✔ Autorun Datei und Recycler auf USB Stick

[doctoramadeus]

Hallo Leute!
Ich habe folgendes Problem mmit meinem DatenStick:
Beim Einstecken des Sticks schreibt irgendein Programm (ich denke Windows) eine Autorun-Datei und eine Datei namens Recycler32 auf den Stick.
Diese kann ich beide nicht löschen. Beim Löschversuch kommt Meldung: geht nicht, ist gerade in Gebrauch etc.
Das Problem ist nun: für die Datensicherung eines bestimmten Programms brauche ich einen absolut leeren Stick, sonst springt die Sicherung nicht an. Ansonsten würden mich die beiden Dateien (evtl.) nicht stören.
Im Ordner Recycler32 sind Dateien, die ich vor längerer Zeit (von einem anderen Stick!!) gelöscht habe, und sund die scheinbar aus dem Nichts wieder auftauchen.
Könnt ihr mir helfen das Schreiben der beiden Dateien zu unterdrücken?

Vielen Dank für eure Hilfe!!
Gruß
Amadeus


win XP, ich glaube kein Service Pack3 (PC hängt nicht am Netz)
Sticks sind von Sony und von Trekstore

 

[Dr Dau]

Hallo!

Beim Einstecken des Sticks schreibt irgendein Programm (ich denke Windows) eine Autorun-Datei und eine Datei namens Recycler32 auf den Stick.

Ich denke nicht dass es von Windows kommt.
Ich habe es jedenfalls noch nicht erlebt..... weder unter W2k, noch unter XP und auch nicht unter Vista.

Im Ordner Recycler32 sind Dateien, die ich vor längerer Zeit (von einem anderen Stick!!) gelöscht habe, und sund die scheinbar aus dem Nichts wieder auftauchen.

Das spricht eigentlich dafür dass Du Dir auf dem PC irgendeine Software installiert oder "eingefangen" hast.
Ich würde also mal im Task-Manager nachsehen was da so alles läuft.
Ich würde auch nachsehen was da so alles automatisch gestartet wird (Start --> ausführen --> msconfig).
Ein Virenscan kann ggf. auch nicht schaden.

Gruss Dr Dau

[edit]

win XP, ich glaube kein Service Pack3 (PC hängt nicht am Netz)

Du weisst nicht ob Du das SP3 installiert hast?
Dann wirst Du wohl auch nicht wissen was für Software Du installiert hast.
[/edit]

 

[doctoramadeus]

Hallo Dr. Dau!


Danke Dir für Antwort. Das mit dem „glaube ich“ waren zwei Worte zu viel: Es ist kein Service Pack3 drauf.
Dein Tipp mit dem Taskmanager und msconfig habe ich befolgt. Nur – da verlassen mich so langsam dann doch meine Kenntnisse, und auch der Mut dort etwas zu ändern. Wobei ich kein „dmgr.exe“ (siehe unten) gefunden habe. In den Einstellungen habe ich auch nach versteckten gesucht.
Mittels eines anderen PC habe ich die Datei einmal geöffnet. Der Inhalt lautet wie folgt.

[autorun]
open=RECYCLER32\dmgr.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER32\dmgr.exe
shell\open\default=1

könnt ihr damit was anfangen wo kann ich den dmgr.exe abschalten?

Danke für Hiiiiilfe!


Amadeus

 

[Dr Dau]

Viel scheint es über die Datei nicht zu geben..... und das was man findet, deutet auf einen "Schädling" hin.
Ich würde erstmal im abgesicherten Modus (beim booten F8 drücken) einen vollständigen Virenscan aller Partitionen und Dateien machen.
Wenn das nichts hilft, dann würde ich mit HijackThis ein Logfile erstellen und automatisch auswerten lassen.
Ansonsten würde ich mich an die Jungs (und Mädels) vom Trojaner-Board wenden, die haben einfach mehr Erfahrungen.

 

[doctoramadeus]

Hallo Doktorchen Dau!

Da scheint ja mein Programm für das Wochenende schon zu stehen!

Es wird wohl so sein wie Du schreibst: Schädling.
Danke insbesondere für die Links !! Bin eben doch nur kleiner Anwender.:-(
Muss mich jetzt noch beim Hersteller schlau machen, ob das ganze Procedere sich mit meiner (einen) Software verträgt. Das Programm is irgendwie anfällig. Mit Wartungsvertrag usw. - besser ich checke das vorher ab.


Fettes DANKE! Für Dein Ohr!
LG!
Amadeus

 

[Dr Dau]

Mit Wartungsvertrag usw. - besser ich checke das vorher ab.

Auf jedenfall..... und natürlich alles schriftlich bestätigen lassen.
Bei einem Wartungsvertrag dürfte es sich ja sicherlich um eine Hochwertige Spezialanwendung handeln...... und die ist mit entsprechenden Kosten verbunden.
Und Du weisst ja, da wo es um Geld geht wird die Schuld gerne auf andere abgeschoben.

