Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Worm.Kido auf USB-Stick: Conficker?!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.02.2010, 20:57   #1
theevilworm
 
Worm.Kido auf USB-Stick: Conficker?! - Standard

Worm.Kido auf USB-Stick: Conficker?!



Guten Abend zusammen.

Vor circa einem Monat hatte ich meinen USB-Stick im Informatikunterricht gerade an einem SchulPC eingesteckt, als der Admin vorbeikam und im Vorbeigehen meinte "Ah, wir haben übrigens Conficker auf dem Server, aber ich glaube nicht, dass das das jetzt schlimm ist mit dem USB-Stick da drin!"

Ich hab den USB-Stick trotzdem schnell rausgezogen. Zuhause lag er aber eine Woche nur rum, bis ich ihn wieder mal in meinen PC gesteckt habe.

Aber da poppt sofort Avira auf und meinte, "H:/autorun.inf ist Worm.Kido". Da ich zu der Zeit massive Probleme mit false posivitves von Avira hatte, hab ich einfach auf "Zugriff verweigern" geklickt und den Stick drin gelassen, auch für die nächsten Wochen. Dass das irgendwas mit Conficker zu tun haben könnte, ist mir natürlich nicht eingefallen (an dieser Stelle möchte ich mich selbst ohrfeigen!).
Einmal habe ich sogar die autorun.inf im Editor geöffnet, weil ich neugierig war, was da so besonderes dran sein sollte... Bitte geißelt mich nicht.

GERADE eben jedoch schoss mir in den Sinn, dass das evtl. etwas mit dem Conficker zu tun haben könnte! Ich hab den Stick sofort rausgezogen!

Vor ein oder zwei Tagen hatte ich mal ein paar Scans durchgeführt, zwar aus einem anderen Grund, aber das Ergebnis war bei diesen:

Avira AntiVir Personal: 8 Funde (6 false positives, 1 im Temp-Ordner [vergessen, welches genau. War aber nicht Kido, glaube ich], 1xautorun.inf)

Malwarebytes Anti-malware : 1 Fund: Hijack.DisplayPropertiers

Spybot S&D: Kein Fund.

Hier ein VirusTotal-Test von besagter autorun.inf: Virustotal. MD5: 81a1335e99444c243631de2b60dd8b74 W32.Downadup!autorun Worm.Kido.IH.54 Worm:W32/Downaduprun.A

Dann habe ich diesen Onlinetest gemacht, der Bilder von gängigen Seiten zusammenträgt, die Conficker normalerweise blockt. Ich konnte alle Bilder sehen.
Ich habe bisher auch keine Änderung an meiner Internetgeschwindigkeit, Updates oder sonstiges Auffälliges bemerkt. Mein System:

Windows 7 Ultimate 64bit - aktuelleste Updates
Graka: HD4850
Proz: E8400
RAM: 2x1GB Corsair TwinX, 1x1GB Samsung Unknown

Außerdem ein HiJackThis-Logfile:

Zitat:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:44:06, on 11.02.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
E:\QIP\qip.exe
D:\Steam\Steam.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
E:\AIMP\AIMP2.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
E:\Thunderbird\thunderbird.exe
E:\HiJackThis\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.***.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.***.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.***.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.***.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AIMP2] E:\AIMP\AIMP2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [QIP2005] E:\QIP\qip.exe
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Taskmanager.lnk = C:\Windows\System32\taskmgr.exe
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://***.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6378 bytes


Jetzt habe ich ein paar Fragen:

1. Ist mein PC trotz allem infiziert? Wie kann ich da sicher gehen, dass ich weiterhin sicher bin?

2. Was soll ich nun mit dem USB-Stick machen? Da sind relativ wichtige Daten drauf. Kann ich dir sichern und den Stick formatieren? Oder vom schlimmsten ausgehen und alles plattmachen?

Geändert von theevilworm (11.02.2010 um 21:03 Uhr)

Alt 12.02.2010, 15:29   #2
theevilworm
 
Worm.Kido auf USB-Stick: Conficker?! - Standard

Worm.Kido auf USB-Stick: Conficker?!



Hm, hat niemand eine Idee?
__________________


Alt 12.02.2010, 15:43   #3
Leonixx
/// Helfer-Team
 
Worm.Kido auf USB-Stick: Conficker?! - Standard

Worm.Kido auf USB-Stick: Conficker?!



Die einzige wirksame Massnahme bei Befall mit Conficker ist die Neuinstallation. Es gibt aber auch ein Conficker Entfernungstool. Da sich Conficker immer weiter verändert, ist nicht sicher ob die Desinfektion erfolgreich ist.

http://www.virenschutz.info/virensch...tails-100.html

Natürlich verbreitet sich Conficker/Kido auf deinem Stick, sobald du diesen an einen infizierten Rechner einsteckst.
__________________

Alt 14.02.2010, 10:29   #4
theevilworm
 
Worm.Kido auf USB-Stick: Conficker?! - Standard

Worm.Kido auf USB-Stick: Conficker?!



