Löschen unmöglich: Worm.Win32.AutoRun.nuu

[pat]

Hallo ich habe mir einen Trojaner eingefangen Kasper Sky 2009 Internet Security meldet mir: Löschen unmöglich: Worm.Win32.AutoRun.nuu

Er hat sich in der /:C auto.run datei festgesetzt,
nach erfolgreicher durchführung von Kaspersky meldet mein Computer nun er sei sicher, hab ich ihn wirklich runter?

[mbeezy]

Geh mal auf Start -> Ausführen -> "msconfig" (ohne die " ") -> Reiter: Systemstart

Steht da noch etwas Unbekanntes?

[zug404]

1.Kaspersky Runterladen

2.Gehe auf Rechtsklick Arbeitsplatz ------->Systemwiederherstellung------>Deaktiviere die Systemwiederherstellung

3.Pc Neustarten in den Abgesicherten Modus gehen und Kaspersky durchscanen lassen.

[pat]

Ich habe bei der msnconfig die Systemeinträge durchgeschaut,
ich habe nichts ungewöhnliches bemerkt alle Startprozesse sind mir bekannt.

Warum muss ich Kaspersky im abgesicherten Modus starten,
was macht das für ein Unterschied?

Warum muss ich die Systemwiederherstellung deaktivieren?

[mbeezy]

Wenn du mal irgendwas Schädliches auf dem PC hattest, wird das für die Systemwiederherstellung natürlich mitgespeichert. Demnach ist einer oder mehrere dieser Systemwiederherstellungspunkte auch infiziert, wenn auch nicht aktiv. So kann es vorkommen, dass du in der Zukunft "Funde" im Ordner C:\System Volume Information\ hast. Kurz deaktivieren, dann werden diese Punkte gelöscht, und wieder aktivieren.

[zug404]

Poste mal hier einen Hijackthis Log vllt finden wir ja was außergewöhnliches

[pat]

Bitteschön ich seh da eh nicht durch.

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:02, on 30.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1223027543890
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: ,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGR A~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASP ER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KAS PER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6313 bytes[/Code]

[AndreasSwiss]

also ich empfehle eine Linux LiveCD, dann booten von der, dann antivir darüber und weg iser.

[zug404]

Ich würde dir empfehlen das hier zu löschen:

R3 - URLSearchHook: (no name) - - (no file)

Löst zwar auch nicht dein Problem.

Ich würde ausserdem alle Systemwiederherstellungspunkte löschen und wie gesagt Sytemwiederherstellung aus auf allen Datenträgern und mach das was ich im ersten post geschrieben habe!!

Habe durch Googeln das hier gefunden:
http://forum.kaspersky.com/index.php...0&#entry773550

Dem wurde geholfen aber man findet auch noch mehr einfach googeln:

Sonst kann ich dir noch einen Tipp auf dem weg geben:
1.Brain.exe immer benutzen
2.Kaspersky Internet Security druf auf Vmware (wenn du das hast) Anti Vir
3.Gmer installieren
4.Spybot search & Destroy installieren

Aber eigentlich brauchst du alles nicht wenn du Brain.exe richtig benutzt.

[pat]

Also ich habe Systemwiederherstellungspunkte einmal deaktiviert
& dann wieder aktiviert (damit sie aus der Rigistry raus sind)

Spybot search & Destroy und Kaspersky vertragen sich nicht,
dann Kaspersky hatte bei der installation gebeten das du entf. anders
war es leider nicht möglich mir das Prog. raufzuziehen.

1. Was ist Brain.exe [kurz zusammengefasst]
2. Habe ich, bloß noch nicht installiert
3. Was macht Gmer?
4. (steht ja schon oben im zweiten Absatz)