Autorun.inf auf usb Stick

WinstonWolf · 15.08.2009, 18:06

Hallo liebe Community,
Mir ist heute auf einem meiner Usb Sticks eine Autorun.inf aufgefallen,die ich vorher nie bemerkt habe.
Ich habe diese mal bei Virustotal auswerten lassen.Hier das Ergebnis:

Code:

ATTFilter

a-squared	4.5.0.24	2009.08.15	-
AhnLab-V3	5.0.0.2	2009.08.15	-
AntiVir	7.9.1.1	2009.08.14	-
Antiy-AVL	2.0.3.7	2009.08.14	-
Authentium	5.1.2.4	2009.08.14	-
Avast	4.8.1335.0	2009.08.14	-
AVG	8.5.0.406	2009.08.15	-
BitDefender	7.2	2009.08.15	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.15	-
Comodo	1979	2009.08.15	-
DrWeb	5.0.0.12182	2009.08.15	-
eSafe	7.0.17.0	2009.08.13	-
eTrust-Vet	31.6.6678	2009.08.14	-
F-Prot	4.4.4.56	2009.08.14	-
F-Secure	8.0.14470.0	2009.08.15	-
Fortinet	3.120.0.0	2009.08.15	-
GData	19	2009.08.15	-
Ikarus	T3.1.1.64.0	2009.08.15	-
Jiangmin	11.0.800	2009.08.15	-
K7AntiVirus	7.10.819	2009.08.14	-
Kaspersky	7.0.0.125	2009.08.15	-
McAfee	5710	2009.08.15	Generic!atr.b
McAfee+Artemis	5710	2009.08.15	Generic!atr.b
McAfee-GW-Edition	6.8.5	2009.08.15	-
Microsoft	1.4903	2009.08.15	-
NOD32	4337	2009.08.15	-
Norman	6.01.09	2009.08.14	-
nProtect	2009.1.8.0	2009.08.15	-
Panda	10.0.0.14	2009.08.15	-
PCTools	4.4.2.0	2009.08.15	-
Prevx	3.0	2009.08.15	-
Rising	21.42.52.00	2009.08.15	-
Sophos	4.44.0	2009.08.15	-
Sunbelt	3.2.1858.2	2009.08.15	-
Symantec	1.4.4.12	2009.08.15	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.14	-
VBA32	3.12.10.9	2009.08.15	-
ViRobot	2009.8.14.1885	2009.08.14	-
VirusBuster	4.6.5.0	2009.08.15	-
weitere Informationen
File size: 41 bytes
MD5...: 533600750a4a57cb78bd5864cc3774fb
SHA1..: 986b1f7c28b3e0a101a982a86ab787d40fa6d67a
SHA256: e863f3bcaa0eb12d07d4e38a3407df44c6ae8bce38b7baf2349dbfcbff97f98a
ssdeep: 3:It1KVkJy0D+:e1KkyD
PEiD..: -
TrID..: File type identification
Autorun.inf file (91.6%)
Generic INI configuration (8.3%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Meint Ihr das ist bedenklich?

Hier auch noch ein HijackThis logfile

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:27, on 15.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
C:\PROGRA~1\WinTV\TVServer\HAUPPA~1.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
C:\Programme\Fisher-Price\DACS\MiniApp\DACSMiniApp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinTV\WinTV7\WinTVTray.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data\totalcare\avkkid\avkcks.exe
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DACSMiniApp] C:\Programme\Fisher-Price\DACS\MiniApp\DACSMiniApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WinTV Recording Status..lnk = C:\Programme\WinTV\WinTV7\WinTVTray.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1247241307301
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1248599606859
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
O23 - Service: G Data Backup Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe
O23 - Service: G Data Tuner Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\TVServer\HAUPPA~1.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5225 bytes

Bin für jede Hilfe dankbar.

raman · 15.08.2009, 18:42

Die Autorun.inf ist uninteressant, interessant ist das, was diese Autorun.inf startet. Oeffne die Datei mit Notepad oder einem anderen Texteditor und poste den Inhalt hier

WinstonWolf · 15.08.2009, 18:49

Hy,
Das ist der Inhalt:

[autorun]
open=avira.exe
icon=avira.ico

raman · 15.08.2009, 18:59

Da ich nicht davon ausgehe, das die Datei irgendwas mit Avira zu tun hat, suche auf dem USB Stick nach der Datei avira.exe und teste sie bei virustotal.com und poste den Link zum Ergebniss.
Es kann sein, das du den Explorer so einstellen musst, damit du die Datei sehen kannst.
http://www.trojaner-board.de/59624-a...-sichtbar.html

WinstonWolf · 15.08.2009, 19:06

Also,

Ich habe zufällig noch die Anleitung von diesem Stick gefunden.
Laut Hersteller ist Avira Antivir auf dem Stick vorinstalliert.
Dann dürfte wohl doch alles in Ordnung sein, oder?

Danke WW

klaus1960 · 15.08.2009, 19:39

Davon kann man ausgehen.

raman · 15.08.2009, 19:51

Moeglich, dennoch wuerde ich zur Sicherheit die Datei bei virustotal pruefen lassen!

WinstonWolf · 16.08.2009, 08:26

Hallo und guten Morgen,

Ich habe den Explorer wie beschrieben eingestellt,aber ich finde die Avira.exe nicht.Vielleicht hab ich sie irgendwann mal gelöscht.
Es gibt nur noch eine Avira.APC.ICO
Ich habe den Stick mal mit GDATA gescannt.

Code:

ATTFilter

Virenprüfung mit G Data AntiVirus
Version 20.0.5.10 (22.06.2009)
Virensignaturen vom 16.08.2009
Startzeit: 16.08.2009 09:23:08
Engine(s): Engine A (AVA 19.7066), Engine B (AVB 19.440)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein
RootKits prüfen: Aus

Prüfung der Systembereiche...
Prüfung folgender Verzeichnisse und Dateien:
  G:\


Analyse vollständig durchgeführt: 16.08.2009 09:23:37
    13 Dateien überprüft
    0 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden

Meinst du das ist ok?

raman · 16.08.2009, 08:28

Wenn die Datei nicht mehr da ist, reicht es, die inf Datei zu loeschen...

WinstonWolf · 16.08.2009, 09:15

Ich danke dir vielmals.Ich werd sie einfach löschen.
Ich hätte noch eine kurze Frage:
Ist dir an dem HijackThis Log irgendwas aufgefallen was man besser machen könnte?Ich hab ehrlich gesagt relativ wenig Ahnung in diesen Dingen.

Danke WW

raman · 16.08.2009, 09:22

Das sieht sauber und aufgeraeumt aus. Mehr waere in meinen Augen unnoetig...
Wichtig ist eher, das man alle Treiber, Software und Betriebssystem auf dem neusten Stand haelt...

WinstonWolf · 16.08.2009, 09:28

Ok.Das ist gut zu wissen.
Ich prüfe ziemlich regelmäßig mit dem Filehippo.com Updatechecker (der leistet gute Dienste,finde ich),und auf Secunia.com.

Ich danke dir vielmals, das du dir Zeit für mich genommen hast,und wünsche noch einen schönen Sonntag.

Vielen Dank WW

Autorun.inf auf usb Stick

Plagegeister aller Art und deren Bekämpfung: Autorun.inf auf usb Stick