Irgendein komischer Virus in C:\System Volume Information\

Juri9 · 08.04.2012, 20:00

Hallöle!
Bei einem PC von einem Verwandten habe ich nach einigen "Ungereimtheiten" wieder Malwarebytes' Anti-Malware angeschmissen und siehe da, da findet er wirklich was! Natürlich, wie immer, nach der Löschung den Log rausgekramt:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.08.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Sibert :: ELSA [Administrator]

08.04.2012 19:59:33
mbam-log-2012-04-08 (19-59-33).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 336073
Laufzeit: 39 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{25D1073F-A7DE-4C34-8E92-924FBB322957}\RP190\A0046148.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Immer wieder System Volume Information, unglaublich

Na ja... damit wende ich mich mal wieder an euch: Was muss jetzt getan werden, damit dieser Virus, was auch immer der ist, endgültig verschwindet?
Gruß, Juri9

cosinus · 08.04.2012, 21:43

Zitat:

Zitat von Juri9

Immer wieder System Volume Information, unglaublich

Na ja... damit wende ich mich mal wieder an euch: Was muss jetzt getan werden, damit dieser Virus, was auch immer der ist, endgültig verschwindet?
Gruß, Juri9

Ist das jetzt ein anderer Rechner?

Du weißt, das in SVI die Wiederherstellungspunkte gespeichert sind? Du hast die SWH schonmal komplett deaktiviert oder zumindest auf diesem Laufwerk?

Juri9 · 08.04.2012, 22:03

Wie wo was?
Ähm ja, das ist jetzt ein anderer Rechner.
Und wann habe ich jemand die SVI deaktiviert? Auf diesem Rechner habe ich jedenfalls noch nichts gemacht.
Es wundert mich nur, warum dauert in der SVI i-was auftaucht, egal auf welchem Rechner.
Gruß, Juri9

cosinus · 08.04.2012, 22:38

In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung

Beobachte ob dann die Funde immer noch auftreten

Juri9 · 09.04.2012, 06:03

OK, jetzt konnte er den Virus nicht mehr finden:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.08.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Sibert :: ELSA [Administrator]

08.04.2012 23:49:19
mbam-log-2012-04-08 (23-49-19).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 330868
Laufzeit: 35 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Darf ich die Systemwiederherstellung jetzt wieder aktivieren?

cosinus · 09.04.2012, 16:28

Gut, dann mach die SWH mal wieder an und beobachte mal die Tage ob weiterhin da Funde auftreten

Juri9 · 20.04.2012, 19:30

Was zur Hölle?
In ein paar Stunden ist der Computer 2x neugestartet! Nämlich so:
*Irgendwas machen will* *Bildschirm wird auf einmal schwarz* *Computer bootet*
Das dumme ist:
Vor einer Woche habe ich die Systemwiederherstellung wieder angestellt, mehr Probleme tauchen auf, MBAM findet nichts.

Vor einer Woche, kurz nach dem Anschalten der Systemwiederherstellung:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.08.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Sibert :: ELSA [Administrator]

13.04.2012 17:09:00
mbam-log-2012-04-13 (17-09-00).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 331279
Laufzeit: 41 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Heute, nach dem 1. Neustart:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.20.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Sibert :: ELSA [Administrator]

20.04.2012 18:34:23
mbam-log-2012-04-20 (18-34-23).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 333897
Laufzeit: 39 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Und ich bin mir sicher, dass sich jetzt nach dem 2. Absturz nicht so viel geändert hat...
Was ist denn jetzt los?

Gruß, Juri9

cosinus · 20.04.2012, 20:48

Ist das Absicht, dass beide Logs keine Funde haben? Oder willst du genau darauf hinweisen?

Juri9 · 20.04.2012, 21:11

Wieso Absicht?
Zum einen will ich das verdeutlichen, ja.
Zum anderen poste ich einfach alle Logs :P
Gruß, Juri9

cosinus · 20.04.2012, 21:34

Ja und daraus kann man jetzt einiges schließen

1.) Dein Rechner ist malwarefrei
2.) Du hast eine noch völlig unbekannte Schädlingsform im System, die in keinem Log angezeigt wird und auch von keinem Scanner erkannt wird
3.) Dein Windows-Installation ist schrott
4.) Irgendeine Hardware-Komponente in deinem System ist schrott

Juri9 · 21.04.2012, 20:32

Hmm... kann ja nächstes Mal einige AntiVir-Programme runterladen und scannen lassen. Vielleicht finden ja die anderen was.
Gruß, Juri9

cosinus · 21.04.2012, 22:47

Den Rechner hast du auch schonmal aufgeschraubt und Staub entfernt?
Was sagen die Temperaturen?

Juri9 · 28.04.2012, 12:58

Ach, das ganze hat sich schon erledigt.
Noch bevor "der richtige Mann" (mein Vater) kommen und den Staub entfernen konnte, gab es 2 unerwartete plötzliche Neustarte, dann kam die Meldung, dass Windows nicht richtig starten konnte und man auswählen konnte "abgesichertes System"/"Letzten Wiederherstellpunkt oder was auch immer"/"Normal starten", dann hat der Computer komplett den Geist aufgegeben. Selbst nach dem Staub entfernen ging der Computer nicht mehr an. Damit hat sich's die Sache.
Jetzt mal hoffen, dass auf der Festplatte nichts beschädigt ist :O
Damit muss ein komplett neuer Rechner her und damit hat sich's die Sache auch.
MFG, Juri9

Juri9 · 06.05.2012, 18:56

Neuer PC gekauft. Alles läuft prima.
Ist zwar noch etwas verwirrend, dass sich der PC manchmal selbst in den Standby-Modus versetzt, aber na ja ^^"
Der Thread kann jetzt geschlossen werden.
MFG, Juri9

08.04.2012, 22:38	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Irgendein komischer Virus in C:\System Volume Information\ - Standard$ Irgendein komischer Virus in C:\System Volume Information\ In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert. Deaktiviere die Systemwiederherstellung Beobachte ob dann die Funde immer noch auftreten __________________ Logfiles bitte immer in CODE-Tags posten

09.04.2012, 16:28	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Irgendein komischer Virus in C:\System Volume Information\ - Standard$ Irgendein komischer Virus in C:\System Volume Information\ Gut, dann mach die SWH mal wieder an und beobachte mal die Tage ob weiterhin da Funde auftreten __________________ --> Irgendein komischer Virus in C:\System Volume Information\

20.04.2012, 20:48	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Irgendein komischer Virus in C:\System Volume Information\ - Standard$ Irgendein komischer Virus in C:\System Volume Information\ Ist das Absicht, dass beide Logs keine Funde haben? Oder willst du genau darauf hinweisen? __________________ Logfiles bitte immer in CODE-Tags posten

21.04.2012, 22:47	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$Irgendein komischer Virus in C:\System Volume Information\ - Standard$ Irgendein komischer Virus in C:\System Volume Information\ Den Rechner hast du auch schonmal aufgeschraubt und Staub entfernt? Was sagen die Temperaturen? __________________ Logfiles bitte immer in CODE-Tags posten

Irgendein komischer Virus in C:\System Volume Information\

Plagegeister aller Art und deren Bekämpfung: Irgendein komischer Virus in C:\System Volume Information\