Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

Verdächtige autorun.inf "KLIZAVI/sapun.exe"

Peter Schuster / 12 Antworten / Baumansicht Nickles

Hallo Virenspezialisten!
Vermutlich durch einen USB-Stick, der in Südosteuropa benutzt wurde, tritt folgendes Problem auf: Bei allen Wechseldatenträgern taucht plötzlich eine nicht weglöschbare autorun.inf auf. Ich kann die Sticks und Karten auch nicht mehr auswerfen, weil sie "verwendet werden". Anfangs ließ sich das autorun.inf noch im editor öffnen, bei dem blabla tauchte u.a. ein moje.exe auf.

Nun läßt sich das .inf nicht mehr öffnen. Norton erkennt nichts. Der Autorun Eater erkennt beim Löschversuch ein suspicious file KLIZAVI/sapun.exe und kann das auch wegfressen. Aber beim nächsten Betreiben des Sticks etc. taucht das .inf wieder auf. Das heißt ja wohl, dass irgendwo im Rechner dieses autorun.inf wieder neu generiert wird.

Wie mach ich das platt?

Viele Grüße,
Peter Schuster


Den Inhalt von diesem file kann ich mit dem Eater lesen, hilft das, wenn ich ihn poste?

bei Antwort benachrichtigen
Peter Schuster Nachtrag zu: „Verdächtige autorun.inf "KLIZAVI/sapun.exe"“
Optionen

Seit einiger Zeit taucht ungefragt irgendeine Seite von google auf, also manchmal nach dem Start, manchmal wenn man eine Zeitlang nix gemacht hat, manchmal auch garnicht. Einfach lästig. Kann das damit zusammenhängen?
Grüße,
Peter Schuster

bei Antwort benachrichtigen
pema1983 Peter Schuster „Verdächtige autorun.inf "KLIZAVI/sapun.exe"“
Optionen

Hallo Peter

Hallo Virenspezialisten!
Vermutlich durch einen USB-Stick, der in Südosteuropa benutzt wurde, tritt folgendes Problem auf: Bei allen Wechseldatenträgern taucht plötzlich eine nicht weglöschbare autorun.inf auf.


Generell ist hier äußerste Vorsicht angebracht. Einen so verwendeten Stick (z. B. wegen Urlaub) nie ans Produktivsystem zuhause anschließen, sondern nur über eine Live-CD. Danach die Daten hierauf ebenfalls mittels des auf der Live-CD befindlichen Betriebssystems überprüfen und danach sicherheitshalber den betreffenden Stick formatieren bzw. löschen, auch unter dieser CD.

Bei Speicherkarten kann man es unterbinden, daß diese durch einen Autorun-Wurm infiziert werden, indem man den kleinen Schreibschutzregler an der Seite betätigt. Dann kann nichts auf die Karte geschrieben werden. Dieses mal als Tip für die Zukunft.

Norton erkennt nichts.

Kein Wunder, der läuft ja auch auf dem System, welches infiziert wurde. Das Problem der Nichterkennung hätte aber wahrscheinlich auch ein anderes Programm, was zum "Schutz" installiert wurde. Manchmal schlagen die Scanner ja an, sofern sie zufälligerweise die betreffende Signatur des Schädlings kennen, aber oft genug versagen sie.

Frage an Dich zur weiteren Vorgehensweise:

Hast Du einen sauberen 2. Rechner, einen Brenner und CD-Rohlinge zur Verfügung?

Dieses vor dem Hintergrund, Daten zu sichern und ggfs. ein Beweissicherungs-Image zu erstellen, sofern von dem System Online-Banking und/oder -shopping gemacht wurde. Falls das zutrifft, auf jeden Fall die Bank informieren, Auszüge prüfen und alle Passwörter von einem sauberen System aus ändern. Bitte die Frage wegen des 2. Rechners beantworten, das hat Priorität.

MfG, pema

bei Antwort benachrichtigen
Peter Schuster Nachtrag zu: „Verdächtige autorun.inf "KLIZAVI/sapun.exe"“
Optionen

Hallo Pema,

ja, ich habe einen 2.Rechner. Gerade hat aber der Norton angeschlagen und eine Datei namens nissan.exe plattgemacht. Seitdem taucht diese autorun.inf nicht mehr auf. Ich werde aber den anderen Rechner benutzen und die Passwörter ändern.

Vielen Dank,
Peter

bei Antwort benachrichtigen
pema1983 Peter Schuster „Hallo Pema, ja, ich habe einen 2.Rechner. Gerade hat aber der Norton...“
Optionen

Hallo Peter

Gerade hat aber der Norton angeschlagen und eine Datei namens nissan.exe plattgemacht.

