Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner im Ordner System Volume Information

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.09.2004, 12:41   #1
frieda72
 
Trojaner im Ordner System Volume Information - Standard

Trojaner im Ordner System Volume Information



Hallo,
habe seit einiger Zeit Probleme mit einem Trojaner. eTrust zeigt ihn mir als Win32.Winshow.S trojan an. Im Ordner System Volume Information. eTrust kann ihn offenbar aber nicht beseitigen.
Wenn ich das System anschließend scanne (eTrust + Kaspersky) ist der Trojaner nicht aufzufinden.
Habe mal ein logfile mit hijack this erstellt.
Weiß jemand Rat?
Vielen Dank

Logfile of HijackThis v1.98.2
Scan saved at 13:30:42, on 14.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Alwil Software\Avast4\aswUpdSv.exe
D:\EZArmor\ETRUST~1\VetTray.exe
D:\Kaspersky\Kaspersky.AV.Personal.Pro\avpcc.exe
D:\Kaspersky\Kaspersky.AV.Personal.Pro\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\VetMsgNT.exe
D:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dirk\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VetTray] d:\EZArmor\ETRUST~1\VetTray.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Alt 14.09.2004, 17:54   #2
Cidre
Administrator, a.D.
 
Trojaner im Ordner System Volume Information - Standard

Trojaner im Ordner System Volume Information



Hallo,

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Deaktiviere die Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html , wechsle in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm und scanne mit eScan (mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken), danach Neustart und die Virus Log Information des eScan posten.
__________________

__________________

Alt 14.09.2004, 19:24   #3
*Christian*
Gast
 
Trojaner im Ordner System Volume Information - Standard

Trojaner im Ordner System Volume Information



Zitat:
Zitat von frieda72
Windows XP (WinNT 5.01.2600)
Internet Explorer v6.00 (6.00.2600.0000)
www.windowsupdate.com besuchen und alle Patches und Updates installieren.
__________________

Alt 14.09.2004, 19:28   #4
Cidre
Administrator, a.D.
 
Trojaner im Ordner System Volume Information - Standard

Trojaner im Ordner System Volume Information



@ *Christian*
Hatte ich übersehen, merci.
__________________
Gruß, Cidre


Alt 15.09.2004, 09:13   #5
frieda72
 
Trojaner im Ordner System Volume Information - Standard

Trojaner im Ordner System Volume Information



Hallo,
vielen Dank für die schnelle Antwort. eScan hat leider auch nichts gefunden. Hilft es vielleicht weiter wenn ich hinzufüge, dass das Problem nur auftritt wenn ich den Rechner aus dem Schlafmodus hole? Und dies leider auch nicht zuverlässig, sondern nur ab und zu...
Da das gesamte log file wohl zu lang ist hier nur Auszüge:
Wed Sep 15 09:48:54 2004 => **********************************************************
Wed Sep 15 09:48:54 2004 => eScan AntiVirus Toolkit Utility.
Wed Sep 15 09:48:54 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Wed Sep 15 09:48:54 2004 => **********************************************************
Wed Sep 15 09:48:54 2004 => Version 4.4.7
Wed Sep 15 09:48:54 2004 => Log File: C:\bases\mwav.log
Wed Sep 15 09:48:54 2004 => Database Path in KL Key: C:\Programme\Gemeinsame Dateien\KAV Shared Files\Bases.
Wed Sep 15 09:48:55 2004 => Latest Date of files in KL key: 13 Sep 2004 09:01:48.
Wed Sep 15 09:48:55 2004 => Latest Date of files inside MWAV: 15 Sep 2004 08:11:11.
Wed Sep 15 09:49:02 2004 => AV Library Loaded...
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavss.exe
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\Getvlist.exe
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavss.dll
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavssdi.dll
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavssi.dll
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\kavvlg.dll
Wed Sep 15 09:49:02 2004 => Scanning File C:\bases\msvlclnt.dll
Wed Sep 15 09:49:03 2004 => Scanning File C:\bases\ipc.dll
Wed Sep 15 09:49:03 2004 => Scanning File C:\bases\main.avi
Wed Sep 15 09:49:03 2004 => Scanning File C:\bases\virus.avi
Wed Sep 15 09:49:03 2004 => Virus Database Date: 2004/09/15
Wed Sep 15 09:49:03 2004 => Virus Database Count: 103948

