Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Net-Worm.Win32.Kidoh.ih in autorun.inf

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.10.2009, 00:21   #1
Danté
 
Net-Worm.Win32.Kidoh.ih in autorun.inf - Standard

Net-Worm.Win32.Kidoh.ih in autorun.inf



Edit:
Kido.ir heißt der Wurm, falsch notiert!

Guten Abend zusammen.
Ich habe seit gestern wieder Internet und mir direkt was eingefangen. (Wahrscheinlich während Kaspersky die 2 Monate nachträglich updaten musste oder noch nicht ganz lauffähig war.)
Geweckt wurde ich heute morgen durch ein quieken von Kaspersky.
Er zeigt mir den Net-Worm.Win32.Kidoh.ih an in einer datei im system32 Ordner, sowie in der Datei "autorun.inf" meiner externen Festplatte P:.
Beide ließen sich nicht löschen oder desinfizieren. Also wollte ich das manuell versuchen, allerdings war die autorun.inf nicht auffindbar da ich die option "versteckte dateien anzeigen" nicht wirklich aktivieren konnte. Dies schaltete sich immer wieder sofort automatisch zurück. ich habe also meine 3 externen Festplatten abgeklemmt und im abgesicherten Modus neugestartet.
Kaspersky konnte dort die Datei im System32 Ordner löschen, aber scannen ging nicht wegen dem abgesicherten Modus (das ist schon ne ziemlich dämliche beschränkung...).
Habe dann normal hochgefahren und alle wichtigen Dateien und Ordner gescannt, alles sauber. Aber sobald ich wieder eine Festplatte anklemme gibt es wieder diese Virusmeldung. Seitdem habe ich die Festplatten nicht mehr dran und bevor ich sie wieder anklemme hätte ich am liebsten einen Weg diese Trojaner (so wurde das glaube ich klassifiziert) loszuwerden.

Sonstige Beeinschränkungen habe ich bisher nicht gemerkt, und hoffe das bleibt auch so.

Mein System läuft mit Windows XP SP3 und einigen Sicherheitsupdates (Das war glaub ich ein komplett Package und weiß daher nicht genau was da alles enthalten war)

Falls sonstige Infos gebraucht werden einfach nachfragen, und vielen Dank schonmal im Vorraus.

Geändert von Danté (31.10.2009 um 00:43 Uhr)

Alt 31.10.2009, 01:28   #2
Argus
 
Net-Worm.Win32.Kidoh.ih in autorun.inf - Standard

Net-Worm.Win32.Kidoh.ih in autorun.inf



Schau hier mal nach
__________________


Alt 31.10.2009, 10:19   #3
Larusso
/// Selecta Jahrusso
 
Net-Worm.Win32.Kidoh.ih in autorun.inf - Standard

Net-Worm.Win32.Kidoh.ih in autorun.inf



Schauen wir uns das einmal genauer an

schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles in Code-Tags hier in den Thread.


schritt 2

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in Deine Antwort hier ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.


Bitte poste in Deiner nächsten Antwort
Beide Logfiles von OTL
Logfile von Gmer
bitte nicht hochladen sondern aufteilen
__________________
__________________

Alt 31.10.2009, 17:36   #4
Danté
 
Net-Worm.Win32.Kidoh.ih in autorun.inf - Standard

Net-Worm.Win32.Kidoh.ih in autorun.inf



Sooo, endlich mit dem ganzen scannen durch...
Meine Vorgehensweise (hoffe die war korrekt):
1. Flash Disinfector
2. OTL
3. gmer
4. Malware Scan
Natürlich genauso wie beschrieben mit Netzwerk aus, neustarten etc.

Ergebnis erstmal: Kaspersky (ist der eigentlich noch in Ordnung oder gibts da viel bessere mitlerweile?) meckert nichtmehr rum wenn ich die Festplatten einstecke und gibt auch sonst keine Warnung raus.

Mit dem Malware hab ich einiges gefunden (unter anderem den Conficker in den autorundingern) und gelöscht, habe da aber noch keinen 2ten run durchgeführt um zu gucken ob der doch noch was findet, das wollt ich diese Nacht nochmal laufen lassen, falls ich den ersten log davon doch noch posten soll bescheid geben.


Jetzt nur die Frage wie ich das aufteilen soll...

Es sind ca. 400.000 Zeichen, 25.000 sind ja erlaubt.
Das wären ja 16 Beiträge.

