Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: C:\System Volume Information\_restore .... Trojaner, Quarantäne

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.02.2009, 22:30   #1
profissimo
 
C:\System Volume Information\_restore .... Trojaner, Quarantäne - Standard

C:\System Volume Information\_restore .... Trojaner, Quarantäne



Hi ihr Lieben,
Mein Virenscanner hat vorhin folgendes entdeckt: (ich poste am besten mal das relevante von Antivir) :

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{F0BA463B-75A5-41D6-A0D6-9974E0302D48}\RP658\A0068303.exe
[FUND] Ist das Trojanische Pferd TR/Renaz.22528.9
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d46120.qua' verschoben!
Beginne mit der Suche in 'D:\' <ACERDATA>

Leider zeigt Antivir mir keine weiteren Infos dazu an.
Reicht es, wenn es nun in Quarantäne ist, oder muss ich es irgendwie noch extra löschen?
Ich weiß ihr bekommt solche Fragen ständig, aber ich habe leider gar keine Ahnung.

hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:15:11, on 24.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Acer\eRecovery\Monitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Programme\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{90EDDD0C-2A37-4E9C-BA8A-04A36677F19C}: NameServer = 192.168.1.10 192.168.1.130
O17 - HKLM\System\CS1\Services\Tcpip\..\{90EDDD0C-2A37-4E9C-BA8A-04A36677F19C}: NameServer = 192.168.1.10 192.168.1.130
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6838 bytes


Sehr vielen Dank!

Alt 25.02.2009, 03:22   #2
a5cl3p1o5
 
C:\System Volume Information\_restore .... Trojaner, Quarantäne - Standard

C:\System Volume Information\_restore .... Trojaner, Quarantäne



Hallo profissimo,

Damit Avira keine weiteren Viren unter C:\System Volume Information\ findet, musst Du die
Wiederherstellungspunkte löschen.

Viele Grüße
a5cl3p1o5
__________________

__________________

Alt 25.02.2009, 10:05   #3
profissimo
 
C:\System Volume Information\_restore .... Trojaner, Quarantäne - Standard

C:\System Volume Information\_restore .... Trojaner, Quarantäne



super, vielen Dank.
Das ging ja schnell
__________________

Alt 25.02.2009, 16:44   #4
grandnic11
 
C:\System Volume Information\_restore .... Trojaner, Quarantäne - Standard

C:\System Volume Information\_restore .... Trojaner, Quarantäne



Mhh lustig genau den Virus hab ich heute auch gefunden xD

Alt 25.02.2009, 17:15   #5
Jig Saw
/// Helfer-Team
 
C:\System Volume Information\_restore .... Trojaner, Quarantäne - Standard

C:\System Volume Information\_restore .... Trojaner, Quarantäne



Zitat:
Zitat von profissimo Beitrag anzeigen
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{F0BA463B-75A5-41D6-A0D6-9974E0302D48}\RP658\A0068303.exe
[FUND] Ist das Trojanische Pferd TR/Renaz.22528.9
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d46120.qua' verschoben!
Beginne mit der Suche in 'D:\' <ACERDATA>

und jetzt das:

Zitat:
Zitat von grandnic11 Beitrag anzeigen
In der Datei 'D:\System Volume Information\_restore{55420402-19BA-4E21-9A93-C9976AC35936}\RP54\A0045267.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/VB.GWF' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

@ grandnic11 dasselbe?

__________________
A fool with a tool is still a fool

Antwort

Themen zu C:\System Volume Information\_restore .... Trojaner, Quarantäne
adobe, antivir, avira, bho, dll, explorer, firefox, frage, hkus\s-1-5-18, internet, internet explorer, launch, löschen, mozilla, notebook, pdf, plug-in, programme, rundll, scan, software, suche, suchlauf, system, trojaner, usb, warnung, windows, windows xp




Ähnliche Themen: C:\System Volume Information\_restore .... Trojaner, Quarantäne


  1. AVIRA meldet 'TR/Crypt.ZPACK.Gen8' (C:\System Volume Information\_restore{...}\RP353\A0103375.exe)
    Plagegeister aller Art und deren Bekämpfung - 15.02.2013 (11)
  2. Trojan.Agent/Gen-Kazy[Ico] in C:\SYSTEM VOLUME INFORMATION\_RESTORE{6037B4AE-60D5-4ABD-B660-DFA1EAAD6D52}\RP441\A0130476.EXE gefunden
    Log-Analyse und Auswertung - 14.10.2012 (28)
  3. Trojaner Funde in CC:\System Volume Information\_restore und andere Pfade
    Log-Analyse und Auswertung - 31.10.2011 (4)
  4. Trojanerfund TR/Eyestye.n.763 , Datei: C:\System Volume Information\_restore{E5C0502A-7E6B-48C6-820F
    Plagegeister aller Art und deren Bekämpfung - 10.10.2011 (44)
  5. WORM/Conficker.Y.12/Y.14 in C:\System Volume Information\_restore{069F6E02-AB0E-4A84-A389-14C8A78...
    Log-Analyse und Auswertung - 16.06.2011 (12)
  6. Externe Festplatte / TR/HORSE.LFM / System Volume Information\_restore
    Plagegeister aller Art und deren Bekämpfung - 26.02.2011 (3)
  7. Verschiedene Trojaner in C:\System Volume Information\_restore
    Log-Analyse und Auswertung - 06.01.2011 (19)
  8. gefunden: Adware.WidgiToolbar in "C:\System Volume Information\_restore..."
    Log-Analyse und Auswertung - 10.11.2010 (2)
  9. TR/Trash.Gen in 'C:\System Volume Information\_restore [...].DLL'
    Plagegeister aller Art und deren Bekämpfung - 30.07.2010 (6)
  10. TR/Dropper.gen in C:\System Volume Information\_restore{6B43E65E-F5EF-42F4-AEB
    Plagegeister aller Art und deren Bekämpfung - 16.02.2010 (6)
  11. Troja TR/Spy.79360.15 in C:\System Volume Information\_restore........A0082264.exe
    Log-Analyse und Auswertung - 10.02.2010 (4)
  12. "TR/Trash.Gen" in "C:\System Volume Information\_restore{5C62BAB0- [...]"
    Plagegeister aller Art und deren Bekämpfung - 30.10.2009 (3)
  13. DataMiner in "C:System Volume Information\_restore\...
    Plagegeister aller Art und deren Bekämpfung - 09.01.2009 (4)
  14. Trojaner in der System Volume Information
    Mülltonne - 27.12.2008 (0)
  15. Was ist C:\System Volume Information\_restore{...}.dll oder .exe
    Antiviren-, Firewall- und andere Schutzprogramme - 20.01.2008 (10)
  16. Was ist C:\System Volume Information\_restore{...}.dll oder .exe
    Mülltonne - 14.01.2008 (0)
  17. trojaner in C:\ system volume information\_restore,...
    Plagegeister aller Art und deren Bekämpfung - 02.07.2007 (5)

Zum Thema C:\System Volume Information\_restore .... Trojaner, Quarantäne - Hi ihr Lieben, Mein Virenscanner hat vorhin folgendes entdeckt: (ich poste am besten mal das relevante von Antivir) : Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der - C:\System Volume Information\_restore .... Trojaner, Quarantäne...
Archiv
Du betrachtest: C:\System Volume Information\_restore .... Trojaner, Quarantäne auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.