Wed Sep 15 09:49:24 2004 => **********************************************************
Wed Sep 15 09:49:24 2004 => eScan AntiVirus Toolkit Utility.
Wed Sep 15 09:49:24 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Wed Sep 15 09:49:24 2004 =>
Wed Sep 15 09:49:24 2004 => Support: support@mwti.net
Wed Sep 15 09:49:24 2004 => Web: http://www.mwti.net
Wed Sep 15 09:49:24 2004 => **********************************************************
Wed Sep 15 09:49:24 2004 => Version 4.4.7
Wed Sep 15 09:49:24 2004 => Log File: C:\bases\mwav.log
Wed Sep 15 09:49:24 2004 => Database Path in KL Key: C:\Programme\Gemeinsame Dateien\KAV Shared Files\Bases.
Wed Sep 15 09:49:24 2004 => Latest Date of files in KL key: 13 Sep 2004 09:01:48.
Wed Sep 15 09:49:24 2004 => Latest Date of files inside MWAV: 15 Sep 2004 08:11:11.

Wed Sep 15 09:49:24 2004 => Options Selected by User:
Wed Sep 15 09:49:24 2004 => Memory Check: Enabled
Wed Sep 15 09:49:24 2004 => Registry Check: Enabled
Wed Sep 15 09:49:24 2004 => StartUp Folder Check: Enabled
Wed Sep 15 09:49:24 2004 => System Folder Check: Enabled
Wed Sep 15 09:49:24 2004 => System Area Check: Disabled
Wed Sep 15 09:49:24 2004 => Services Check: Enabled
Wed Sep 15 09:49:24 2004 => Drive Check Option Disabled
Wed Sep 15 09:49:24 2004 => Scanning Type: Scan And Clean
Wed Sep 15 09:49:24 2004 => Folder Check: Disabled

Wed Sep 15 09:49:24 2004 => ***** Scanning Memory Files *****
Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\services.exe
Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\lsass.exe
Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Sep 15 09:49:24 2004 => Scanning File C:\WINDOWS\Explorer.EXE
Wed Sep 15 09:49:24 2004 => Scanning File C:\bases\mwavscan.com
Wed Sep 15 09:49:25 2004 => Scanning File C:\bases\kavss.exe

Wed Sep 15 09:49:25 2004 => ***** Scanning Registry Files *****

Wed Sep 15 09:49:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Wed Sep 15 09:49:25 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***
Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Wed Sep 15 09:49:25 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***
Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\System32\webcheck.dll
Wed Sep 15 09:49:25 2004 => Scanning File C:\WINDOWS\System32\stobject.dll

Wed Sep 15 09:49:25 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Wed Sep 15 09:49:25 2004 => {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Wed Sep 15 09:49:25 2004 => Scanning File D:\Adobe\ACROBA~1.0\Reader\ActiveX\ACROIE~1.DLL
Wed Sep 15 09:49:25 2004 => {53707962-6F74-2D53-2644-206D7942484F} = D:\SPYBOT~1\SDHelper.dll
Wed Sep 15 09:49:25 2004 => Scanning File D:\SPYBOT~1\SDHelper.dll

Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Wed Sep 15 09:49:26 2004 => Scanning File C:\WINDOWS\Explorer.exe
Wed Sep 15 09:49:26 2004 => Scanning File C:\WINDOWS\system32\userinit.exe

Wed Sep 15 09:49:26 2004 => Scanning HKCU\Control Panel\Desktop
Wed Sep 15 09:49:26 2004 => Scanning File C:\WINDOWS\System32\logon.scr

Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wed Sep 15 09:49:26 2004 => Scanning File d:\EZArmor\ETRUST~1\VetTray.exe

Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Wed Sep 15 09:49:26 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Wed Sep 15 09:49:26 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wed Sep 15 09:49:27 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Wed Sep 15 09:49:27 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Wed Sep 15 09:49:27 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Wed Sep 15 09:49:27 2004 => Scanning HKCR\txtfile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\comfile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\exefile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\dllfile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\batfile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\piffile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\scrfile\shell\open\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\scrfile\shell\config\command

Wed Sep 15 09:49:27 2004 => Scanning HKCR\regfile\shell\open\command

Wed Sep 15 09:49:27 2004 => ***** Scanning StartUp Folders *****

Wed Sep 15 09:49:27 2004 => ***** Scanning C:\Dokumente und Einstellungen\Dirk\Startmenü\Programme\Autostart Folder *****
Wed Sep 15 09:49:27 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Dirk\Startmenü\Programme\Autostart\*.*
Wed Sep 15 09:49:27 2004 => Scanning File C:\Dokumente und Einstellungen\Dirk\Startmenü\Programme\Autostart\desktop.ini

Wed Sep 15 09:49:27 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart Folder *****
Wed Sep 15 09:49:27 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\*.*
Wed Sep 15 09:49:27 2004 => Scanning File C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini


Wed Sep 15 09:52:51 2004 => ***** Checking for specific ITW Viruses *****
Wed Sep 15 09:52:52 2004 => Checking for Welchia Virus...
Wed Sep 15 09:52:52 2004 => Checking for LovGate Virus...
Wed Sep 15 09:52:52 2004 => Checking for CodeRed Virus...
Wed Sep 15 09:52:52 2004 => Checking for OpaServ Virus...
Wed Sep 15 09:52:52 2004 => Checking for Sobig.e Virus...
Wed Sep 15 09:52:52 2004 => Checking for Winupie Virus...
Wed Sep 15 09:52:52 2004 => Checking for Swen Virus...
Wed Sep 15 09:52:52 2004 => Checking for JS.Fortnight Virus...
Wed Sep 15 09:52:52 2004 => Checking for Novarg Virus...
Wed Sep 15 09:52:52 2004 => Checking for Pagabot Virus...
Wed Sep 15 09:52:52 2004 => Checking for Parite.b Virus...
Wed Sep 15 09:52:52 2004 => Checking for Parite.a Virus...

Wed Sep 15 09:52:52 2004 => ***** Scanning complete. *****

Wed Sep 15 09:52:52 2004 => Total Number of Files Scanned: 2109
Wed Sep 15 09:52:52 2004 => Total Number of Virus(es) Found: 0
Wed Sep 15 09:52:52 2004 => Total Number of Disinfected Files: 0
Wed Sep 15 09:52:52 2004 => Total Number of Files Renamed: 0
Wed Sep 15 09:52:52 2004 => Total Number of Deleted Files: 0
Wed Sep 15 09:52:52 2004 => Total Number of Errors: 1
Wed Sep 15 09:52:52 2004 => Time Elapsed: 00:03:27
Wed Sep 15 09:52:52 2004 => Virus Database Date: 2004/09/15
Wed Sep 15 09:52:53 2004 => Virus Database Count: 103948

Wed Sep 15 09:52:53 2004 => Scan Completed.

Wed Sep 15 09:53:21 2004 => Virus Database Date: 2004/09/15
Wed Sep 15 09:53:21 2004 => Virus Database Count: 103948
Wed Sep 15 09:53:27 2004 => AV Library Unloaded (3)...


