Hallo an die Helfer in der Not,

nach dem Einlegen einer fremden Daten-DVD ließ sich diese nach einem Doppelklick darauf nicht öffnen (Zugriff verweigert). Im Kontextmenü tauchte ein seltsamer Eintrag auf (ä¯ÀÀ).

Skeptisch geworden, habe ich AntiVir das System überprüfen lassen, gefunden wurde nichts. Richtig stutzig bin ich geworden, als ich ein manuelles AntiVir-Update durchführen wollte. Die Suche nach Aktualisierung beginnt zwar, bleibt dann aber stehen. Nach einem Klick auf Abbrechen schlägt nach einiger Zeit die Meldung auf "Beim Downloaden der Dateien ist ein Fehler aufgetreten".

Ich habe im Netz gesucht und bin fündig geworden. Auch hier in diesem Forum gibt es einen Eintrag zum Thema, der aber so viele Infos enthält, dass ich lieber von vorne beginnen möchte.

Folgendes habe ich bis jetzt - auch nach eurer super Anleitung - unternommen:

1. Vollständiger Scan mit AntiVir - keine Beanstandung

2. Autorun deaktiviert

3. Der Inhalt der verantwortlichen autorun.inf ist:

[autorun]
open=.\recycled\info.exe
shell\1=ä¯ÀÀ
shell\1\Command=.\recycled\info.exe
shellexecute=.\recycled\info.exe

4. CCleaner aktiviert
Der Schlüssel "HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}" konnte nicht gelöscht werden

5. Malwarebytes hat keine infizierten Objekte gefunden - der Datenträger mit der autorun.inf wurde mit gescannt

6. RSIT lässt sich unter Windows 7 Prof. 32 Bit nicht durchführen.

Alle Aktionen wurden als Administrator ausgeführt.

Nach außen scheint bis jetzt alles okay zu sein. Wenn nur nicht die Sache mit dem AntiVir wäre.

Es ist sehr wichtig, dass das Notebook "sauber" ist, da ich in Kürze jede Menge Daten weitergeben muss.

Ich bitte euch um Hilfe.

Viele Grüße

Hi,

das ist eindeutig Malware. Wo liegt die inf-Datei auf der CD oder schon auf dem Rechner?

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

Gmer und Win7 müssen wir probieren...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
Ps.: Akku vom Notbook ist gleich leer, Rest/Auswertung morgen...

Hi Chris,

danke für die schnelle Antwort!

Autorun.inf habe ich einige gefunden, weiß aber nicht, welche da sein darf und welche nicht (s. Anhang).

Malwarebytes hatte ich schon durchgeführt, infizierte Objekte wurden nicht gefunden.

Die Logs von OTL findest du in der Anlage.

Gmer hoffentlich auch gleich, aber beim Scan ist der Rechner abgestürzt.

Gruß Oliver

Okay, Gmer wird nichts.

Es meldet nichts, aber das System schmiert während des Scans bei \cdfs komplett ab.

Oh welche Freude! AntiVir hat gerade ein Update durchgeführt.

Bin ich aus dem Schneider?

Hi,

versuche GMER im abgesicherten Modus zu starten, Sonst probieren wir RootRepeal...

• Lade bitte RootkitRevealer (http://technet.microsoft.com/de-de/s.../bb897445.aspx) runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.

• Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.

• Starte durch Klick auf "Scan".

• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern, und hier im forum posten.

Das OTL-Log sieht sauber aus, der von Dir genannte Reg.-Eintrag:
HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} gehört zu AntiVir und er wird für programminterne Zwecke
verwendet und kann nicht gelöscht/manipuliert werden!

Lass Avira mal komplett mit folgenden Einstellungen suchen:
Lege dazu die DVD ein und lasse sie ebenfalls durchsuchen!
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

Weiterhin würde ich gerne CF loslassen, das hat aber ein gewisses Risiko (in 99% der Fälle passiert nichts, in 1% der fälle wird der Rechner zerlegt wenn sich CF mit der Malware "verbeisst": Daher eine entsprechende Disk um ein Recovery zu machen und/oder ein gutes Backup ;o)...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt
werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Hi Chris,

Gmer konnte ich im abgesicherten Modus ausführen, Log anbei.

AntiVir ebenfalls.

RootkitRevealer hat mich halb zum Wahnsinn getrieben. Häufige Neuanmeldungen, Fensterinhalte zum Teil nicht lesbar, beim Klick auf Save stürzt das Ding ab. Ich habe es zweimal probiert - keine Chance. Ein Start im abgesicherten Modus ist nicht möglich. Bist du dir sicher, dass das Tool voll kompatibel zu Win 7 ist?

Dein ACHTUNG zu Combofix macht mich ziemlich nervös. Ich habe ein arbeitsreiches Wochenende vor mir, brauche den Rechner und habe keine Zeit ihn neu aufzusetzen. Ich warte lieber erstmal ab, was du bei GMER und AntiVir findest.

Oliver

Hi,

beides Logs sehen i. O. aus!
Ja RootRepealer ist schon realtiv alt, daher hat er wohl seine Probleme mit Win7.

Lassen wir CF erst mal und gehen auf Prevx, das ist nur ein Scanner (löschen bedingt die kostenpflichte Vollversion), hat auch einige Fehlalarme (Funde erst bei virustotal.com prüfen lassen), findet aber so einiges:

http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

Prevx hat nichts gefunden.

Hi,

dann wäre wir mal durch...

chris

Ui, na dann hoffe ich mal, dass es das dann war.

Vielen Dank für deine kompetente und schnelle Hilfe

Bleibt nur noch die Frage, warum AntiVir nicht angeschlagen hat. Sollte ich mich nach etwas anderem umsehen?

Gruß Oliver

Hi,

keine Ahnung warum keine Meldung kam. Allerdings gibt es normalerweise ja auf DVD keinen Papierkorb (und da ist die eigentliche Malware drin), die inf-datei stellt "nur" den Start sicher und ist nicht "infektiös"...

chris