PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : 3 Viren/Trojaner-Funde in AntiVir im System Volume Information-Verzeichnis


Chris1337
2008-06-24, 08:09:39
Morgen,

vorab hoffe ich, dass ichs im richtigen Forum poste. Ansonsten bitte verschieben. :redface:


Also ich habe gerade mal einen kompletten Suchlauf mit AntiVir gemacht und zum Schluss erschreckendes festgestellt:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 24. Juni 2008 07:23

Es wird nach 1355845 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: RECHNER

G:\System Volume Information\_restore{20DF6BBC-B7AB-404B-8294-86FA32AC9EF7}\RP76\A0019577.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.ayi.21
[HINWEIS] Die Datei wurde gelöscht.
G:\System Volume Information\_restore{2FF9941C-901E-4F6A-970E-70F5285D89E7}\RP80\A0009383.exe
[FUND] Ist das Trojanische Pferd TR/Agent.SK.14
[HINWEIS] Die Datei wurde gelöscht.
G:\System Volume Information\_restore{6BDAB130-2F95-4C63-BE52-FE5E8DBA4652}\RP273\A0047277.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sumom.C.20
[HINWEIS] Die Datei wurde gelöscht.

Da ich aber meine Systemwiederherstellung auf allen Festplatten deaktiviert habe, würde ich gerne wissen, wie sich diese Dinger bei mir einnisten konnten und vor allem, was das für Trojaner bzw. Viren sind / waren, da ich über Google nichts brauchbares gefunden habe...

Drunk Master
2008-06-24, 17:42:18
Ohne jetzt was über antiVir zu sagen ,Fehlalarm ist wohl die logischste erklärung.

mfg
drunk

Bandit666
2008-06-24, 19:20:21
Hi!

Ich würde mit anderen Suchtools und Hijackthis gegenchecken. Auf Fehlalarm zu tippen halte ich für reichlich verfrüht.

mfg

Andi_669
2008-06-24, 21:37:34
Ist das eine lokale oder eine USB Festplatte, G: ist ja schon recht weit in den Laufwerksbuchstaben,
wenn es eine USB-Platte ist u. du die mal bei jemanden anderes hattest, kann es auch sein das dessen Rechner ein Problem hat,
die Systemwiderherstellung von XP überwacht auch USB Platten u. pfuscht gegebenenfalls auch in System Volume Information-Verzeichnissen rum:|

Chris1337
2008-06-24, 21:54:02
Nene, das ist eine interne von mir. G: ist nur, weil ich mehrere Partitionen habe und mehrere Festplatten. Bis jetzt ist aber nichts mehr aufgetaucht, nach heute morgen.

Andi_669
2008-06-24, 22:01:44
Marlboro;6612736']Nene, das ist eine interne von mir. G: ist nur, weil ich mehrere Partitionen habe und mehrere Festplatten. Bis jetzt ist aber nichts mehr aufgetaucht, nach heute morgen.
Hätte ja sein können, ist aber schon seltsam, wenn da was versucht hätte dein Win anzugreifen müsste es eigentlich im System Volume Information-Verzeichnis von den Sysplatte sein,
oder ist G: deine Sysplatte,
ganz sicher kann man sich ja nie sein aber ich würde auch auf Fehlalarm tippen, :rolleyes:

KAV9 mag z.B. die Uncut-Patches für UT3 nicht mehr, :tongue:
im Prinzip hat KAV damit ja recht der Patch verändert ja eine Datei von UT3 :|

nobex
2008-06-25, 08:55:44
Ich denke, einige Schädlinge packen sich geziehlt/direkt in den Ordner, um vor neugierigen Blicken sicher zu sein. Teste doch mal Dein System 'offline' mit dem Avira AntiVir Rescue System (http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html)

Chris1337
2008-06-25, 13:45:00
Nene, meine Systempartition ist C:, Laufwerk G: ist nur mit 250GB am Größten, daher wohl da die Ablagerung. Oder es war einfach wie nobex vermutet. :)

Chris1337
2008-06-27, 13:53:00
Die Teile bin los, aber anderes Problem:

Nach jedem Neustart sind mal in Windows, Windows\System oder Windows\System32 oder irgendwo auf C: irgendwelche Dateien, die AntiVir als Trojaner erkennt.
Zum Beispiel: awtqoOGw.dll und asc94.dll ( beide in Windows\System32 ), die ich nur per Konsole über die XP-CD löschen konnte. Sind aber seit dem nicht wieder aufgetaucht. Sind immer neue Dateinamen, die erkannt werden. In msconfig ist kein Dienst oder sonstiges aktiv und auch keine Programme.