Alt 31.10.2009, 18:25   #5
Larusso
/// Selecta Jahrusso
 
Net-Worm.Win32.Kidoh.ih in autorun.inf - Standard

Net-Worm.Win32.Kidoh.ih in autorun.inf



Okay, lade die Logfiles einfach hoch und schicke den Link

Wenn vorhanden, beide MBAM Logfiles

Bitte keine Scans durchführen die ich nicht angeordnet habe. Das erschwert mir die Arbeit

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 31.10.2009, 19:01   #6
Danté
 
Net-Worm.Win32.Kidoh.ih in autorun.inf - Standard

Net-Worm.Win32.Kidoh.ih in autorun.inf



gezipt und hochgeladen.
2ten malwarelog hab ich erst morgen, das scannen dauert so arg lang und ich hab langeweile.

http://rapidshare.com/files/300562347/logs.zip.html


Auf jeden Fall vielen Dank schonmal und sorry wegen der zusatzscanns, dachte ich gehe besser beide angeführten Wege
Achja, kannst dir damit auch ruhig bis Montag Zeit lassen, Wochenende soll ja zum entspannen sein

Alt 31.10.2009, 19:27   #7
Larusso
/// Selecta Jahrusso
 
Net-Worm.Win32.Kidoh.ih in autorun.inf - Standard

Net-Worm.Win32.Kidoh.ih in autorun.inf



Kann ich nicht downloaden
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 31.10.2009, 20:09   #8
Danté
 
Net-Worm.Win32.Kidoh.ih in autorun.inf - Standard

Net-Worm.Win32.Kidoh.ih in autorun.inf



Oh.
Funktioniert das damit?:
http://www.yousendit.com/download/Z01OanZpd0l3NUtGa1E9PQ

Falls nicht weißt du wo ich die Datei noch hochladen könnte?

Alt 31.10.2009, 21:03   #9
Larusso
/// Selecta Jahrusso
 
Net-Worm.Win32.Kidoh.ih in autorun.inf - Standard

Net-Worm.Win32.Kidoh.ih in autorun.inf



Code:
ATTFilter
H:\01 programm installer\vegas setup\Sony.Vegas.v6.0a.Incl.Keygen-SSG\Sony.Vegas.v6.0a.Incl.Keygen-SSG\keygen\keygen.exe
         
Dateien, die crack.exe, keygen.exe oder patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten

Ich bin raus
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 31.10.2009, 22:51   #10
Danté
 
Net-Worm.Win32.Kidoh.ih in autorun.inf - Standard

Net-Worm.Win32.Kidoh.ih in autorun.inf



Alles klar, vielen Dank trotzdem für deine Mühe!

Antwort

Themen zu Net-Worm.Win32.Kidoh.ih in autorun.inf
abgesicherten modus, anzeige, anzeigen, automatisch, autorun.inf, datei, dateien, festplatte, festplatten, gebraucht, internet, kaspersky, löschen, nicht löschen, nicht mehr, ordner, scan, sp3, system, system32, trojaner, update, versteckte, versteckte dateien, windows, windows xp



Ähnliche Themen: Net-Worm.Win32.Kidoh.ih in autorun.inf


  1. Windows 7 V.a. Worm.win32.autorun.hyg ?
    Log-Analyse und Auswertung - 16.01.2014 (11)
  2. Worm.Win32.AutoRun.grs in C:\win\system32\config\systemprofile...
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (12)
  3. worm.autorun.vhg
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (2)
  4. worm.win32.autorun
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (5)
  5. Virusbefall Worm/Downadup, Worm/Generic_c.ZS, Verbeitung mit autorun.inf auf Wechselmedien
    Log-Analyse und Auswertung - 28.06.2011 (44)
  6. Worm:Win32/Autorun!inf
    Log-Analyse und Auswertung - 14.06.2010 (3)
  7. Win32.Trojan.Agent/Win32.Worm.Autorun mit Ad-Aware unschädlich gemacht?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2009 (6)
  8. Worm.Win32.AutoRun.ahhp...HILFE
    Log-Analyse und Auswertung - 07.05.2009 (3)
  9. worm autorun.vdj
    Plagegeister aller Art und deren Bekämpfung - 29.04.2009 (7)
  10. autorun.inf Win32/Delf.NFB worm auf USB Stick
    Plagegeister aller Art und deren Bekämpfung - 03.03.2009 (2)
  11. WORM/Autorun.xgd
    Plagegeister aller Art und deren Bekämpfung - 23.01.2009 (10)
  12. Wurm Worm.Win32.AutoRun.vmq oder TR/Dldr.Agent.jag
    Plagegeister aller Art und deren Bekämpfung - 21.01.2009 (0)
  13. worm.win32.Autorun.cbm wer kann helfen
    Plagegeister aller Art und deren Bekämpfung - 15.12.2008 (2)
  14. worm.win32.Autorun.cbm lässt sich nicht löschen
    Mülltonne - 14.12.2008 (0)
  15. WORM/Autorun.sty
    Plagegeister aller Art und deren Bekämpfung - 05.12.2008 (4)
  16. Worm.Win32.Autorun.nuu verhindert Internetzugriff
    Plagegeister aller Art und deren Bekämpfung - 19.10.2008 (0)
  17. Worm.VBS.Autorun.g entfernen?
    Plagegeister aller Art und deren Bekämpfung - 06.06.2008 (3)

Zum Thema Net-Worm.Win32.Kidoh.ih in autorun.inf - Edit: Kido.ir heißt der Wurm, falsch notiert! Guten Abend zusammen. Ich habe seit gestern wieder Internet und mir direkt was eingefangen. (Wahrscheinlich während Kaspersky die 2 Monate nachträglich updaten musste - Net-Worm.Win32.Kidoh.ih in autorun.inf...
Archiv
Du betrachtest: Net-Worm.Win32.Kidoh.ih in autorun.inf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.