hey leute!
hab heute von antivir ne virenmeldung erhalten die folgendermaßen aussieht:

In der Datei 'C:\System Volume Information\_restore{7452FBE4-A90E-4F82-ABAE-1C6ED23F8E96}\RP284\A0108303.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Shed.A' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Ist das fehlalarm oder sollte ich mir ernsthaft gedanken machen?
Danke für eure Hilfe !!
lg Corni

Hi,
Deaktiviere bitte zuerst die Systemwiederherstellung:
Rechtsklick auf Arbeitsplatz => Eigenschaften => Systemwiederherstellung => Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren
Starte dann deinen Rechner neu und aktivier die Systemwiederherstellung wieder.
Danach postest du bitte ein HijackThis Logfile, vergiss aber nicht alle aktiven Links und persönliche Namen zu editieren.

mfg

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

Also ich kann keinen schädlichen Eintrag erkennen, nur etliche sinnfreie Einträge, die du fixen kannst:

Zitat:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {559A0463-48BF-433C-AC59-289E222FB77A} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - (no file)
O3 - Toolbar: (no name) - {6E8E8B03-9F95-4E6D-9EE0-AF2305509D7B} - (no file)
O21 - SSODL: wetkadmr - {1E00D17A-8ABB-4CFE-BBC5-ACBB57980C5C} - (no file)

Dazu auf:
"Do a system scan only" klicken und bei den entsprechenden Einträgen ein Häkchen setzen. Danach auf "fix checked" klicken und den Rechner neustarten.

Danach folge der Anleitung von MalwareBytes, Link findest du in meiner Signatur.

mfg

Sooo hat ja doch was gefunden...hat zwar ne zeit gedauert aber hat sich gelohnt^^
Hier das logfile hoff mal hab diesmal nix übersehn....die einträge ausm logfile die du gesagt hattest hab ich gefixed:

Malwarebytes' Anti-Malware 1.22
Datenbank Version: 972
Windows 5.1.2600 Service Pack 3

14:43:50 21.07.2008
mbam-log-7-21-2008 (14-43-50).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 142418
Laufzeit: 1 hour(s), 3 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ce86878f-d099-4ffc-a4dc-e51d192063b1} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\XXXX\Desktop\XXXXX\Keys\Sony Vegas.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\svorbmke.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Dankeschööön
lg Corni

Okay, um ganz sicher zu gehn, mache bitte folgendes:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

mfg

Hey du
was mich nur wundert ist, dass der den eigtl. trojaner nach dem ich gesucht hab entweder nicht gefunden hat oder er hat in dem prog (malwarebytes)einen anderen namen...kp was denkst du/ihr?
dankeeeee
hier das log:


Search Navipromo version 3.6.1 began on 21.07.2008 at 16:05:22,90

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "XXXXX"

Updated on 19.07.2008 at 20h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\XXXX\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\XXXX\anwend~1" ***


*** Search folders in "C:\DOKUME~1\XXXXX\anwend~1" ***


*** Search folders in "C:\DOKUME~1\XXXXXanwend~1" ***


*** Search folders in "C:\DOKUME~1\XXXXX\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\XXXXX\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\XXXXXlokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\XXXXXlokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\XXXXX\lokale~1\anwend~1" ***


*** Search folders in "C:\DOKUME~1\XXXXX\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\XXXXX\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\XXXXXstartm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\XXXX\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\XXXXX\startm~1\progra~1" ***


*** Search folders in "C:\DOKUME~1\XXXXX\startm~1\progra~1" ***

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : h**p://w*w.gmer.net

No Navipromo file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\XXXXX\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\XXXXX\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\XXXXX\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\XXXXX\lokale~1\anwend~1" *

* Scan in "C:\DOKUME~1\XXXX\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\XXXXX\lokale~1\anwend~1" :


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :


* In "C:\DOKUME~1\XXXXX\lokale~1\anwend~1" :


* In "C:\DOKUME~1\XXXXX\lokale~1\anwend~1" :


* In "C:\DOKUME~1\XXXXX\lokale~1\anwend~1" :


* In "C:\DOKUME~1\XXXXX\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 21.07.2008 at 16:11:54,40 ***

Wenn keine Probleme mehr hast, kann ich dich entlassen.
Zu dem Trojaner TR/Shed.A: Der wurde gelöscht, als du die Systemwiederherstellung deaktiviert hast.
Drum hat mbam (MalwareBytes) diesen nichtmehr gefunden.
Was die zwei Anderen angeht, hat mbam gute Arbeit geleistet

mfg

Hey du
ja hatte vorher eigtl. auch keine probleme nur dass halt antivir die ganze zeit rumgeheult hat und da die infizierte datei in nem restoreordner war wollt ich halt klarheit^^
Sehr gut hoff jetzt mal dass alles wieder in ordnung is....wobei ich kp hab woher ich die ganze malware hab aber das lässt sich ja jetzt eh nicht mehr feststellen obwohls mich schon interessieren würde^^
also vieeeelen dank hast mir sehr geholfen
mfg Corni

