Hallo erstmal zusammen,

ich brauch´ma Eure Hilfe.

Hatte eben ne Untersuchung mit Avira gestartet und er meldet prompt ein unerwünschtes Programm auf E, also auf der Partition im Ordner System Volume Information / restore. Ich hatte die ganze Zeit schon vermutet, dass da was im Busch ist, da ich auf diesen Ordner nicht zugreifen kann, obwohl ich als Admin angemeldet bin und er diesen Ordner immer als versteckten anzeigt. Er nimmt auch die Änderungen nicht an, wenn ich das in der Systemsteuerung ändere. Dann hab ich E: formatiert, allerdings war dieser Ordner nach der Formatierung immer noch da . Ich hatte bereits einen HJT von C: gemacht, da war aber nichts außergewöhnliches....Habt ihr vielleicht ne Ahnung, was das zu bedeuten hat??

Danke schon mal

Gruß cIInc

Hi,
alles halb so wild.

Zitat:

Ich hatte bereits einen HJT von C: gemacht, da war aber nichts außergewöhnliches....Habt ihr vielleicht ne Ahnung, was das zu bedeuten hat??

Poste doch mal das Hijackthislogfile (bitte aktive Links umwandeln: http->h**p), dass sehen wir uns dann an.
Hijackthis schaut sich übrigens laufende Prozesse uÄ an, vollkommen unabhängig davon auf welcher Platte sie liegen, sollten also Platte E und Platte C immer im selben Rechner stecken haben sie auch dasselb HJT-Log

Zitat:

Hatte eben ne Untersuchung mit Avira gestartet und er meldet prompt ein unerwünschtes Programm auf E

Welches?

Zitat:

also auf der Partition im Ordner System Volume Information / restore. Ich hatte die ganze Zeit schon vermutet, dass da was im Busch ist, da ich auf diesen Ordner nicht zugreifen kann, obwohl ich als Admin angemeldet bin und er diesen Ordner immer als versteckten anzeigt. Er nimmt auch die Änderungen nicht an, wenn ich das in der Systemsteuerung ändere.

Das ist auch normal, das ist der Ordner indem die Systemwiederherstellungspunkte gespeichert werden. Da sollte man keinen Zugriff draufhaben, allerdings speichert Windows durchaus Trojaner dort mit ab.
Wenn man ein Wiederherstellungspunkt wählt, zudem der Rechner infiziert war, will man den Rechner ja auch wieder infiziert haben.
Im Ernst Windows kann nur schwer unterscheiden, welche Programme du absichtlich und welche unabsichtlich installiert hast. Daher werden viele Trojaner dort mitgespeichert.

Zitat:

Dann hab ich E: formatiert, allerdings war dieser Ordner nach der Formatierung immer noch da .

Wieder normal, da ja die Systemwiederherstellung.
Wenn du diese Deaktivieren willst dann gehe auf Start->Systemsteuerung->System->Systemwiederherstellung und kannst dort "Systemwiederherstellung auf E: deaktivieren" auswählen. Dann sollte nach dem nächsten booten auch der Ordner weg sein.

lg myrtille

Hi,
danke erst mal für die schnelle Antwort

Hier das HJT

Logfile of HijackThis v1.99.1
Scan saved at 14:32, on 2007-07-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Software\Spyware Doctor\svcntaux.exe
C:\Software\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Software\Spyware Doctor\SDTrayApp.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Arovax Shield\ArovaxShield.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\Control.exe
C:\Software\ArchiCryptShredder3\ACSecureDZone.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Vidalia\vidalia.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Programme\Privoxy\privoxy.exe
C:\Programme\Tor\tor.exe
C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Software\Mozilla Firefox\firefox.exe
E:\Foxmail\Foxmail.exe
C:\Programme\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Arovax Shield] C:\Programme\Arovax Shield\ArovaxShield.exe -tray
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDTray] "C:\Software\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe
O4 - HKCU\..\Run: [SecureDZone] C:\Software\ArchiCryptShredder3\ACSecureDZone.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183460150406
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programme\PC Tools Firewall Plus\FWService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Software\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Software\Spyware Doctor\swdsvc.exe

----

Das Programm, das er meldet heißt DR/PSW (E:/System Volume Information \ restore...RP40\A0005324.exe)

Danke schon mal fürs drüberschauen
LG cIInc

Zitat:

Zitat von cIInc

Das Programm, das er meldet heißt DR/PSW (E:/System Volume Information \ restore...RP40\A0005324.exe)

Das entfernst du einfach indem du die Systemwiederherstellung deaktivierst, den Rechner für nen Augenblick auslässt und wieder hochfährst. Danach kannst du die SWH auch wieder aktivieren.


Dein Log sieht sauber aus, allerdings ein paar Bemerkungen: 2 Antivirenprogramme sind zb absolut überflüssig. 1 ist vollkommen ausreichend.
In diesem Fall sind die Programme wohl kompatibel, sonst kann man sich mit 2 solchen Programmen den Rechner total zerschießen.
Du hast a-squared aufm Rechner? Hast du das in letzter Zeit zufällig mal durchlaufen lassen? Ohne Befunde?

Ansonsten würde ich mal denken, dass du sauber bist.

lg myrtille

Das mit der SWH habe ich jetzt gemacht. Habe nochmal Avira drüber laufen lassen und die Meldung auf E war jetzt weg. A-squared habe ich gestern und heute gucken lassen, allerdings ohne Fund. Auch AVG fand nichts.
Läuft jetzt gerade noch ein escan und der zeigt mir plötzlich 6 Tojaner an
Bisher hat er das hier gefunden

1.) Object "cain 4.2 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
2.) Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
3.) Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
4.) Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
5.) Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
6.) Object "mybugfreepc Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt

Vielleicht ist das ja auch nur ein Scherz von Esan, damit ich mir die Vollversion kaufe

Hast Du einen Tipp wie ich die Biester wieder los werde??


Danke
LG cIInc

Deswegen eScan nur unter Beausichtigung eines Forumsmitglied durchführen

Das sind falsepositives, eScan hat die lustige Idee alle Dateien, die denselben Namen wie Malwaredateien haben ebenfalls als Malware zu identifizieren. Das ist in 90% der Fälle Blödsinn, sorgt aber gelegentlich dafür, dass was gefunden wird, was sonst übersehen worden wäre.

Lasse bitte noch die find.bat durchlaufen, damit ich sehen kann, welche Dateien bemängelt werden. So lässt sich nur schwer sagen, ob es ein Fehlalarm ist oder Befall.

lg myrtille

Hi,
ich glaube, Du hattest recht mit den false positves, es betrifft folgende Dateien

1.) C:Windows\rundl16.exe
2.) ....rundl32.exe
3.) ... vcmgcd32.dll
4.).....logo_1.exe
5.) ....iifgfgf.dll
6.) ... ztsz.exe

ich hatte heute nochmal einen Scan mit counterspy gemacht und der hat mir diese 6 Dateien (Ordner sind leer) angeigt. Das sind doch, wenn ich das richtig verstanden habe, die Ordner, die Escan beim Scanvorgang anlegt??

Ich glaube, ich bin clean

LG cIInc

Zitat:

Zitat von cIInc

Das sind doch, wenn ich das richtig verstanden habe, die Ordner, die Escan beim Scanvorgang anlegt??

Yep. Ich weiß nicht, was diese Unsitte von escan soll . Gruß

wenn man´s weiß, ist es ja gut, aber erst mal die Leutchen in Panik versetzen...tsss

Vielen lieben Dank für eure Hilfe
LG und schönes WE
cIInc