Morgen,

vorab hoffe ich, dass ichs im richtigen Forum poste. Ansonsten bitte verschieben. :redface:


Also ich habe gerade mal einen kompletten Suchlauf mit AntiVir gemacht und zum Schluss erschreckendes festgestellt:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 24. Juni 2008 07:23

Es wird nach 1355845 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: RECHNER

G:\System Volume Information\_restore{20DF6BBC-B7AB-404B-8294-86FA32AC9EF7}\RP76\A0019577.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.ayi.21
[HINWEIS] Die Datei wurde gelöscht.
G:\System Volume Information\_restore{2FF9941C-901E-4F6A-970E-70F5285D89E7}\RP80\A0009383.exe
[FUND] Ist das Trojanische Pferd TR/Agent.SK.14
[HINWEIS] Die Datei wurde gelöscht.
G:\System Volume Information\_restore{6BDAB130-2F95-4C63-BE52-FE5E8DBA4652}\RP273\A0047277.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Sumom.C.20
[HINWEIS] Die Datei wurde gelöscht.

Da ich aber meine Systemwiederherstellung auf allen Festplatten deaktiviert habe, würde ich gerne wissen, wie sich diese Dinger bei mir einnisten konnten und vor allem, was das für Trojaner bzw. Viren sind / waren, da ich über Google nichts brauchbares gefunden habe...

Ohne jetzt was über antiVir zu sagen ,Fehlalarm ist wohl die logischste erklärung.

mfg
drunk

Hi!

Ich würde mit anderen Suchtools und Hijackthis gegenchecken. Auf Fehlalarm zu tippen halte ich für reichlich verfrüht.

mfg

Ist das eine lokale oder eine USB Festplatte, G: ist ja schon recht weit in den Laufwerksbuchstaben,
wenn es eine USB-Platte ist u. du die mal bei jemanden anderes hattest, kann es auch sein das dessen Rechner ein Problem hat,
die Systemwiderherstellung von XP überwacht auch USB Platten u. pfuscht gegebenenfalls auch in System Volume Information-Verzeichnissen rum:|

Nene, das ist eine interne von mir. G: ist nur, weil ich mehrere Partitionen habe und mehrere Festplatten. Bis jetzt ist aber nichts mehr aufgetaucht, nach heute morgen.

Marlboro;6612736']Nene, das ist eine interne von mir. G: ist nur, weil ich mehrere Partitionen habe und mehrere Festplatten. Bis jetzt ist aber nichts mehr aufgetaucht, nach heute morgen.
Hätte ja sein können, ist aber schon seltsam, wenn da was versucht hätte dein Win anzugreifen müsste es eigentlich im System Volume Information-Verzeichnis von den Sysplatte sein,
oder ist G: deine Sysplatte,
ganz sicher kann man sich ja nie sein aber ich würde auch auf Fehlalarm tippen, :rolleyes:

KAV9 mag z.B. die Uncut-Patches für UT3 nicht mehr, :tongue:
im Prinzip hat KAV damit ja recht der Patch verändert ja eine Datei von UT3 :|

Ich denke, einige Schädlinge packen sich geziehlt/direkt in den Ordner, um vor neugierigen Blicken sicher zu sein. Teste doch mal Dein System 'offline' mit dem Avira AntiVir Rescue System (http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html)

Nene, meine Systempartition ist C:, Laufwerk G: ist nur mit 250GB am Größten, daher wohl da die Ablagerung. Oder es war einfach wie nobex vermutet. :)

Die Teile bin los, aber anderes Problem:

Nach jedem Neustart sind mal in Windows, Windows\System oder Windows\System32 oder irgendwo auf C: irgendwelche Dateien, die AntiVir als Trojaner erkennt.
Zum Beispiel: awtqoOGw.dll und asc94.dll ( beide in Windows\System32 ), die ich nur per Konsole über die XP-CD löschen konnte. Sind aber seit dem nicht wieder aufgetaucht. Sind immer neue Dateinamen, die erkannt werden. In msconfig ist kein Dienst oder sonstiges aktiv und auch keine Programme.

Werde ich formatieren dürfen?

Welche Trojaner waren es denn?

Das waren bis jetzt auch verschiedene. Mal wars Virtumonde, dann Virtumonde.dll und jetzt bei der DLL-Datei war es TR/BHO.eih.

hi, lad dir mal Trojan Remover und Kaspersky in der neuen Version runter und überprüf das mal. Als Trial kosten die im ersten Monat ja eh nichts.

Hast Du mal einen Offline-Scan probiert? Evtl. bekommst Du damit die BHO-Dlls entfernt.

Ja, er sagt, die werden verwendet. Muss ich wieder per Konsole und XP-CD machen.

Marlboro;6619636']Ja, er sagt, die werden verwendet. Muss ich wieder per Konsole und XP-CD machen.
Damit wirst Du Dich evtl. im Kreis bewegen, wenn die Dateien schon wieder als neue Kopien irgendwo im System liegen.

Na super... Wieder formatieren... :mad:

probiers doch erstmal mit meinem Vorschlag?! Mit Kaspersky kannste auch eine Off CD erstellen.

Ich zitiere mich mal selbst:
Hast Du mal einen Offline-Scan probiert? Evtl. bekommst Du damit die BHO-Dlls entfernt.

Es gibt von Avira auch eine Rescue CD (http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html)

Bringt mir aber nichts, wenn der Hauptverursacher sich irgendwo eingenistet hat und nicht erkannt wird. :(
Die erkannten Dateien löschen ist kein Problem. Nur die Urache will ich ja los werden.

wie kannste das wissen, wenn du die anderen Proggis nicht benutzt hast.

btw: Ist Kaspersky 08 auch so elend lahm bei euch?

Wenn Du die Dateien offline löschst, kann der Schädling beim nächsten Start nicht geladen werden, die Aufrufe gehen ins leere.

Ich lösche jetzt erstmal die DLL und dann mal sehen, ob bis morgen wieder neue Funde da sind. Gestern war Ruhe, aber seit gerade hat er eben diese DLL gefunden. Allerdings nach einem gelungenen Update von AntiVir. :|

/edit
Hat das eigentlich was zu sagen?
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Oder ist das eine normale Meldung, die nichts mit Viren und Trojanern zu tun haben?

Marlboro;6619677']Oder ist das eine normale Meldung, die nichts mit Viren und Trojanern zu tun haben?
Daemon Tools installiert?

Ja, habe ich installiert. Allerdings die alte Version 3.47, da die neue immer die Images beim Zugriff rausschmeißt.

/edit
So, nachdem ich die DLL per Windows-CD gelöscht habe, AntiVir geupdatet und habe scannen lassen, kam kein Fund...
Hoffe, ich bin die scheiß Teile los. Mal öfter scannen in Zukunft und schauen, ob er wieder was findet. Ansonsten muss ich wohl formatieren... :(