|
Plagegeister aller Art und deren Bekämpfung: Trojaner in der SystemVolumeInformationWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.12.2008, 17:10 | #1 |
| Trojaner in der SystemVolumeInformation Hallo, ich nutze die Avira Premium Security Suite und Spybot S&D auf einem Rechner mit Windows XP, der seit Anfang 2008 mit diesem System läuft. Die letzten 3 Monate wurde er nur für ein paar Officearbeiten und zum surfen auf Nachrichtenseiten (SpiegelOnline, Sueddeutsch, etc.), also allesamt seriösen Seiten benutzt. Ich hatte auch bisher nie Probleme mit Viren, Trojanern o.Ä. Nach einem Update der Definition von Avira gestern Abend führte eine vollständige Systemprüfung (die vorige war ~18.11.08 ) zu folgendem Ergebnis: [...] D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP90\ A0023880.ini change.log.1 RestorePointSize D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP92\ A0023917.ini A0023950.ini change.log.1 change.log.2 RestorePointSize D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP93\ change.log.1 change.log.2 RestorePointSize D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP94\ A0024382.ini A0024412.dll [FUND] Ist das Trojanische Pferd TR/Agent.45056.D [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496857ff.qua' verschoben! A0024413.nam A0024414.ini A0024415.dll [FUND] Ist das Trojanische Pferd TR/Agent.32768.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49685806.qua' verschoben! A0024416.exe A0024418.ini change.log change.log.1 D:\System Volume Information\_restore{F8DEFA73-8713-4F11-94D1-0580DBC223D6}\RP1\ A0000015.ini A0000016.ini A0000017.ini A0000018.ini A0000019.ini A0000020.ini A0000021.ini A0000022.ini A0000023.ini change.log [...] Das überrascht mich schon sehr angesichts der Tatsache, dass ich schlicht nicht weiss, wo es herkommen soll. Ich bin eigentlich auch davon ausgegangen, dass es sich um einen Fehlalarm handelt, nicht zuletzt, weil Spybot S&D, den ich eigentlich als sehr gut kennengelernt habe, sowohl im direkten Dateiscan wie auch im kompletten Suchdurchlauf (der etwa alle 3-4 Tage erfolge) nie (und auch jetzt nichts) gefunden hatte bzw. hat. Ich hab die Datei dann eingeschickt mit folgendem Ergebnis: Avira Antivirus Solutions Wird dort eigentlich etwas anderes gemacht, als nochmal den gleichen Scanner drüberlaufen zu lassen ? Anschließend habe ich die beiden .dll's anschließend noch bei http://virusscan.jotti.org/ hochgeladen mit dem Ergebnis, dass etwa gut 50% der Scanner es als Trojaner identifiziert haben: abload.de - Bilderupload abload.de - Bilderupload Kann ich mir trotzdem noch Hoffenung machen, dass es sich um ein false positive handelt ? Und falls nicht: Wie kann so ein Trojaner funktionieren, der aus nicht mehr als aus einer bzw. zwei .dll-Dateien in der System-Volume-Information der Daten-Partition (ist ein logisches Laufwerk) besteht ? Schonmal danke für Antworten mfg Kehl |
05.12.2008, 17:33 | #2 |
| Trojaner in der SystemVolumeInformation Die gefundenen Dateien befinden sich allesamt in den Ordnern der Systemwiederherstellung. Solltest du diese nicht benutzen (und das solltest du lieber nicht, es gibt zig bessere backup tools) deaktiviere sie einfach:
__________________1. rechtsklick auf arbeitsplatz 2. Eigenschaften 3. Systemwiederherstellung 4. haken machen bei deaktivieren. 5. ok 6. ja die dateien sollten dann auch verschwunden sein. |
05.12.2008, 18:00 | #3 |
| Trojaner in der SystemVolumeInformation Du meinst also, der Trojaner (wenn es denn einer ist) ist also garnicht aktiv, sondern würde höchstens bei der Wiederherstellung des zugehörigen Wiederherstellungspunktes wieder ins System kommen ?
__________________Wie kommt denn ein Trojaner in die zu einer Systemwiederherstellung benötigten Dateien ? |
31.12.2008, 15:39 | #4 |
| Trojaner in der SystemVolumeInformation Ich habe diesen Beitrag gerade eben gefunden, da mir das selbe Problem gerade bevorsteht. Auch bei mir kommt diese Meldung von AntiVir, obwohl ich gestern erst einen Suchlauf gestartet hatte und dieser ohne eine einzige Fehlermeldung endete. Und heute findet er auf einmal ein Trojanisches Pferd? Ich hatte dann schon oft gelesen, das man die Systemwiederherstellung deaktivieren sollte, wollte ich auch machen, doch die ist bei mir schon deaktiviert! Und trotzdem, sobald ich den Suchlauf weiterlaufen lasse, findet er neue Trojanische Pferde. Was soll ich denn jetzt machen? Liebe Grüße und schon mal einen schönen Rutsch an euch alle ins Neue Jahr |
31.12.2008, 15:42 | #5 |
| Trojaner in der SystemVolumeInformation Systemwiederherstellung deaktivieren und alle löschen lassen !! Danach macht ihr'n Neustart des Rechners ! Hat bisher immer geklappt |
Themen zu Trojaner in der SystemVolumeInformation |
anfang, antivirus, avira, datei, ergebnis, false positive, fehlalarm, folge, handel, laufwerk, namen, nicht mehr, probleme, rechner, security, security suite, seite, seiten, spybot, surfen, system, system volume information, trojaner, update, viren, windows, windows xp |