[HaBo]

Energise

Anzeige

Hi,naja so genau weiß ich auch nicht, ob das nen Virus Trojaner oder Spyware ist.
Also ich fang mal an:

Die Datei heißt A0007200.exe
Immer wenn ich Ad-Aware laufen lasse, dann springt der OnDemand Scanner von F-Prot Antivirus an. Dieser ziegt mir den Pfad von der Datein an:
C:\System Volume Information\_restore{B2C98442-43F1-4B98-AD2E-D478583196E6}RP107\A0007200.exe

Dann lasse ich den Scanner von F-Prot laufen. Der findet aber nichts. Leider hab ich auch kein Zugriff auf System Volume Information, deswegen kann ich auch nicht manuell löschen.
Gegoogelt hab ich auch schon. War aber alles Französisch. Das einzige was ich gefunden hab, is das die Datei immer im Ordner System Volume Information ist.
Ich finde bei HijackThis nichts. Ich geb euch trotzdem mal das Logfile, vlt.findet ihr ja was.

Logfile of HijackThis v1.99.1
Scan saved at 15:01:57, on 21.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.ex e
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Napster\napster.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\SMC\SMCWUSB-G 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe
D:\Installer\HijackThis\hijackthis\HijackThis.exe

R3 - URLSearchHook: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMult.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMult.dll
O3 - Toolbar: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMult.dll
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.e xe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe "
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [tunebite.exe] C:\Programme\Tunebite\tunebite.exe -tray
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SMCWUSB-G 802.11g Wireless USB Utility.lnk = C:\Programme\SMC\SMCWUSB-G 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1166899880836
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Vielen Dank für alle Hilfe im vorraus

CLX

Das ist entweder ein Trojan Downloader, oder ein exploit namens "Exploit.Win32.RPCLsa.01.c". Kann auch ein Dialer sein xD
Genauere Informationen dazu habe ich nicht. Ist aber meiner meinung nach mit hoher wahrscheinlichkeit nichts zu essen ^^

Informationen zum Exploit.Win32.RPCsa.01.c
( Könnte theoretisch auch ein normals Programm sein. )

Edit:
Kannst du ja mal von verschiedenen Viren-Scanner-Seiten testen lassen.
Zum Beispiel:
Virus Total
Jottis Viren Scan
Online Scanner von Avast

Und ich dachte schon ich müsste diesen Post nicht bearbeiten ^^

quux

Das liegt an der Systemwiederherstellung... Irgendwann hattest du die Datei mal auf dem Rechner und dann wurde ein Wiederherstellungspunkt dort gesetzt und somit wurde auch diese "böse" Datei gesichert....
Aber kA wie du die löschen kannst, ich hab kein Windows...

Schalte evtl mal die Systemwiederherstellung ab, starte neu und aktiviere sie wieder... vielleicht werden dabei die alten Systemwiederherstellungs-Dateien gelöscht. Oder schau mal in den Ordneroptionen nach ob du auch alle Dateien anzeigen lässt (auch Systemdateien), oder starte mal im abgesicherten Modus und schau mal ob du den Ordner dann siehst und entsprechende Datei löschen kannst....

Energise

Also erst mal ne Frage zu Avast. Avast is doch eine Software wie z.B. Ad-Aware nicht so was wie hijackthis, dass denn online auswertet oder?
Ich habe jetzt mal Avast laufen lassen und habe trojaner gefunden, die auch im Ordner:
C.\System Volume Information\_restore waren. Nur die Unterordner hießen anders und die .exe selbstversändlich auch. Also bin ich noch mal mit Ad-Aware rüber um abzuchecken ob der OnDemand Scanner anspringt. Und siehe da, nach kurzer Zeit findet er eine Datei, die sich im selben Ordner befindet, wie in meinem Anfangspost. Aber die Datei heißt jetzt "RP108\A0007486.exe" nicht "RP107\A0007200.exe".

Jetzt wollt ich mal das mit der Systemwiederherstellung Abschalten und im abgesicherten Modus ausprobieren. Aber ich weiß leider nicht wie die zwei Sachen funktionieren ...
Also kann mir mal jm erklären, wie das geht? Und was ist anders im Abgesicherten Modus?
Was muss ich beachten bei den beiden Varianten?

