Analyse mittels D.D.S.

D.D.S. von sUBs ist ein Tool, um Systeme bei Malwareverdacht/-infektion zu untersuchen.
Das Programm bitte von hier*
http://download.bleepingcomputer.com/sUBs/dds.scr
herunterladen und ausführen.

Nach kurzer Zeit erscheinen zwei Logs, DDS.txt und Attach.txt.



Im DDS.txt-Fenster STRG+a, STRG+c drücken und den Bericht mittels STRG+v in den Thread einfügen oder das Logfile abspeichern und anhängen.

Alternativ-Link: http://download.bleepingcomputer.com/sUBs/dds.com


Achtung: das Programm wird mitunter von AV-Lösungen als schädlich eingestuft. Hierbei handelt es sich um Fehlalarme.

Analyse mithilfe von UsbFix

Anmerkung: Vista und XP-Benutzer sollten, so noch nicht umgesetzt, die Autorun-Funktion deaktivieren.

UsbFix von El Desaparecido & C_XX ist ein Tool, um Einträge/Dateien von Autorun-Würmern im System und auf Wechseldatenträgern aufzuspüren und zu entfernen.
Das Programm von hier**
http://pagesperso-orange.fr/NosTools...e29/UsbFix.exe
herunterladen, bei Vista und Windows 7 die UAC temporär deaktivieren und UsbFix mit Adminrechten ausführen.

In diesem Fenster


"English" auswählen und hier



"1" drücken.
Nun alle Sticks, externe Festplatten etc. anschließen, so die Wechseldatenträger einen Leseschutz haben, diesen entfernen und "OK" drücken.

Der Scan startet und ist in der Regel nach kurzer Zeit beendet.
Danach öffnet sich ein Fenster mit dem Logfile, das auch hier %SystemDrive%UsbFix.txt gespeichert wird.
Diesen Bericht bitte posten oder anhängen.

Alternativ-Link: http://chiquitine.changelog.fr/UsbFix.exe


Achtung: auch dieses Programm wird gelegentlich als schädlich eingestuft. Hierbei handelt es sich ebenfalls um false positives.

Persönliche Daten

Wenn sich in den Logfiles von D.D.S. und UsbFix persönliche Daten wie z.B. C:Dokumente und EinstellungenKlaus Schulze befinden, sollten diese durch Asterisken(C:Dokumente und Einstellungen***) ersetzt werden.

Einsatz von RKill

Es gibt Malware, die das Ausführen von Programmen mit einer Meldung wie z.B. "The file [...] is infected." blockt.
In solchen Fällen bietet sich der Einsatz von RKill(erstellt von Grinler) an.
Das Programm muss mit Adminrechten angewendet werden.

Download-Links:
http://download.bleepingcomputer.com/grinler/rkill.exe
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.scr

Analyse- bzw. Bereinigungstools(wie D.D.S. und UsbFix) müssen direkt nach der Anwendung von RKill gestartet werden.

Wenn ein Schädling meldet, dass rkill.* infiziert sei, diese Warnung ignorieren und das Programm nochmals ausführen.
Sollte das auch trotz mehrfacher Anläufe nicht zum gewünschten Erfolg führen, bitte die Anwendung der umbenannten Kopien des Tools versuchen:
http://download.bleepingcomputer.com...r/iExplore.exe
http://download.bleepingcomputer.com...r/eXplorer.exe

Informationen zu RKill:
http://www.bleepingcomputer.com/forums/topic308364.html

Man beachte, dass es auch hier mitunter zu Fehlalarmen kommt.

Ein großes Dankeschön an emlyn d vom Board computerbase