Alt 07.12.2004, 10:25   #6
REALASSI
 
Trojaner im Ordner System Volume Information - Standard

Trojaner im Ordner System Volume Information



habt ihr euer problem lösen können !???
wenn nicht schreibt es !!
der weg ist sehr unterschiedlich .... daher erst mal nur in kurzform :

Der eigentliche virus ist weg !!!!
er würde nur wieder aktiv wenn ihr eine systemwiederherstellung macht !!!!!!

also SOLLTE man(n) schon etwas unternehmen den eintrag zu entfernen ...
alleine schon wegen den lästigen meldungen ...

Alt 07.12.2004, 10:57   #7
MountainKing
 
Trojaner im Ordner System Volume Information - Standard

Trojaner im Ordner System Volume Information



Wenn wie von Cidre beschrieben mit der Systemwiederherstellung verfahren wird, sind alle alten Wiederherstellungspunkte gelöscht inklusive des Schädlings, eine Wiederherstellung kann ihn also auch nicht mehr zurückbringen.

Antwort

Themen zu Trojaner im Ordner System Volume Information
adobe, avast, bho, dateien, einstellungen, explorer, firefox, hijack, hijack this, hijackthis, internet, internet explorer, kaspersky, logfile, microsoft, mozilla, mozilla firefox, ordner, scan, software, system, system volume information, system32, trojaner, windows, windows xp




Ähnliche Themen: Trojaner im Ordner System Volume Information


  1. Trojaner Funde in CC:\System Volume Information\_restore und andere Pfade
    Log-Analyse und Auswertung - 31.10.2011 (4)
  2. Trojaner/Viren direkt in System Volume Information löschen?
    Plagegeister aller Art und deren Bekämpfung - 16.06.2011 (59)
  3. Antir hat Trojaner TR/Crypt.XPACK.Gen3 in C:\System Volume Information ... gefunden!
    Log-Analyse und Auswertung - 28.02.2011 (1)
  4. Verschiedene Trojaner in C:\System Volume Information\_restore
    Log-Analyse und Auswertung - 06.01.2011 (19)
  5. Trojaner im Ordner System Volume Information..
    Plagegeister aller Art und deren Bekämpfung - 02.05.2010 (2)
  6. Trojaner in Registry: $Recycle.bin und System Volume Information auf C: und D:
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (1)
  7. Antivir findet Backdoor und Trojaner in System Volume Information Ordnern
    Log-Analyse und Auswertung - 25.03.2009 (0)
  8. C:\System Volume Information\_restore .... Trojaner, Quarantäne
    Plagegeister aller Art und deren Bekämpfung - 25.02.2009 (4)
  9. Trojaner in der System Volume Information
    Mülltonne - 27.12.2008 (0)
  10. System Volume Information
    Alles rund um Windows - 14.02.2008 (32)
  11. System Volume Information
    Log-Analyse und Auswertung - 25.07.2007 (1)
  12. trojaner in C:\ system volume information\_restore,...
    Plagegeister aller Art und deren Bekämpfung - 02.07.2007 (5)
  13. 2 System Volume Information Ordner?
    Plagegeister aller Art und deren Bekämpfung - 29.05.2007 (1)
  14. system volume information
    Plagegeister aller Art und deren Bekämpfung - 11.08.2006 (3)
  15. hatte Trojaner in System Volume Information....Hijackthis Log bitte mal ansehen
    Log-Analyse und Auswertung - 20.02.2005 (0)
  16. Mit escan Trojaner in C:System Volume information entdeckt
    Plagegeister aller Art und deren Bekämpfung - 19.02.2005 (2)
  17. System volume information
    Alles rund um Windows - 13.02.2005 (1)

Zum Thema Trojaner im Ordner System Volume Information - Hallo, habe seit einiger Zeit Probleme mit einem Trojaner. eTrust zeigt ihn mir als Win32.Winshow.S trojan an. Im Ordner System Volume Information. eTrust kann ihn offenbar aber nicht beseitigen. Wenn - Trojaner im Ordner System Volume Information...
Archiv
Du betrachtest: Trojaner im Ordner System Volume Information auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.