Das nützt nur nichts, wenn es ein Autorun-Wurm ist, dann wird dieser automatisch neu erstellt und Norton kann da nichts dran ändern. Somit besteht auch die Gefahr der Re-Infizierung. Ich gebe Dir mal den DL-Link von der Live-CD, vielleicht ist es ja doch eine Option für Dich, ich kann es Dir nur empfehlen:

-> http://de.archive.ubuntu.com/ubuntu-releases/9.04/
-> PC (Intel x86) desktop CD

Falls Einwände kommen, daß dieses nicht die neueste Version von Ubuntu ist....

Ich poste mit Absicht die 9.04er Jaunty Jackalope, weil die aktuelle Karmic Koala diverse Bugs hat, so daß man unter bestimmten Umständen nicht ins Internet kommt. Bei der 9.04er besteht diese Problematik nicht.

Die CD als .iso auf dem Rechner speichern, im Brennprogramm mit der Option: "Image auf Disk brennen" auf CD schreiben lassen, und dann den Rechner damit booten.

Das hat den Vorteil, unabhängig vom infizierten Windows agieren zu können. Du kannst mit dieser CD Deine Daten retten (aber nur Texte, Bilder, MP3-Files und Videos), keine ausführbaren Dateien, die müssen verworfen werden.

Auch befallene Wechseldatenträger lassen sich hiermit gefahrlos untersuchen, weil der Schädling unter Linux (Ubuntu) nicht aktiv wird. Falls Du noch Fragen und/oder Interesse hast, ich helfe Dir gerne weiter.

MfG, pema

P. S. Auch ein Ausbleiben von Schädlingssymptomen bedeutet NICHT, alles wieder ok, lies hierzu das mal:

-> http://www.malte-wetz.de/index.php?viewPage=sec-removal.html

bei Antwort benachrichtigen
Prosseco Peter Schuster „Verdächtige autorun.inf "KLIZAVI/sapun.exe"“
Optionen

Ja es scheint, das sich ein ziemliecher Wuestling Code, sich verbreitet.

Kann ich nicht einstufen. Weil ich selber noch nicht eroeffnet habe. Auch weil ich nicht die Zeit hatte. Irgandwas ist am Schilde, mit dieses Autorun Infizierung.


Was ist eine Autorun Datei oder File. Ein Befehlshaber, der sagt:. Hallo Hard/Software, jetz komm ich. Lass mich installieren oder erkennen. Sonst nichts.

Gruss
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
pema1983 Prosseco „Ja es scheint, das sich ein ziemliecher Wuestling Code, sich verbreitet. Kann...“
Optionen

Hallo Sascha,

eine "Autorun-inf" ist eine Funktion, mit der beim Einstöpseln eines USB-Sticks o. ä. sofort ein Programm oder eine Datei gestartet wird, auf welches die "autorun-inf" verweist.

Das kann etwas ganz "normales" Ungefährliches sein, aber bei dem hier geschilderten Fall auch für böse Absichten mißbraucht werden. Sobald der betreffende Datenträger eingestöpselt wird und der User auf dieses Laufwerk zugreift, wird dadurch ein Prozeß initialisiert, der bei der vorliegenden Situation von Peter dazu führte, daß eine Schädlingsdatei ausgeführt wurde.

Bei Wikipedia ist das gut erklärt: http://de.wikipedia.org/wiki/Autorun

Das Perfide daran ist, daß man das nicht durch Löschaktionen mit einem AV-Scanner oder Removal-Tool weg bekommt, auch wenn man der Meinung ist, dem sei so. Stöpselt man den Stick woanders an, oder wieder ans System, erfolgt eine erneute Infizierung, sobald auf das LW zugegriffen wird.

Hier hier hilft nur klar Schiff machen, Daten retten unter Ubuntu, und im Nachgang alle Wechseldatenträger, die ebenfalls an das System angestöpselt wurden, woran der "Ursprungs-Stick" gehangen hat, zu formatieren bzw. zu löschen. Allerding nicht unter dem infizierten Windows, sonst hat man einen Ping-Pong-Effekt, sondern auch nur unter der Live-CD mit Ubuntu.

