WORM/Kido.IH.54 auf n900 und USB Stick

[ap0k.]

Ich weiß das Thema wurde schon oft durchgegangen, doch leider sind die Threads alle schon einen tag aelter und ich steig nicht so ganz durch. Außerdem bin ich beim Thema Virus extrem verunsichert, da ich noch nie einen hatte.

Wie der Titel schon sagt, erscheint immer wenn ich meinen USB Stick oder mein n900 per USB mit dem Rechner verbinde, die Antivir Meldung, dass "WORM/Kido.IH.54" gefunden wurde, und ich verweigere natuerlich den die autorun.inf.

Bei dem Systemcheck wurde von Antivir personal nichts gefunden. So richtig kann ich mirs aber nicht vorstellen.

Also Frage eins, wie kann ich herausfinden, ob meine Sys-Platte infiziert ist und Frage 2, wie kann ich den Wurf vom Rechner (wenn vorhanden) und vom USB Stick loeschen?

 

[Freak-X]

- USB-Stick und N900 an einen sauberen Rechner anschließen, vorher aber unbedingt jedgliche Autostart- Funktionen abschalten!
- Auf diesem Rechner mit zwei verschiedenen Scannern (Auf Grund der Gefahr von Fehlalarmen und eben das Motto "Zwei Augen sehen mehr, als eins") nacheinander die beiden Geräte scannen. Entweder zwei unterschiedliche Programme oder Gdata; das hat eh zwei Engines)
- Einen anderen Virenscanner auf deinem PC einsetzten, Antivir ist... XXXXXXX

Die Platte deines Systems ausbauen und wie nach obigem Schema mit zwei unterschiedlichen Scannern in einem anderen System nacheinander Scannen. (Das ist nötig, damit keine Viren und co. im Autostart ihr Unwesen treiben können.)

 

[Meerschweinmann]

Dabei handelt es sich um Conficker, welcher sich über die USB- Schnittstelle verbreitet. Der Wurm wird von Avira erkannt. Ich würde die Geräte aber ganz sicher nicht zum säubern an andere Rechner anschließen.

Die beiden Geräte sollten gesäubert werden. Beim anstecken (auch zukünftig) der Geräte Shift drücken, das verhindert einen Autorun. Dann mit einem Anti- Conficker Programm wie KKiller von Kaspersky ausmerzen.

Nachtrag, leicht vergesslich...

Um dann sicher zu gehen, dass die Platte verschont wurde, eine Linux Live CD erstellen (z.Bsp. Ubuntu), aktuelles Antiviren Programm (gibt so ziemlich alle auch für Linux) laden und scannen.

 

[emlyn d.]

ob conficker es ins system geschafft hat, lässt sich anhand eines dds-logs(https://www.computerbase.de/forum/t...cht-infektion-vor-dem-posten-beachten.741157/) beurteilen.
hinsichtlich der infizierten wechseldatenträger empfiehlt sich das: http://forum.chip.de/viren-trojaner...fizierten-datentraegern-rechnern-1133907.html
um sticks etc. und das system in bezug auf autorun-würmer zu "immunisieren", kann man z.b. auf option 3 von usbfix(siehe erster link) zurückgreifen.

 

[ap0k.]

Okay, werde ich machen. Was ist eigentlich das Ziel des Conficker Wurms?

Achja, gab es nichtmal so ein Tool, dass automatisch autoruns unterdrueckt und stoppt, sowohl bei DVDs CDs etc, als auch bei Wechseldatentraegern?

 

[Meerschweinmann]

http://de.wikipedia.org/wiki/Conficker


Gpedit.msc ausführen

-> Administrative Vorlagen -> Windows Komponenten -> Richtlinie für automatische Wiedergabe -> Autoplayoptionen nach Wunsch einstellen

 

[BrollyLSSJ]

Achja, gab es nichtmal so ein Tool, dass automatisch autoruns unterdrueckt und stoppt, sowohl bei DVDs CDs etc, als auch bei Wechseldatentraegern?

Panda USB Vaccine.

Btw. kannst du auch die Kaspersky Rescue CD laden, brennen und damit den Rechner scannen. Der findet und vernichtet den Wurm Conficker / Downadup / Kido.

 

[ap0k.]

Die hier http://support.kaspersky.com/de/viruses/rescuedisk

?

 

[BrollyLSSJ]

Jo die. Damit bootest du ein Linux, wo der Kaspersky Scanner bei ist. Oder eben den von nollox genannten Kido Killer (musst dafuer in Windows sein).

 

[oxigno]

Hallo,

eine Bekannte von mir hat auf meinem PC ihre kamera angeschlossen auf der sich der Kido.ih Wurm befand.Mein Kaspersky ist sofort angesprungen und hat mich gewarnt.USB Autostart hatte ich deaktiviert.

ich denke nun daß er nicht rübergekommen ist,da ich schonmal ein mit dem Wurm befallenes System hatte und keinerlei Symtome habe und verschiedene Virenscanner nichts finden.

Aber was mich stutzig macht ....ich habe mit dieser Anleitung "Datenrettung von (möglicherweise) infizierten Datenträgern/Rechnern
Ubuntu installiert um den Virus zu löschen.Aber als ich unter Ubuntu auf die Kamera zugegriffen hab,war dort nur eine Autorun.inf Datei -die ich gelöscht hab- und keine Setup Datei.Ausserdem hab ich noch die papierkorb datei gelöscht.

Der Virus kann doch nicht nur aus einer Autorun.inf datei bestehen?!?

Edit:weiss das echt keiner?bitte antworten.

 

[BrollyLSSJ]

Naja, die inf ist ja quasi auch ausfuehrbar und der KiDo verbreitet sich ja per autorun.inf. Ich nehme an, dass da noch gewisse Eintraege vorhanden waren und Kaspersky die entdeckt hat.

 

[oxigno]

danke für die Infos.
Die Säuberungsaktion hab ich mit dem Ubuntu Live System durchgeführt da war kaspersky nicht mit im Spiel.

Und als ich davor die Kamera an mein System angeschlossen hab und das Kaspersky Warnfenster aufging,hab ich sofort reflexartig den USB Stecker rausgezogen.

Ich glaub nicht daß KIS ohne ein Warten auf Bestätigung einfach den Virus löscht.
Im LOG steht nur :

15.10.2010 16:20:28 Nicht gefunden Virus Net-Worm.Win32.Kido.ir G:\autorun.inf Hoch

Mir fällt grad ein du könntest recht haben,es gibt ja auch Treiber mit .inf endung und die sind auch ausfürhbar.
Kann das vorsichtshalber noch jemand bestätigen daß der Wurm auf der Kamera nur aus der Autorun.inf datei besteht und ich nichts übersehen habe?