 

[genodeftest]

Außerdem würde ich an deiner Stelle alle Benutzer informieren, die diesen USB-Stick genutzt haben. Unbedingt über alle PCs, an denen der USB-Stick angeschlossen war, mit Virenschutz etc. überprüfen und bis dahin das Internet abstecken.
Ich hatte auch mal so einen Virus an meinem PC, man glaubt gar nicht wie schnell sich so was ausbreitet, bei mir hat er angefangen, die Dateien im Ordner "Eigene Dateien" unlesbar zu machen.
Für die Zukunft rate ich dir, Autorun/Autoplay auf allen Laufwerken zu deaktivieren.
Das geht z.B. mit TweakUI,
hier kannst du detaillierte Einstellungen vornehmen:
http://www.winfaq.de/faq_html/Content/tip0000/onlinefaq.php?h=tip0055.htm

 

[doctoramadeus]

Melde mich doch noch mal.
Einmal wegen eurer netten Antworten und andererseits, weil ich den ganzen verda...ten Tag mit meinem Trojaner zu tun hatte. Ja richtig es war ein Trojaner den ich mit einer recht bekannten Freeware (darf ichs schreiben? Nein? fängt mit A an) entfernen konnte. Von drei PCs und 4-5 Sticks, sowie 5 DatensicherungsDVDs (Mo-Fr) alles verpestet! Son Sch....!!
Schade um die Zeit - und rein zufällig hat man ja "nebenbei" auch noch was zu tun.
@geno... . natürlich werden weitere Entseuchungen weiterer PCs folgen. Keine Frage! bezgl der Deaktivierung des Autostarts gabs hier schon mal im Forum einen netten Tipp. (Ich glaub es war das Doktorchen Dau ) Schau mal hier. Nur , Autostart deaktiviren und dann vorher nen VirenCheck machen oder wie?
@ Doktorchen: genau so ist es! Du hast es! Habe das ok bekommen. Genau: WICHTIG!
So habe ich wohl wieder was dazu gelernt:
Mit Viren ist es Umgekehrt proportional wie mit Datensicherungen. Du beschäftigst Dich erst damit wenn Du sie (nicht) hast!
Ich danke euch!
Schönes WE! mit nicht zu viel Blitzen! hier in Nordbayern gehts grad verstärkt los. ich schalte besser ab!
LG!
Amadeus

 

[Dr Dau]

Ja richtig es war ein Trojaner den ich mit einer recht bekannten Freeware (darf ichs schreiben? Nein? fängt mit A an) entfernen konnte.

Wäre interessant wie sich der Trojaner nennt.
Ich sehe da kein Problem den Namen von der Freeware zu nennen.
Zum einen weil es Freeware ist und somit eh keine kommerzielle Werbung gemacht werden würde und zum anderen weil andere User sich ja evtl. mal den gleichen Trojaner eingefangen haben könnten.
Da wäre es doch recht interessant zu wissen wie man diesen wieder loswird.

Von drei PCs und 4-5 Sticks, sowie 5 DatensicherungsDVDs (Mo-Fr) alles verpestet! Son Sch....!!

Da hat es Dich ja ganz schön erwischt.
Die Datensicherungen von der Vorwoche sind sauber?
Dann lässt es sich ja zumindest noch reproduzieren an wen Du den Trojaner evtl. "weitergereicht" haben könntest.

Nur , Autostart deaktiviren und dann vorher nen VirenCheck machen oder wie?

Ja.
Noch besser wäre es allerdings den Virenscanner per default Wechseldatenträger automatisch prüfen zu lassen.
Könnte allerdings nicht einfach werden, da bei externen Laufwerken ja nicht grundsätzlich der gleiche Laufwerksbuchstabe vergeben wird.

Mit Viren ist es Umgekehrt proportional wie mit Datensicherungen. Du beschäftigst Dich erst damit wenn Du sie (nicht) hast!

Ich durfte gerade die Erfahrung machen dass eine Datensicherung nur dann etwas taugt, wenn man sie mehrfach hat.
Datensicherung auf dem Stick..... Stick war gerade eingestöpselt..... System (ausnahmsweise mal nicht Windows) ist abgeschmiert..... und schon hat es ca. 600 MB bzw. ca. 5.000 Dateien ins Nichts gerissen.

 

[doctoramadeus]

Hallo zusammen!
Da bin ich wieder. Es war das Trojanische Pferd TR/Crypt.ZPACK.Gen

Dieses tummelt sich offensichtlich inzwischen recht fleißig und ist auf dem "Trojaner-board" auch nicht mehr ganz unbekannt. Wie es ausschaut bin ich aber doch noch ganz glimpflich davon gekommen.
Das mit dem Autostart ausschalten oder auch default Check hört sich gut und logisch an.
Muss mich mal einarbeiten. "Default" wohl eher zu kompliziert.

Melde mich ab!
LG! Bis zum nächsten Mal
Amadeus