[HaBo]
| Virenschutz · Tools & Aggressive Software Tips zum Kampf gegen gegen Viren, Trojaner, CryptoSoft und Programme, die erstellt wurden um Schaden anzurichten, werden hier behandelt. Aber auch Tools aus dem Security Bereich sind hier richtig. |
Malware - System Volume Information
Diskussion: Malware - System Volume Information im Forum Virenschutz · Tools & Aggressive Software, in der Kategorie Security Area; Anzeige Hallo, ich habe ein Problem mit einem Malware die sich in System Volume Information installiert habe. Habe die exe ...
 |
29.04.09, 18:25
| #1 (permalink) |
  Registriert seit: 09.07.08   Likes: 0 |  Malware - System Volume Information Anzeige Hallo, ich habe ein Problem mit einem Malware die sich in System Volume Information installiert habe. Habe die exe schon in Quarantäne exportiert und die Komplette Ordner Struktur (stolze 5gb) gelöscht. Leider lässt sie eine Datei, die sogenannte change.log nicht löschen da sie noch von "weiteren Benutzern verwendet wird". Auch nach beenden des WAN bzw LAN gab es keine erfolge. Bräuchte Hilfe wie ich den Virus den Prozess mache und ihn unwirksam mache. Hier habe ich noch mein Logfile der Prozesse Code: Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:19:01, on 29.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme_2\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme_2\Razer\Tarantula\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme_2\Razer\DeathAdder\razerhid.exe
C:\Programme_2\Razer Barracuda AC-1 Gaming Audio Card\Customapp\PROGRAM\RAZER BARRACUDA AC-1 GAMING AUDIO CARD.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme_2\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\GamesSteam\Steam.exe
C:\Programme_2\ICQ6.5\ICQ.exe
C:\Programme_2\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme_2\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme_2\Razer\Tarantula\razertra.exe
C:\Programme_2\Razer\DeathAdder\razerofa.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme_2\Mozilla Firefox\firefox.exe
C:\Programme_2\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de/?&affid=1&uid=F4A29B85-7CF1-43A6-A711-318729734F4B
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Tarantula] C:\Programme_2\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio8788] RunDll32 cmicnfgp.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DeathAdder] C:\Programme_2\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "c:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [UVS11 Preload] c:\Programme_2\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme_2\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme_2\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\GamesSteam\Steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme_2\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme_2\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme_2\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme_2\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme_2\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: mysql - Unknown owner - C:\Programme_2\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - c:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
--
End of file - 7124 bytes
__________________ „Wenn ein unordentlicher Schreibtisch einen unordentlichen Geist repräsentiert, was sagt dann ein leerer Schreibtisch über den Menschen, der ihn benutzt aus?“ Albert Einstein |
|  |
|
29.04.09, 18:56
| #2 (permalink) |
| Registriert seit: 08.02.09 Likes: 0 | Hallo Mani, soweit ich weiß, ist die Datei "change.log" nicht zu löschen, da sie fester Bestandteil der Windows-Systemwiederherstellung ist. Vielleicht geht es aber über den Umweg, die Systemwiederherstellung zu deaktivieren, neuzustarten und sie wieder zu aktivieren - ist allerdings nur eine Idee, mehr auch nicht.  Und etwas allgemeines möchte ich auch noch sagen: um zu schauen, welcher Prozess auf eine Datei zugreift, gibt es von Microsoft das Tool Process Explorer. mfg, mcf |
|
| |
| HaBOT | - Anzeige - |
|
|
29.04.09, 19:00
| #3 (permalink) |
| Registriert seit: 07.03.08 Likes: 0 | change.log eine logdatei wird dich nicht beissen, der Hund liegt woanders begraben. Scanne dein System mal mit ner LiveCD... Wenn das ganze razer - tarantula geschmäus von dir installiert wurde, ist das log soweit clean. |
|
| |
|
29.04.09, 21:45
| #4 (permalink) |
| Registriert seit: 09.07.08 Likes: 0 | der Virus war leider so schlau und hat meine ganze Systemwiederherstllung deaktiviert --> konnte ich nicht mehr drauf zu greifen, geschweige etwas zu deaktivieren. Dachte mir vor ich mich jetzt an alles ran mache, schmeiß ich WIndows neu drauf. Dachte mir ist die beste lösung
__________________ „Wenn ein unordentlicher Schreibtisch einen unordentlichen Geist repräsentiert, was sagt dann ein leerer Schreibtisch über den Menschen, der ihn benutzt aus?“ Albert Einstein |
|
| |
|
29.04.09, 22:07
| #5 (permalink) | |
| Registriert seit: 08.02.09 Likes: 0 | Zitat:
 | |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Security Area » Virenschutz · Tools & Aggressive Software » Malware - System Volume Information
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| System volume informations | tunnelwalker | Windows | 5 | 22.09.07 19:48 |
| System Volume Information - Viren, Trojaner, etc. | Until-Death | Virenschutz · Tools & Aggressive Software | 2 | 01.08.07 22:57 |
| Malware auf Abo | Mailyn | Off topic-Zone | 1 | 27.02.07 22:54 |
| "System Volume Information"- was ist das? | Sneak | Windows | 0 | 20.11.04 00:14 |
| System Volume Information | HittiSun | Windows | 1 | 29.01.04 22:01 |
