Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner in leeren ordner???

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.12.2007, 19:02   #1
Trojanerhasserausberlin
Gesperrt
 
Trojaner in leeren ordner??? - Ausrufezeichen

Trojaner in leeren ordner???



hi an alle mein problem ist folgendes:

ich wurde erst gehackt, darauf habe ich erstmal die programme und so "hbtv"-tools gelöscht.
jetzt habe ich ein antivirenprogramm scannen lassen (antivir) und der hatte mir insgesamt 4 trojaner gemeldet, bei denen ich immer auf löschen und kopie in quarantäre legen geklickt hab.
das ist nicht das problem sondern sind 3 dieser trojaner in folgendem ordner gefunden worden:


C:\system volume information\...
diesen ordner wollte ich öffnen um zu gucken was er genau beinhaltet (das antivir is ca. 10 minuten in diesem ordner gewesen und hat ihn gescannt), dann standen da wenn man den courser über den ordner geführt hatte, der ordner ist leer, was nicht sein kann da ich den scannvorgang überwacht hab und da immer neue geöffnet wurden. außerdem wird bei versuch des öffnens folgendes gemeldet: auf C:\system volume information\ kann nicht geöffnet werden zugriff verweigert!

was soll ich jetzt machen wenn die viren noch da sind???

in der beschreibung (bericht s.u.) steht folgendes bei ALLEN 4en:

Name: TR/Crypt.ULPM.Gen
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein

öfters passiert es auch dass ich während fenster geöffnet sind, der inhalt rückartig hin und her wackelt, als ob er im wahrsten sinne des wortes "angerannt" wird!

bericht:



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 22. Dezember 2007 18:10

Es wird nach 985864 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: TIM

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 17:10:10
ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 14.12.2007 17:10:10
ANTIVIR3.VDF : 7.0.1.142 194048 Bytes 22.12.2007 17:10:10
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 22.12.2007 17:10:11
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 22.12.2007 17:10:11
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 22. Dezember 2007 18:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QuickCam10.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVComSX.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Communications_Helper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMP54GSv1_1.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '47' Prozesse mit '47' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '27' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Downloads\WormsArmageddon.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> LANDGEN.EXE
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{C7F03CE2-4A30-4422-BD44-99B19122DD0B}\RP174\A0153962.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 479e4aa7.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{C7F03CE2-4A30-4422-BD44-99B19122DD0B}\RP190\A0169787.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 479e4af4.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{C7F03CE2-4A30-4422-BD44-99B19122DD0B}\RP208\A0175382.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> LANDGEN.EXE
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[INFO] Eine Sicherungskopie wurde unter dem Namen 479e4b3f.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>


Ende des Suchlaufs: Samstag, 22. Dezember 2007 18:59
Benötigte Zeit: 49:12 min

Der Suchlauf wurde vollständig durchgeführt.

7236 Verzeichnisse wurden überprüft
335061 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
335057 Dateien ohne Befall
9107 Archive wurden durchsucht
2 Warnungen
18 Hinweise

danke an alle die mir helfen

frohe weihnachten und guten rutsch!!!

ps: soll ich meine festplatte löschen (auch wegen des hackens)???

Alt 22.12.2007, 23:30   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner in leeren ordner??? - Standard

Trojaner in leeren ordner???



Moin.

Zitat:
das ist nicht das problem sondern sind 3 dieser trojaner in folgendem ordner gefunden worden:
C:\system volume information\...
Um darin enthaltene schädliche Objekte zu entfernen, ist es am einfachsten, die Systemwiederherstellung zu deaktivieren. Du löscht damit zwar _alle_ Wiederherstellungspunkte, das macht aber nichts, da durch die Infektion diese eh nicht mehr vertrauenswürdig sind.

Zitat:
ps: soll ich meine festplatte löschen (auch wegen des hackens)???
Nichts überstürzen. Bei Backdoorbefall ist das ein Muss. Es ist zwar auch die sicherste Methode, aber bei rel. simplem Adwarebefall imho ist ein Neuaufsetzen nicht wirklich erforderlich, da das Restrisiko nach einer gründlichen Bereinigung sehr gering ist (im gegensatz zu Backdoors/Rootkits).

Daher sollten wir erstmal analysieren. Poste dazu mal ein Hijackthis-Log, nimm am besten dazu diese umbeannte hijackthis.exe.

Führ danach mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
* Blacklight
* eScan
* Silentrunners
* combofix
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 23.12.2007, 11:08   #3
Trojanerhasserausberlin
Gesperrt
 
Trojaner in leeren ordner??? - Standard

Trojaner in leeren ordner???



Zitat:
Zitat von cosinus Beitrag anzeigen
Moin.



