| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: WORM/ircBot.857088 frisst sich durch "System Volume Information" !!!!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.02.2007, 02:29
| #1 |
| |  WORM/ircBot.857088 frisst sich durch "System Volume Information" !!!!! Hallo Leute, ich habe mich hier jetzt registriert und hoffe, mir kann wer helfen. Und zwar frisst sich der Wurm WORM/ircBot.857088 durch meinen Lappi! Hier die Logdatei... ich hätte die betroffenen Dateien einfach gelöscht, befände sic hnicht die eine Datei im Ordner System Volume Information.... da habe ich lieber erstmal nur in Quarantäne verschoben. Wie gehe ich nun weiter vor? AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Dienstag, 30. Januar 2007 19:00 Es wird nach 657587 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: R****** Versionsinformationen: BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00 AVSCAN.EXE : 7.0.3.5 208936 Bytes 20.01.2007 12:34:19 AVSCAN.DLL : 7.0.3.0 35880 Bytes 15.12.2006 20:43:12 LUKE.DLL : 7.0.3.2 143400 Bytes 15.12.2006 20:43:12 LUKERES.DLL : 7.0.2.0 9256 Bytes 15.12.2006 20:43:12 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 11:35:19 ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 12:34:19 ANTIVIR2.VDF : 6.37.0.235 374784 Bytes 29.01.2007 17:01:08 ANTIVIR3.VDF : 6.37.0.246 36352 Bytes 30.01.2007 17:01:08 AVEWIN32.DLL : 7.3.0.32 2269696 Bytes 26.01.2007 17:02:21 AVPREF.DLL : 7.0.2.0 23592 Bytes 15.12.2006 20:43:11 AVREP.DLL : 6.37.0.119 1052712 Bytes 08.01.2007 17:05:11 AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 09:43:10 AVPACK32.DLL : 7.2.0.5 368680 Bytes 11.11.2006 13:40:20 AVREG.DLL : 7.0.1.2 30760 Bytes 20.01.2007 12:34:18 NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 08:56:47 RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 15.12.2006 20:43:04 RCTEXT.DLL : 7.0.12.0 77864 Bytes 15.12.2006 20:43:04 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: D:, Durchsuche Speicher..............: ein Durchsuche Laufende Programme....: ein Durchsuche Registrierung.........: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Erweiterte Sucheinstellungen.....: 0x00007000 Beginn des Suchlaufs: Dienstag, 30. Januar 2007 19:00 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'logon.scr' - '1' Module wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'qip.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'HpqToaster.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'YahooMessenger.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'HP Wireless Assistant.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'kpf4gui.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'asghost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'kpf4gui.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'hpqwmiex.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'kpf4ss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( 6 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\41B13DDC.exe [FUND] Enthält Signatur des Wurmes WORM/IRCBot.857088 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46018fce.qua' verschoben! C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP88\A0018279.exe [FUND] Enthält Signatur des Wurmes WORM/IRCBot.857088 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45ef9977.qua' verschoben! Beginne mit der Suche in 'E:\' <HP_RECOVERY> Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Dienstag, 30. Januar 2007 20:21 Benötigte Zeit: 1:21:46 min Der Suchlauf wurde vollständig durchgeführt. 5216 Verzeichnisse wurden überprüft Darüber hinaus wurde im Ordner System Volume Information ein Trojanisches Pferd gefunden. Log: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Donnerstag, 1. Februar 2007 19:00 Es wird nach 659667 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: R****** Versionsinformationen: BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00 AVSCAN.EXE : 7.0.3.5 208936 Bytes 20.01.2007 12:34:19 AVSCAN.DLL : 7.0.3.0 35880 Bytes 15.12.2006 20:43:12 LUKE.DLL : 7.0.3.2 143400 Bytes 15.12.2006 20:43:12 LUKERES.DLL : 7.0.2.0 9256 Bytes 15.12.2006 20:43:12 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 11:35:19 ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 12:34:19 ANTIVIR2.VDF : 6.37.0.235 374784 Bytes 29.01.2007 17:01:08 ANTIVIR3.VDF : 6.37.1.15 67584 Bytes 01.02.2007 17:01:41 AVEWIN32.DLL : 7.3.1.34 2290176 Bytes 01.02.2007 17:01:41 AVPREF.DLL : 7.0.2.0 23592 Bytes 15.12.2006 20:43:11 AVREP.DLL : 6.37.1.1 1105960 Bytes 31.01.2007 21:26:28 AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 09:43:10 AVPACK32.DLL : 7.2.0.5 368680 Bytes 11.11.2006 13:40:20 AVREG.DLL : 7.0.1.2 30760 Bytes 20.01.2007 12:34:18 NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 08:56:47 RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 15.12.2006 20:43:04 RCTEXT.DLL : 7.0.12.0 77864 Bytes 15.12.2006 20:43:04 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: E:, Durchsuche Speicher..............: ein Durchsuche Laufende Programme....: ein Durchsuche Registrierung.........: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Erweiterte Sucheinstellungen.....: 0x00007000 Beginn des Suchlaufs: Donnerstag, 1. Februar 2007 19:00 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'supertux.