Net-Worm.Win32.Kidoh.ih in autorun.inf
 

Edit:
Kido.ir heißt der Wurm, falsch notiert!

Guten Abend zusammen.
Ich habe seit gestern wieder Internet und mir direkt was eingefangen. (Wahrscheinlich während Kaspersky die 2 Monate nachträglich updaten musste oder noch nicht ganz lauffähig war.)
Geweckt wurde ich heute morgen durch ein quieken von Kaspersky.
Er zeigt mir den Net-Worm.Win32.Kidoh.ih an in einer datei im system32 Ordner, sowie in der Datei "autorun.inf" meiner externen Festplatte P:.
Beide ließen sich nicht löschen oder desinfizieren. Also wollte ich das manuell versuchen, allerdings war die autorun.inf nicht auffindbar da ich die option "versteckte dateien anzeigen" nicht wirklich aktivieren konnte. Dies schaltete sich immer wieder sofort automatisch zurück. ich habe also meine 3 externen Festplatten abgeklemmt und im abgesicherten Modus neugestartet.
Kaspersky konnte dort die Datei im System32 Ordner löschen, aber scannen ging nicht wegen dem abgesicherten Modus (das ist schon ne ziemlich dämliche beschränkung...).
Habe dann normal hochgefahren und alle wichtigen Dateien und Ordner gescannt, alles sauber. Aber sobald ich wieder eine Festplatte anklemme gibt es wieder diese Virusmeldung. Seitdem habe ich die Festplatten nicht mehr dran und bevor ich sie wieder anklemme hätte ich am liebsten einen Weg diese Trojaner (so wurde das glaube ich klassifiziert) loszuwerden.

Sonstige Beeinschränkungen habe ich bisher nicht gemerkt, und hoffe das bleibt auch so.

Mein System läuft mit Windows XP SP3 und einigen Sicherheitsupdates (Das war glaub ich ein komplett Package und weiß daher nicht genau was da alles enthalten war)

Falls sonstige Infos gebraucht werden einfach nachfragen, und vielen Dank schonmal im Vorraus.

Schau hier mal nach

Schauen wir uns das einmal genauer an :)

schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.

schritt 2

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.


Bitte poste in Deiner nächsten Antwort
Beide Logfiles von OTL
Logfile von Gmer
bitte nicht hochladen sondern aufteilen

Sooo, endlich mit dem ganzen scannen durch...
Meine Vorgehensweise (hoffe die war korrekt):
1. Flash Disinfector
2. OTL
3. gmer
4. Malware Scan
Natürlich genauso wie beschrieben mit Netzwerk aus, neustarten etc.

Ergebnis erstmal: Kaspersky (ist der eigentlich noch in Ordnung oder gibts da viel bessere mitlerweile?) meckert nichtmehr rum wenn ich die Festplatten einstecke und gibt auch sonst keine Warnung raus.

Mit dem Malware hab ich einiges gefunden (unter anderem den Conficker in den autorundingern) und gelöscht, habe da aber noch keinen 2ten run durchgeführt um zu gucken ob der doch noch was findet, das wollt ich diese Nacht nochmal laufen lassen, falls ich den ersten log davon doch noch posten soll bescheid geben.


Jetzt nur die Frage wie ich das aufteilen soll...

Es sind ca. 400.000 Zeichen, 25.000 sind ja erlaubt.
Das wären ja 16 Beiträge.

Okay, lade die Logfiles einfach hoch und schicke den Link :)

Wenn vorhanden, beide MBAM Logfiles

Bitte keine Scans durchführen die ich nicht angeordnet habe. Das erschwert mir die Arbeit

gezipt und hochgeladen.
2ten malwarelog hab ich erst morgen, das scannen dauert so arg lang und ich hab langeweile.

http://rapidshare.com/files/300562347/logs.zip.html


Auf jeden Fall vielen Dank schonmal und sorry wegen der zusatzscanns, dachte ich gehe besser beide angeführten Wege :)
Achja, kannst dir damit auch ruhig bis Montag Zeit lassen, Wochenende soll ja zum entspannen sein ;)

Kann ich nicht downloaden

Oh.
Funktioniert das damit?:
http://www.yousendit.com/download/Z01OanZpd0l3NUtGa1E9PQ

Falls nicht weißt du wo ich die Datei noch hochladen könnte?

Dateien, die crack.exe, keygen.exe oder patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten

Ich bin raus

Alles klar, vielen Dank trotzdem für deine Mühe!