MfG, pema

bei Antwort benachrichtigen
gretl Peter Schuster „Verdächtige autorun.inf "KLIZAVI/sapun.exe"“
Optionen

Hallo,

ich hab wohl das gleiche Problem wie Peter. Allerdings lässt sich mein USB-Stick auch auf einem "sauberen" Rechner nicht formatieren. Er wird angeblich verwendet, was aber nicht zutrifft :-( Kann man noch was anderes versuchen?

Schöne Grüße,
Gretl

bei Antwort benachrichtigen
Oliver55 gretl „Hallo, ich hab wohl das gleiche Problem wie Peter. Allerdings lässt sich mein...“
Optionen

Hallo Gretl,
Ich hoffe Du hast es so gemacht, wie Peter es beschrieben hat; ansonsten hast Du wohl möglich den nächsten infizierten Rechner. Lade Dir eine Live-CD(Linux am besten) herunter und formatiere den Stick. Linux dürfte die Autorun-Datei nicht erkennen. Guck mal nach der Knoppix-Live CD im Netz.
Gruß Olli

bei Antwort benachrichtigen
linux123 Peter Schuster „Verdächtige autorun.inf "KLIZAVI/sapun.exe"“
Optionen

Die Maleware wird über einen verseuchten USB-Stick verbreitet.
Den Stick kann man unter Linux säubern.
Der Rechner ist aber weiterhin infiziert. Wenn du einen Stick verwendest, wird dieser sofort wieder infiziert.
Der Schädling nistet sich unter verschiedenen Namen ein, unter Windows nicht auffindbar.
NISSAN.EXE oder TORTA.EXE im Ordner Zlatko oder ähnliches.

Was der Code genau macht, weiß ich nicht.
Er versteckt sich jedoch im Windows-Papierkorb.
Entfernen:
Rechner mit einer LINUX-LIVE-CD, z.B. UBUNTU hochfahren.
Anschließend den Windows-Systemordner RECYCLER unter LINUX einfach löschen.
Nachdem im RECYCLER normalerweise nur Müll ist, werden keine relevanten Daten gelöscht.
Danach Rechner neu von der Festplatte booten. Problem beseitigt.
Wer mag, kann in der Registry noch suchen. Da die EXE gelöscht wurde, kann der Virus/Trojaner oder was auch immer nicht mehr ausgeführt werden, dient also nur der Kosmetik.

Nachdem ich mich beretts seit zwei Jahren von Windows verabschiedet habe und zur Ubuntu Fraktion übergelaufen bin, interessiert mich das nicht wirklich. Habe nur einem Kumpel von dem hier beschrieben Übel befreit. Good Luck


bei Antwort benachrichtigen
trilliput Peter Schuster „Verdächtige autorun.inf "KLIZAVI/sapun.exe"“
Optionen

Es wurde ja nichts zu dem Betirebssystem gesagt, wird aber wohl ein Windows sein.

Und dort gibt es seit XP SP3 kein Autostart mehr bei USB Sticks, eben wegen solcher Viren.

Und ich gehe jetzt mal davon aus, dass aktuelle Systeme (Vista SP1, W7) auch nicht "schlecher" da stehen.

Wenn meine VErnutung richtig ist, und da jemand mit einem ungepatschten System unterwegs ist, dann ist der Antivirus noch lange nicht alles, was zu beachten ist...

Jedenfalls kann ich so versaute Sticks, die von Freunden zurückkehren, ohne Weiteres von faulen EXEs und INFs befreien.

bei Antwort benachrichtigen
!stef! Peter Schuster „Verdächtige autorun.inf "KLIZAVI/sapun.exe"“
Optionen

Hallo Leute, habe das gleiche Problem. Hab das hier auch schon verstanden mit dem Löschen (wie es oben beschrieben wurde), nur das mit dem infizieren des Rechners noch nicht so richtig....

Hab mir vor kuzem einen neuen Rechner (dementsprechend virenfrei) gekauft. Als ich dann zum ersten mal meinen Stick angschlossen hab, hat Norton sofort den Trojaner (sapun.exe) erkannt und meinte, die Datei ist blockiert/gelöscht... Ihr Rechner ist geschützt. Habe daraufhin dann aber auf den Stick zugegriffen und Dateien auf meinen Rechner kopiert bzw auch von meinem Rechner auf den Stick gehauen. Ist mein Rechner jetzt totzdem infiziert ???

Konnte das oben nicht so rauslesen, sorry... vllt. kann mir ja jemand helfen ;)

bei Antwort benachrichtigen
!stef! Peter Schuster „Verdächtige autorun.inf "KLIZAVI/sapun.exe"“
Optionen

Keiner der mir helfen kann ?!?!?

bei Antwort benachrichtigen