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winamp.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'LimeWire.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'qip.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'HpqToaster.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'msnmsgr.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'YahooMessenger.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'HP Wireless Assistant.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'kpf4gui.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'asghost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'kpf4gui.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'hpqwmiex.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'kpf4ss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( 6 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP75\A0015495.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f2352f.qua' verschoben! Beginne mit der Suche in 'E:\' <HP_RECOVERY> Ende des Suchlaufs: Donnerstag, 1. Februar 2007 19:53 Benötigte Zeit: 53:39 min Der Suchlauf wurde vollständig durchgeführt. 5243 Verzeichnisse wurden überprüft 324606 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 324605 Dateien ohne Befall 7742 Archive wurden durchsucht 2 Warnungen 0 Hinweise Also nochmal meine Frage. Was soll ich tun? Gibt es eine Wiederherstellungsmöglichkeit oder bekomme ich die betroffenen Dateien irgendwo anders nochmal her sodass ich sie quasi ersetzen kann? Sorry, der Bereich "Viren und andere Schädlinge" ist komplettes Neuland für mich. Würde mich über Feedback freuen! Liebe Grüße die Eiskönigin |
|
06.02.2007, 11:09
| #2 |
| | WORM/ircBot.857088 frisst sich durch "System Volume Information" !!!!! den virus den du dir da eingefangen hast, den hatte ich auch schon. ein lustiges dingens, verschaff dir mal zugriff aufs verzeichnis u schau ma was das fürne datei ist. bei mir warens irgendwelche textfiles, keygens und diverse executabels die der sch** virus einfach infiziert und ins verzeichnis kopiert hatte.
__________________ich benutze ebenfalls antivir - kann mir aber nicht vorstellen das er die files löschen konnte da der scanner keinen vollzugriff auf das verzeichnis hat die folge war das der scanner diese scheiss files alle paar minuten "neu" fand.... ach ja zugriff aufs svi verzeichnis bekommst du indem du auf "Start" > "Ausführen" gehst und dann mit "cmd" die konsole aufrufst und dann folgendes eingibst: cacls "LW:\System Volume Information" /E /G BENUTZERNAME:F BENUTZERNAME = name des momentan angemeldeten nutzers (sieht man unter Start > "NAME" Abmelden... LW = die betroffene platte (funzt auch bei externen platten).... such dann im root verzeichnis einfach mal nach "A00" dann wirst du schon sehen... die gefundenen files kannst du einfach rauslöschen und das wars. ABER NICHTS LÖSCHEN DAS NICHT DIESE SIGNATUR HAT BZW. VON DEM DU NICHT WEISST DAS ES DA NICHT HINGEHÖRT.... da sind die partitionierungsdaten der platte drin, wenn du die löschst is die partition hin und somit auch alle daten.... |
|
06.02.2007, 13:02
| #3 |
| Administrator > Competence Manager  | WORM/ircBot.857088 frisst sich durch "System Volume Information" !!!!! Warum so kompliziert?
__________________ Hier eine kurze Anleitung zur Entfernung: Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles üb erprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Gruß Sunny
__________________ |
|
| Themen zu WORM/ircBot.857088 frisst sich durch "System Volume Information" !!!!! |
| .dll, 0 bytes, antivirus, avg, avgnt.exe, avira, dateien, dllhost.exe, explorer.exe, feedback, firefox.exe, gelöscht, logon.exe, lsass.exe, namen, nicht gefunden, nt.dll, ordner, programme, prozesse, quara, registry, sched.exe, schädlinge, services.exe, skype.exe, suchlauf, super, svchost.exe, symantec, system, system volume information, tr/crypt.xpack.ge, trojanisches pferd, verweise, virus, virus gefunden, warnung, windows, winlogon.exe, wurm |
Linear-Darstellung