Hallo, vielen Dank für deine Antwort!

Ist denn ein Neuaufsetzen nötig? So wie es auf den ersten Blick aussieht, ist mein System doch gar nicht infiziert, das war meine Frage.

Alt 14.02.2010, 11:08   #5
Larusso
/// Selecta Jahrusso
 
Worm.Kido auf USB-Stick: Conficker?! - Standard

Worm.Kido auf USB-Stick: Conficker?!



Mal ne Frage.

Hast Du denn noch Probleme? Besonders beim Aufruf von Security Seiten?

Conficker infiziert die svchost.exe. Da es aber ein win7 64 bit ist, denke ich das da nie wirklich aktiv gewesen sein kann.

Die autorun.inf ist nur ne Textdatei die einen Code enthält, was ausgeführt werden soll wenn Windows automatisch danach sucht bzw aufruft. Wird keine gefunden, wird Autoplay verwendet.

Diese Funktion sollte man aus sicherheitstechnischer Sicht abstellen. Geht mit ein paar kniffe in der Reg. Wenn Du das willst (empfohlen) sag bescheid.

Leonixx, ohne Log keine Diagnosen

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 14.02.2010, 17:07   #6
theevilworm
 
Worm.Kido auf USB-Stick: Conficker?! - Standard

Worm.Kido auf USB-Stick: Conficker?!



Hallo Larusso, vielen Dank für deine Antwort! Ich habe keinerlei Beeinträchtigungen beim Surfen bemerkt. Keine PopUps, keine Weiterleitungen oder blockierte Seiten.

Antwort

Themen zu Worm.Kido auf USB-Stick: Conficker?!
anti-malware, antivir, ausgehen, avira, bilder, conficker, einfach, ergebnis, formatieren, formatieren?, frage, infiziert, infiziert?, lag, personal, probleme, rum, schnell, schulpc, seiten, server, system, syswow64, temp-ordner, updates, wichtige daten, worm.kido, worm/kido.ih.40, zugriff



Ähnliche Themen: Worm.Kido auf USB-Stick: Conficker?!


  1. AVIRA meldet WORM/Kido.IH.54 nach Einfügen eines USB-Stick
    Plagegeister aller Art und deren Bekämpfung - 03.11.2014 (13)
  2. [Worm:Win32/Conficker.B!inf] Conficker Befall
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (5)
  3. WORM/Kido.IX und WORM/Confick.164228 auf externer Festplatte
    Log-Analyse und Auswertung - 03.06.2012 (16)
  4. Conficker-Virus ohne Admin-Rechte entfernen? (Conficker, Downadup, Kido,...)
    Plagegeister aller Art und deren Bekämpfung - 11.03.2011 (9)
  5. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  6. Tr/Dropper.gen + Worm.kido
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (27)
  7. Conficker auf USB-Stick
    Log-Analyse und Auswertung - 15.02.2010 (18)
  8. Worm/Kido.IH.54 (PC ohne Internetverbindung)
    Plagegeister aller Art und deren Bekämpfung - 09.02.2010 (1)
  9. Worm.Kido auf Schulcomputern
    Plagegeister aller Art und deren Bekämpfung - 29.01.2010 (1)
  10. WORM/Kido.IH.54 auf USB-Stick, gelöscht, System sauber?
    Log-Analyse und Auswertung - 23.01.2010 (0)
  11. Conficker und Kido gemeldet-->Systemcheck
    Plagegeister aller Art und deren Bekämpfung - 03.01.2010 (7)
  12. Worm Kido
    Plagegeister aller Art und deren Bekämpfung - 16.09.2009 (3)
  13. WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (16)
  14. Worm/Kido.eg
    Plagegeister aller Art und deren Bekämpfung - 04.02.2009 (0)
  15. Conficker auf USB-Stick
    Plagegeister aller Art und deren Bekämpfung - 17.01.2009 (0)
  16. WORM/Kido.DG
    Plagegeister aller Art und deren Bekämpfung - 14.01.2009 (0)
  17. WORM/Kido.BT ?
    Log-Analyse und Auswertung - 12.01.2009 (1)

Zum Thema Worm.Kido auf USB-Stick: Conficker?! - Guten Abend zusammen. Vor circa einem Monat hatte ich meinen USB-Stick im Informatikunterricht gerade an einem SchulPC eingesteckt, als der Admin vorbeikam und im Vorbeigehen meinte "Ah, wir haben übrigens - Worm.Kido auf USB-Stick: Conficker?!...
Archiv
Du betrachtest: Worm.Kido auf USB-Stick: Conficker?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.