Viren, Spyware, Datenschutz 11.214 Themen, 94.189 Beiträge

Verdächtige autorun.inf "KLIZAVI/sapun.exe"

Peter Schuster / 12 Antworten / Flachansicht Nickles

Hallo Virenspezialisten!
Vermutlich durch einen USB-Stick, der in Südosteuropa benutzt wurde, tritt folgendes Problem auf: Bei allen Wechseldatenträgern taucht plötzlich eine nicht weglöschbare autorun.inf auf. Ich kann die Sticks und Karten auch nicht mehr auswerfen, weil sie "verwendet werden". Anfangs ließ sich das autorun.inf noch im editor öffnen, bei dem blabla tauchte u.a. ein moje.exe auf.

Nun läßt sich das .inf nicht mehr öffnen. Norton erkennt nichts. Der Autorun Eater erkennt beim Löschversuch ein suspicious file KLIZAVI/sapun.exe und kann das auch wegfressen. Aber beim nächsten Betreiben des Sticks etc. taucht das .inf wieder auf. Das heißt ja wohl, dass irgendwo im Rechner dieses autorun.inf wieder neu generiert wird.

Wie mach ich das platt?

Viele Grüße,
Peter Schuster


Den Inhalt von diesem file kann ich mit dem Eater lesen, hilft das, wenn ich ihn poste?

bei Antwort benachrichtigen
linux123 Peter Schuster „Verdächtige autorun.inf "KLIZAVI/sapun.exe"“
Optionen

Die Maleware wird über einen verseuchten USB-Stick verbreitet.
Den Stick kann man unter Linux säubern.
Der Rechner ist aber weiterhin infiziert. Wenn du einen Stick verwendest, wird dieser sofort wieder infiziert.
Der Schädling nistet sich unter verschiedenen Namen ein, unter Windows nicht auffindbar.
NISSAN.EXE oder TORTA.EXE im Ordner Zlatko oder ähnliches.

Was der Code genau macht, weiß ich nicht.
Er versteckt sich jedoch im Windows-Papierkorb.
Entfernen:
Rechner mit einer LINUX-LIVE-CD, z.B. UBUNTU hochfahren.
Anschließend den Windows-Systemordner RECYCLER unter LINUX einfach löschen.
Nachdem im RECYCLER normalerweise nur Müll ist, werden keine relevanten Daten gelöscht.
Danach Rechner neu von der Festplatte booten. Problem beseitigt.
Wer mag, kann in der Registry noch suchen. Da die EXE gelöscht wurde, kann der Virus/Trojaner oder was auch immer nicht mehr ausgeführt werden, dient also nur der Kosmetik.

Nachdem ich mich beretts seit zwei Jahren von Windows verabschiedet habe und zur Ubuntu Fraktion übergelaufen bin, interessiert mich das nicht wirklich. Habe nur einem Kumpel von dem hier beschrieben Übel befreit. Good Luck


bei Antwort benachrichtigen