Werde ich formatieren dürfen?

nobex
2008-06-27, 13:55:03
Welche Trojaner waren es denn?

Chris1337
2008-06-27, 13:56:49
Das waren bis jetzt auch verschiedene. Mal wars Virtumonde, dann Virtumonde.dll und jetzt bei der DLL-Datei war es TR/BHO.eih.

Feuerpfote
2008-06-27, 13:58:00
hi, lad dir mal Trojan Remover und Kaspersky in der neuen Version runter und überprüf das mal. Als Trial kosten die im ersten Monat ja eh nichts.

nobex
2008-06-27, 14:01:09
Hast Du mal einen Offline-Scan probiert? Evtl. bekommst Du damit die BHO-Dlls entfernt.

Chris1337
2008-06-27, 14:02:12
Ja, er sagt, die werden verwendet. Muss ich wieder per Konsole und XP-CD machen.

nobex
2008-06-27, 14:03:58
Marlboro;6619636']Ja, er sagt, die werden verwendet. Muss ich wieder per Konsole und XP-CD machen.
Damit wirst Du Dich evtl. im Kreis bewegen, wenn die Dateien schon wieder als neue Kopien irgendwo im System liegen.

Chris1337
2008-06-27, 14:05:48
Na super... Wieder formatieren... :mad:

Feuerpfote
2008-06-27, 14:07:02
probiers doch erstmal mit meinem Vorschlag?! Mit Kaspersky kannste auch eine Off CD erstellen.

nobex
2008-06-27, 14:07:05
Ich zitiere mich mal selbst:
Hast Du mal einen Offline-Scan probiert? Evtl. bekommst Du damit die BHO-Dlls entfernt.

Gast
2008-06-27, 14:07:26
Es gibt von Avira auch eine Rescue CD (http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html)

Chris1337
2008-06-27, 14:08:29
Bringt mir aber nichts, wenn der Hauptverursacher sich irgendwo eingenistet hat und nicht erkannt wird. :(
Die erkannten Dateien löschen ist kein Problem. Nur die Urache will ich ja los werden.

Feuerpfote
2008-06-27, 14:10:01
wie kannste das wissen, wenn du die anderen Proggis nicht benutzt hast.

btw: Ist Kaspersky 08 auch so elend lahm bei euch?

nobex
2008-06-27, 14:10:18
Wenn Du die Dateien offline löschst, kann der Schädling beim nächsten Start nicht geladen werden, die Aufrufe gehen ins leere.

Chris1337
2008-06-27, 14:12:16
Ich lösche jetzt erstmal die DLL und dann mal sehen, ob bis morgen wieder neue Funde da sind. Gestern war Ruhe, aber seit gerade hat er eben diese DLL gefunden. Allerdings nach einem gelungenen Update von AntiVir. :|

/edit
Hat das eigentlich was zu sagen?
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Oder ist das eine normale Meldung, die nichts mit Viren und Trojanern zu tun haben?

nobex
2008-06-27, 14:20:07
Marlboro;6619677']Oder ist das eine normale Meldung, die nichts mit Viren und Trojanern zu tun haben?
Daemon Tools installiert?

Chris1337
2008-06-27, 15:46:03
Ja, habe ich installiert. Allerdings die alte Version 3.47, da die neue immer die Images beim Zugriff rausschmeißt.

/edit
So, nachdem ich die DLL per Windows-CD gelöscht habe, AntiVir geupdatet und habe scannen lassen, kam kein Fund...
Hoffe, ich bin die scheiß Teile los. Mal öfter scannen in Zukunft und schauen, ob er wieder was findet. Ansonsten muss ich wohl formatieren... :(