> > Bei uns fehlte halt nur Autorun.inf. Keine Ahnung, ob jemand
> diese
> > Datei wegen des Virus\' gelöscht hat oder ob sie aus anderen Gründen
> nicht
> > (mehr?) da war. Der Rest jedenfalls war genau wie beschrieben.
>
> Möglicherweise wurde die autorun.inf durch ein AV-Programm derjenigen, die
> den Stick zuvor benutzt hatten, inzwischen entfernt.
Das ist die eine Möglichkeit; die andere wäre ein Programmierfehler im Virus oder irgendein Problem beim Schreiben der
Autorun.inf.
> > Da es aber heute auf meinem Rechner merkwürdige Vorfälle gegeben hat,
> muss
> > ich befürchten, dass der Virus doch irgendwie losgelegt hat.
> > Dementsprechend bin ich jetzt erst mal beschäftigt... 
>
> Genau aus diesem Grund sollte man verdächtige Wechseldatenträger *nicht*
> unter einem laufenden Windows in \"die Dose\" stöpseln - auch nicht, um mit
> einem Virenscanner drüber zu gehen. Das Mittel der Wahl ist in so einem
> Fall eher eine Linux-Live-CD.
Ich hab\'s mit einem installierten Linux gemacht, was noch relativ sicher sein sollte. Und die bisher beschriebenen Conficker-Varianten hatten ja mit Linux auch nix am Hut.
Also habe ich den ganzen Kram vom Stick unter Linux \'runterkopiert und den Stick dann mit
mkdosfs \"formatiert\". Danach kopierte ich kleiner Paranoiker noch so lange Daten auf den Stick, bis er voll war (und damit nahezu alles überschrieben worden war) und löschte die Daten dann wieder. Da Linux außerdem eine etwas andere \"Geometrie\" des Datenträgers gewählt hatte, schien mir das dann sicher genug zu sein, zumal dieses Rechnerlein normalerweise auch unter Windows gar nicht ins Internet kommt.
Der Rechner wurde abgeschaltet (komplett Strom aus für 30 Sekunden) und wieder eingeschaltet, und alsdann XP gestartet. Ich musste halt nachsehen, ob der Stick mit der veränderten Datenträger-\"Geometrie\" noch unter Windows erkannt wurde; manchmal klappt\'s nicht. Schien alles OK zu sein, also nahm ich den Stick \'raus und gab mich erst mal einem PC-Spiel hin.
Später ging\'s zurück zu Linux, wo ich die der Infektion unverdächtige TIFF-Bilddatei wieder auf den Stick brachte. Die PDF-Datei ließ ich lieber mal weg, die war sowieso unbrauchbar.
Irgendwann fielen mir dann einige DLLs im Wurzelverzeichnis einer FAT-Partition auf. Die gehören da aber nicht hin und waren einige Stunden zuvor auch nicht da gewesen.
Ich schickte alle vier mal unter Linux zur Analyse ins Internet, aber die DLLs waren alle unverdächtig. Zudem waren drei der vier auch auf diesem und einem anderen Rechner zu finden und identisch, was auch eher auf normale DLLs am falschen Platz hinweist. Außerdem arbeitete auch gerade jenes von mir gezockte Spiel mit dreien der DLLs. Komisch nur, dass die vierte DLL nirgendwo sonst zu finden war.
Zu diesem Zeitpunkt fiel mir auf, dass ich die \"Ereignisanzeige\" unter XP nicht mehr starten/öffnen/ansehen konnte. Auch sonst war der Rechner unter XP jetzt langsam und ackerte etwas zuviel für meinen Geschmack auf der Festplatte herum.
Des Weiteren meckerte XP einmal beim Hochfahren, eine Partition müsse überprüft werden, und winselte dann irgendwas, wonach eine Datei von Mozilla nicht mehr OK wäre. Dann löschte es ganz schnell den Bildschirm, damit ich das bloß nicht lesen konnte.
Ich habe dann die beiden installierten Windowse platt gemacht und durch saubere Partitions-Images ersetzt, anschließend kamen die Partitionssektoren der Festplatten sowie die von mir gelegentlich verwendeten Bootdisketten dran. Dasselbe zur Sicherheit auch bei einem zweiten Rechner, der über Netzwerk erreichbar ist und den Tag über eingeschaltet war.
Jetzt werd\' ich mal zusehen, dass ich auf dem \"verdächtigen\" Rechner einen oder mehrere Virenscanner mal ans Laufen kriege. Falls die dann nur noch die eine Kopie des Virus finden, die ich unter Linux vom USB-Stick woanders hin kopiert habe, dann gehe ich erst mal von einem gesäuberten Rechner aus und beobachte in den nächsten Tagen das Verhalten dieses Rechenknechtes sowie das Logbuch unseres Routers (bislang nix Verdächtiges zu sehen).
Es erscheint mir immer noch wahrscheinlicher, dass das Spiel Mist gebaut hat als dass es sich um den Virus handelt, aber da ich bisher keine anständige Beschreibung dieser Conficker-Variante fand, sondern nur ausführliche Beschreibungen der ersten Varianten von vor einem Jahr, mach\' ich mir lieber mal die Mühe und miste meinen Rechner-Saustall gründlich aus.
Archiv