CLX

Avast ist einfach nur ein Virenscanner. Der OnlineScanner ist nur ein kleiner zusätzlicher Service, wo man einzelne Dateien hochladen kann, die dann überprüft werden.
Wo man die Systemwiederherstellung deaktivieren kann weis ich nicht. (Die ist standart-maessig aktiviert? xD )
Da ich bis jetzt den Abgesicherten Modus nicht des öfteren brauchte kann ich nicht genau sagen, was an ihm anders ist. (Ich vermute mal, dass sämtliche nutzlose aktivitäten, wie z.B. MSN/Anti-Viren-Programm etc. nicht beim starten gestartet werden und man hat mehr rechte, oder so ^^ )
[google] -- hey, dass waere mal ein guter Tag.
Du kommst in den Abgesicherten Modus, indem du beim oder kurz vorm Laden von Windows F8 drueckst und den Modus dort auswaehlst.

stone.dr

Auf C:\System Volume Information, kann man leider nicht so ohne weiteres Zugreifen und Dateien löschen.
Ich würde Dir empfehlen, Dir BartPE
zu laden und eine Distro anzulegen.
Dann von der Distro aus, das File löschen.

adrian90

Viel zu umständlich. Änder doch einfach die Sicherheitseinstellungen und greif darauf zu.

quux

rofl... man kann auch ne eigene Distro bauen um ne Datei zu löschen....

@Energise:
Google solltest du doch kennen... Wir können dir hier nicht immer eine Schritt-für-Schritt-Anleitung posten....

In den Abgesicherten Modus kommst du folgendermaßen:
Beim Booten des PC's, kurz bevor das WinXP-Logo auftaucht, musst du kurz F8 gedrückt halten. Dann kommst du in ein Menü, in dem du "Windows im abgesicherten Modus starten" (o.s.ä.) auswählen kannst.
Im abgesicherten Modus wird Windows nur mit der minimalsten Ausstattung gestartet. Da immer mal wieder etwas kaputt gehen kann, brauch man eine "Rettungs-Oberfläche" um die kaputten Dienste/Dateien/Treiber zu reparieren. Und im normalen laufenden Betrieb geht sowas nicht immer, da die betroffenen Dienste am arbeiten sind bzw die Dateien genutzt werden und somit nicht verändert werden können.

Die Systemwiederherstellung kannst du so aussschalten:
Rechtsklick auf den Arbeitsplatz --> den Registerreiter "Systemwiederherstellung" auswählen und das Häkchen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen.

Btw, ich hab beim googlen noch eine interessante Info gefunden:
Wenn man die Systemwiederherstellung deaktiviert und dann defragmentiert, und danach die Systemwiederherstellung wieder aktiviert legt WinXP angegeblich die Restore-Dateien neu an und die Alten sind gelöscht.
Keine Ahnung ob das nun stimmt, aber du könntest es mal versuchen. Kaputt gehen kann dabei eigentlich nichts... ^^

+++ATH0

Mit IceSword [1] kann man diese löschen. Oder sich selbst Rechte für diesen Ordner geben, wie adrian90 vorschlug. Unter Windows XP Home ist XPFSE hilfreich.

[1] http://www.chip.de/downloads/c1_downloads_20302556.html

Energise

lol kaputt gehen kann eigentlich nichts
naja ich hab mir jetzt mal ice sword runtergeladen und mir den restore ordner mitsamt den unterordnern angeguckt. und ich hab geshen, dass da lauter solche A000...exe und dll dateien sind. jetzt wollte ich mal die notleine ziehn und alle dateien oder den gesamten sys.vol.inf. ordner löschen, weil das mit der defragnemtierung nicht geklappt hat... aber ich weiß nicht ob dort wichtige dateien sind und ob der ordner neut erstellt wid...
antivir hab ich mir jetzt auch extra gedownloadet. der findet ein paar sys.vol.inf datein und erkannt sie als virus. es springt immer noch der onDemand Scanner an. hab verscuht die bestimmte daatei zu löschen is aber wieder da.

Haldir

Ob Der Ordner für dich wichtig ist musst du selbst entscheiden!
Entscheidungs hilfe gibts hier: http://www.giza-web.de/html/system-v...formation.html

Energise

ahhh gut danke für die hilfe
denn hake ich diesen thread mal ls erledigt ab...sofern ich heraus finde wie das geht