Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verfolgung starten Optionen

Verdächtige autorun.inf "KLIZAVI/sapun.exe"

Peter Schuster / 12 Antworten / Flachansicht Nickles

Hallo Virenspezialisten!
Vermutlich durch einen USB-Stick, der in Südosteuropa benutzt wurde, tritt folgendes Problem auf: Bei allen Wechseldatenträgern taucht plötzlich eine nicht weglöschbare autorun.inf auf. Ich kann die Sticks und Karten auch nicht mehr auswerfen, weil sie "verwendet werden". Anfangs ließ sich das autorun.inf noch im editor öffnen, bei dem blabla tauchte u.a. ein moje.exe auf.

Nun läßt sich das .inf nicht mehr öffnen. Norton erkennt nichts. Der Autorun Eater erkennt beim Löschversuch ein suspicious file KLIZAVI/sapun.exe und kann das auch wegfressen. Aber beim nächsten Betreiben des Sticks etc. taucht das .inf wieder auf. Das heißt ja wohl, dass irgendwo im Rechner dieses autorun.inf wieder neu generiert wird.

Wie mach ich das platt?

Viele Grüße,
Peter Schuster


Den Inhalt von diesem file kann ich mit dem Eater lesen, hilft das, wenn ich ihn poste?

bei Antwort benachrichtigen
Nachtrag zu: Verdächtige autorun.inf "KLIZAVI/sapun.exe" Peter Schuster
Hallo Peter Hallo Virenspezialisten! Vermutlich durch einen USB-Stick, der ... pema1983
Hallo Pema, ja, ich habe einen 2.Rechner. Gerade hat aber der Norton ... Peter Schuster
pema1983 Peter Schuster „Hallo Pema, ja, ich habe einen 2.Rechner. Gerade hat aber der Norton...“
Optionen

Hallo Peter

Gerade hat aber der Norton angeschlagen und eine Datei namens nissan.exe plattgemacht.

Das nützt nur nichts, wenn es ein Autorun-Wurm ist, dann wird dieser automatisch neu erstellt und Norton kann da nichts dran ändern. Somit besteht auch die Gefahr der Re-Infizierung. Ich gebe Dir mal den DL-Link von der Live-CD, vielleicht ist es ja doch eine Option für Dich, ich kann es Dir nur empfehlen:

-> http://de.archive.ubuntu.com/ubuntu-releases/9.04/
-> PC (Intel x86) desktop CD

Falls Einwände kommen, daß dieses nicht die neueste Version von Ubuntu ist....

Ich poste mit Absicht die 9.04er Jaunty Jackalope, weil die aktuelle Karmic Koala diverse Bugs hat, so daß man unter bestimmten Umständen nicht ins Internet kommt. Bei der 9.04er besteht diese Problematik nicht.

Die CD als .iso auf dem Rechner speichern, im Brennprogramm mit der Option: "Image auf Disk brennen" auf CD schreiben lassen, und dann den Rechner damit booten.

Das hat den Vorteil, unabhängig vom infizierten Windows agieren zu können. Du kannst mit dieser CD Deine Daten retten (aber nur Texte, Bilder, MP3-Files und Videos), keine ausführbaren Dateien, die müssen verworfen werden.

Auch befallene Wechseldatenträger lassen sich hiermit gefahrlos untersuchen, weil der Schädling unter Linux (Ubuntu) nicht aktiv wird. Falls Du noch Fragen und/oder Interesse hast, ich helfe Dir gerne weiter.

MfG, pema

P. S. Auch ein Ausbleiben von Schädlingssymptomen bedeutet NICHT, alles wieder ok, lies hierzu das mal:

-> http://www.malte-wetz.de/index.php?viewPage=sec-removal.html

bei Antwort benachrichtigen
Ja es scheint, das sich ein ziemliecher Wuestling Code, sich verbreitet. ... Prosseco
Hallo Sascha, eine Autorun-inf ist eine Funktion, mit der beim Einstöpseln ... pema1983
Hallo, ich hab wohl das gleiche Problem wie Peter. Allerdings lässt sich ... gretl
Hallo Gretl, Ich hoffe Du hast es so gemacht, wie Peter es beschrieben hat ... Oliver55
Die Maleware wird über einen verseuchten USB-Stick verbreitet. Den Stick ... linux123
Es wurde ja nichts zu dem Betirebssystem gesagt, wird aber wohl ein Windows ... trilliput
Hallo Leute, habe das gleiche Problem. Hab das hier auch schon verstanden ... !stef!
Keiner der mir helfen kann ?!?!? !stef!