Zitat:

wobei ich kp hab woher ich die ganze malware hab aber das lässt sich ja jetzt eh nicht mehr feststellen obwohls mich schon interessieren würde^^

Das liegt am Surfverhalten

Zitat:

also vieeeelen dank hast mir sehr geholfen

Kein Problem, hab ich gern gemacht

mfg

hey du/ihr !!
bist du dir sicher dass alles weg is weil soeben erhielt ich eine virenmeldung von antivir die so aussieht!!!:

In der Datei 'C:\System Volume Information\_restore{7452FBE4-A90E-4F82-ABAE-1C6ED23F8E96}\RP1\A0000024.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

wenn ich mich nicht irre ist das dieselbe datei, die vor ein paar tagen schonmal betroffen war nur mit einem anderen trojaner....wie kann das sein???
ich dachte nachdem ich Malwarebytes und co durchlaufn lassen hab wär alles weg gewesen und jetzt sowas :-(

ich lass das ganze procedere von letztem mal noch mal durchlaufen...also malewarebytes und co und dann mal sehn was dabei rauskommt..
wär echt nett von dir/ euch wenn du mir nochmal helfen könntest!
irgwoher muss der trojaner doch kommen und ich war sonst nur auf vertraulichen sites!
mh..
blöööd
danke schonmal
lg Corni

Ich hatte schonmal ein Problem mit dem 'TR/Trash.Gen'.
Avira teilte mir mit, das es sich meistens um beschädigte Dateien handelt.
Deaktiviere die Systemwiederherstellung, boote den Rechner neu und schon ist das Teil weg

mfg

hey du
ja danke für deine schnelle antwort....
aber ich meine wie kommt denn das dass ich kaum wenn ich die wiederherstellung wieder aktiviert hab dass dann sofort da wieder n virus drin is?
außerdem wenn ich den ordner "system volume information" öffnen will kommt ne meldung "zugriff verweigert", obwohl ich admin bin!
is des generell so oder liegt des am virus?

eben kam noch ne fehlermeldung von antivir den trojaner BDS/IRC.Chazz.43 gefunden hat aber der gehört ja meines wissens zu smitfraud...da kann ich also entwarnung geben
..
ach ja nochwas: eben hab ichdirekt auf den ordner "system volume information" -> rechtsklick-> ordner mit antivir überprüfen-> antivir sagt dann auf einmal da wäre kein virus drin???
jetzt check ich garnix mehr...kann des sein dass antivir n bissl rumspinnt??
dankeeee
mfg Corni

Zitat:

ja danke für deine schnelle antwort....
aber ich meine wie kommt denn das dass ich kaum wenn ich die wiederherstellung wieder aktiviert hab dass dann sofort da wieder n virus drin is?

Es könnte ja sein, das der Wiederherstellungspunkt durch i.was beschädigt wurde.

Zitat:

außerdem wenn ich den ordner "system volume information" öffnen will kommt ne meldung "zugriff verweigert", obwohl ich admin bin!
is des generell so oder liegt des am virus?

Das ist generell so, du willst ja z.B. auch nicht wenn irgendjemand dein Tagebuch einfach so öffnet

Zitat:

eben kam noch ne fehlermeldung von antivir den trojaner BDS/IRC.Chazz.43 gefunden hat aber der gehört ja meines wissens zu smitfraud...da kann ich also entwarnung geben

Zitat:

ach ja nochwas: eben hab ichdirekt auf den ordner "system volume information" -> rechtsklick-> ordner mit antivir überprüfen-> antivir sagt dann auf einmal da wäre kein virus drin???
jetzt check ich garnix mehr...kann des sein dass antivir n bissl rumspinnt??

Hast du zwischendurch Avira geupdated?

mfg

ne hab nicht geupdated und zur sicherheit hab ich auch nochmal den ordner mit Malwarebytes gescannt und auf einmal scheint der ordner sauber zu sein..mh..
aber jetzt is mir das schon wieder um einiges klarer^^
trotzdem isses irgwie komisch...avira regt sich ewig net und dann kommen auf einmal viren über virenmeldungen^^
naja dann lass ichs mal auf sich beruhn...hab ja eh keine negativen aspekte bemerkt..wunder mich halt...weil sonst hab ich nie prob mit viren und bei den viren die ich einst hatte konnte man dann nur noch neuaufsetzen^^

joa also dann...nochmal vielen dank ;-)
mfg Corni