Daher sollten wir erstmal analysieren. Poste dazu mal ein Hijackthis-Log, nimm am besten dazu diese umbeannte hijackthis.exe.
ja leider war das so dass der HACKER sich bei einem kumpel von mir bei msn angemeldet hat und mir ne datei geschickt hat (also er hatte sie geuppt ich hab sie gedownloadet weil ich dachte es wär nen kumpel) und daher war er auf einmal drin und hatte zugriff auf webcam und drucker daher weiß ich nich was ich mit dem HijackThis anfangen soll.
__________________

Alt 23.12.2007, 11:27   #4
Sunny
Administrator
> Competence Manager
 

Trojaner in leeren ordner??? - Standard

Trojaner in leeren ordner???



Zitat:
Zitat von Trojanerhasserausberlin Beitrag anzeigen
...daher weiß ich nich was ich mit dem HijackThis anfangen soll.
Du musst auch nicht zwangsläufig wissen was damit anzufangen ist, aber wir sollten es, sonst können wir dir nicht helfen!

Zitat:
Zitat von Definition HJT
Das Programm erlaubt es - in gewissen Grenzen - eine Analyse des Systems zum Auffinden von Schädlingen durchzuführen. Dazu erstellt HijackThis ein sogenanntes LogFile.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu Trojaner in leeren ordner???
.dll, 0 bytes, 1.exe, avg, avgnt.exe, avira, courser, ctfmon.exe, dllhost.exe, festplatte, firefox.exe, jucheck.exe, jusched.exe, logon.exe, lsass.exe, löschen, modul, nt.dll, ordner, problem, programme, prozesse, quara, recover, registry, rundll, scan, sched.exe, services.exe, suchlauf, svchost.exe, system, system volume information, tr/crypt.ulpm.gen, trojaner, trojaner gemeldet, verweise, virus, virus gefunden, warnung, windows, winlogon.exe, wmp, zugriff verweigert




Ähnliche Themen: Trojaner in leeren ordner???


  1. Laptop leeren ohne Update von Betriebssystem zu löschen
    Alles rund um Windows - 30.12.2014 (6)
  2. deltasearch automatisch bei jedem neuen leeren Tab
    Plagegeister aller Art und deren Bekämpfung - 12.05.2013 (3)
  3. Kryptik und andere UNDINGER auf meinem nun leeren Rechner...
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (44)
  4. Trojaner, Virus, Malware Rechner zeigt keine Daten mehr, leeren Desktop
    Plagegeister aller Art und deren Bekämpfung - 26.01.2012 (4)
  5. Trojaner, Virus, Malware Rechner zeigt keine Daten mehr, leeren Desktop
    Alles rund um Windows - 25.01.2012 (1)
  6. nach jedem Neustart immer ein Ordner Neuer Ordner auf dem Desktop
    Alles rund um Windows - 11.11.2009 (1)
  7. Nach Neuinstallation (win 7): Kein Zugriff auf Alte ordner; kann Ordner nicht löschen
    Alles rund um Windows - 04.11.2009 (1)
  8. Malwarealarme bei leeren Ordnern
    Plagegeister aller Art und deren Bekämpfung - 02.10.2008 (3)
  9. Grafikkarte gibt leeren Bildschirm wieder
    Netzwerk und Hardware - 03.02.2008 (9)
  10. Im leeren Papierkorb sind Dateien versteckt.
    Alles rund um Windows - 15.08.2006 (5)
  11. AW: Im leeren Papierkorb sind Dateien versteckt.
    Mülltonne - 14.08.2006 (0)
  12. Internet startet alle paar minuten mit einer leeren Seite
    Log-Analyse und Auswertung - 01.08.2006 (2)
  13. Papierkorb kann man nicht leeren
    Alles rund um Windows - 07.07.2005 (3)
  14. tempordner leeren?
    Plagegeister aller Art und deren Bekämpfung - 31.07.2004 (3)
  15. Autovervollständigung leeren
    Alles rund um Windows - 23.01.2004 (5)
  16. Wie kann ich den Cache von Windows 98 II leeren?
    Alles rund um Windows - 28.09.2003 (3)
  17. Platte komplett leeren
    Plagegeister aller Art und deren Bekämpfung - 14.04.2003 (6)

Zum Thema Trojaner in leeren ordner??? - hi an alle mein problem ist folgendes: ich wurde erst gehackt, darauf habe ich erstmal die programme und so "hbtv"-tools gelöscht. jetzt habe ich ein antivirenprogramm scannen lassen (antivir) und - Trojaner in leeren ordner???...
Archiv
Du betrachtest: Trojaner in leeren ordner??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.