE8 hab' ich noch gestern Nacht installiert und ein zweites Benutzerkonto mit eingeschränkten Rechten eingerichtet (und heute eine Reihe von Freunden damit genervt, das gleiche auf ihren Rechnern zu machen - es sollen sich schließlich nicht nur Viren und Trojaner verbreiten :-))

Im Avira Support Forum hab' ich noch eine Reihe guter Tipps vor allem zur Deaktivierung von Autorun bekommen, inklusive Hinweis, daß ein Link zum Thread in diesem Forum hier angebracht gewesen wäre - was ich in die umgekehrte Richtung jetzt zumindest nachholen möchte:
PC-Infektion über USB-Stick trotz Alarm von AV Guard? - Viren und andere Sicherheitsrisiken - Avira Support Forum

Sieht so aus, als hätte ich noch mal Glück gehabt, und dank Eurer Anleitungen bin ich für kommende Situationen sicher besser gewappnet.

Herzlichen Dank nochmals,
Mauriz

Moin,

werd erst heute Abend dazu kommen, die Logs durchzusehen.

Die Logfiles sind alle unauffällig.
Wenn noch was ist, einfach wieder hierrein posten!