Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verdächtige autorun.inf "KLIZAVI/sapun.exe"

Peter Schuster / 12 Antworten / Flachansicht Nickles

Hallo Virenspezialisten!
Vermutlich durch einen USB-Stick, der in Südosteuropa benutzt wurde, tritt folgendes Problem auf: Bei allen Wechseldatenträgern taucht plötzlich eine nicht weglöschbare autorun.inf auf. Ich kann die Sticks und Karten auch nicht mehr auswerfen, weil sie "verwendet werden". Anfangs ließ sich das autorun.inf noch im editor öffnen, bei dem blabla tauchte u.a. ein moje.exe auf.

Nun läßt sich das .inf nicht mehr öffnen. Norton erkennt nichts. Der Autorun Eater erkennt beim Löschversuch ein suspicious file KLIZAVI/sapun.exe und kann das auch wegfressen. Aber beim nächsten Betreiben des Sticks etc. taucht das .inf wieder auf. Das heißt ja wohl, dass irgendwo im Rechner dieses autorun.inf wieder neu generiert wird.

Wie mach ich das platt?

Viele Grüße,
Peter Schuster


Den Inhalt von diesem file kann ich mit dem Eater lesen, hilft das, wenn ich ihn poste?

bei Antwort benachrichtigen
pema1983 Prosseco „Ja es scheint, das sich ein ziemliecher Wuestling Code, sich verbreitet. Kann...“
Optionen

Hallo Sascha,

eine "Autorun-inf" ist eine Funktion, mit der beim Einstöpseln eines USB-Sticks o. ä. sofort ein Programm oder eine Datei gestartet wird, auf welches die "autorun-inf" verweist.

Das kann etwas ganz "normales" Ungefährliches sein, aber bei dem hier geschilderten Fall auch für böse Absichten mißbraucht werden. Sobald der betreffende Datenträger eingestöpselt wird und der User auf dieses Laufwerk zugreift, wird dadurch ein Prozeß initialisiert, der bei der vorliegenden Situation von Peter dazu führte, daß eine Schädlingsdatei ausgeführt wurde.

Bei Wikipedia ist das gut erklärt: http://de.wikipedia.org/wiki/Autorun

Das Perfide daran ist, daß man das nicht durch Löschaktionen mit einem AV-Scanner oder Removal-Tool weg bekommt, auch wenn man der Meinung ist, dem sei so. Stöpselt man den Stick woanders an, oder wieder ans System, erfolgt eine erneute Infizierung, sobald auf das LW zugegriffen wird.

Hier hier hilft nur klar Schiff machen, Daten retten unter Ubuntu, und im Nachgang alle Wechseldatenträger, die ebenfalls an das System angestöpselt wurden, woran der "Ursprungs-Stick" gehangen hat, zu formatieren bzw. zu löschen. Allerding nicht unter dem infizierten Windows, sonst hat man einen Ping-Pong-Effekt, sondern auch nur unter der Live-CD mit Ubuntu.

MfG, pema

bei Antwort benachrichtigen