WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Hardware-Probleme (http://www.wcm.at/forum/forumdisplay.php?f=3)
-   -   Trojaner auf USB-Stick (http://www.wcm.at/forum/showthread.php?t=231936)

HarryS 24.11.2008 16:47
Trojaner auf USB-Stick
 
Hi!
Hoffe mit meiner Frage im richtigen Forumsteil zu sein:

Meine Frau hat sich in ihrer Schule einen Trojaner auf ihrem Stick eingefangen. Mein MC Affee daheim hat ihn erkannt, die autorun.inf konnte ihn trotzdem auf meinem System platzieren (habs gleich wieder gesäubert).
Wie gehe ich jetzt mit dem Stick um, im Wissen, dass wenn ich ihn einstecke der Trojaner gleich wieder aktiv wird?
Sind wichtige Daten drauf, die nicht verloren gehen sollen.
Kann ich die Ausführung bei Einstecken irgendwie unterbinden und die Datei dann löschen?
thanx4help

zAPPEL 24.11.2008 16:59
An einen Linux-PC oder Mac anschließen - falls du soetwas zur Verfügung hast? :)

Huss 24.11.2008 17:05
Zitat:
Zitat von HarryS (Beitrag 2326441)
Kann ich die Ausführung bei Einstecken irgendwie unterbinden und die Datei dann löschen?
So etwas habe ich auch ab und zu in den letzten Monaten.

Falls es die sind, die ich immer habe:

Der Stick infiziert den User des PC's.
Findet man in der Registry unter

HKEY_Current_user/software/windows/currentVersion/run

Da sieht man meist einen exe Datei - die z.b. aus einem geschützten Bereich des PC's geladen wird.

Weglöschen hilft da mal nichts ...weil solange er aktiv ist, schreibt er sich rein.

Bei mir ist er sehr oft da, wo der Papierkorb liegt ...also soetwas wie recyle\000adf134340awd ...eine Zahlenfolge halt, wo der jeweilige User
codiert ist.

Als Administrator (anderer, noch nicht infizierter natürlich) einloggen und
dann wenn auch alle geschützen Verzeichnisse/Files/Systemfiles angezeigt werden (wird man meist einschalten müssen) einfach den Recyler mit diesem nummerncode löschen ......

Dann bei dem User in der Registry den Eintrag der ins leere geht) löschen.

Bei der USB dürfte es so sein:
Der Virenscanner erkennt die Aktion und löscht die Bootdatei am Stick. weiterhin ist aber ein File vorhanden (Autostart) der auf diesen File verweist - daher die Fehlermeldung - und eventuell eine anscheinend leerer unformatierter Stick.

An die Daten kommt man aber dennoch: Alle Laufwerke anzeigen lassen und den USB Stick nicht mit linker maustaste "starten/öffnen" - sondern mit rechter Maustaste den Menüpunkt: "öffnen".

Dann sollte der Stick zugänglich sein ohne Autostart zu aktivieren.

holzi 24.11.2008 17:15
http://www.wintotal.de/Tipps/index.php?id=548

wenn man autorun deaktiviert (s. link) solltest den usb stick anhängen können, ohne dass er gleich autorun öffnet.

LDIR 24.11.2008 18:07
Kann man den Autorun nicht auch überbrücken indem man die ganze Zeit Shift-Taste (Umschalt-Taste) gedrückt hält? Damals hat man so den "wirksamen" Kopierschutz bei DVD-Filmen umgangen.

HarryS 25.11.2008 06:58
Danke für eure Vorschläge. Hab den USB eingesteckt und per rechter Maustaste einen Virusscan gemacht. Dieser hat den Trojaner gefunden und gelöscht.
cu


Alle Zeitangaben in WEZ +2. Es ist jetzt 21:35 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag