Hallo

also diese Meldung

Zitat:

Herkunft des Virusproblems (Name und Ort) von solch einer Datei:
C:\System Volume Information\_restore{4DA34BB0-F856-4252-B77B-93779BC0D082}\RP34\A0025254.exe

bekommst du nicht mehr

Zitat:

Habe mit beiden Virenprogrammen upgedated und dann durchsucht - nichts gefunden.

hab ich das richtig verstanden?

Zitat:

Die Systemwiederherstellung hat sich von selbst aktiviert (d.h. das Häkchen war nicht mehr angekreuzt.

Um sie zu deaktivieren sollte das Häkchen gesetzt werden.
Nach einem neustart kann dann das Häkchen wieder entfernt werden.

Lade dir den CCleaner runter -> CCleaner Download

- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

MFG

Hallo an alle!
Sei gegrüßt nochdigger!

Zitat:

Zitat von nochdigger

Hallo

also diese Meldung

Zitat:
Herkunft des Virusproblems (Name und Ort) von solch einer Datei:
C:\System Volume Information\_restore{4DA34BB0-F856-4252-B77B-93779BC0D082}\RP34\A0025254.exe

bekommst du nicht mehr

Zitat:
Habe mit beiden Virenprogrammen upgedated und dann durchsucht - nichts gefunden.

hab ich das richtig verstanden?

Naja, nicht ganz - aber teilweise schon! Die Sache ist die:
Um etwa 23.15 Uhr - ich bin im Internet - macht der Avira AntiVir *piep* und der Avira AntiVir zeigt auf einmal "Virus gefunden oder ähnlich" und dann zeigt der Scanner 3, einen davon oben dargestellt - Trojaner/Virus an.

Das erste Mal habe ich für alle 3 "Zugriff verweigern" ausgewählt. Das zweite Mal "in Quarantäne verschieben" ausgewählt. Es war aber nichts in der Quarantäne.
Danach habe ich jeweils einen normalen Vollscan gemacht, aber nichts gefunden.
Den Ort, wo vom Guard von Avira AntiVir die Datei gefunden wurde, konnte ich in den Ereignissen nachlesen.


Habe nochmals ein HijackThis log gemacht und davor auch den Cleaner - bis zum vollkommen leermachen - vollzogen!

Hier mein neuer HijackThis log:
Natürlich die Systemwiederherrstellung deaktiviert!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:36, on 28.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\HiJackThis\ABCD.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVP] "D:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: D:\KASPER~2\KASPER~1.0\adialhk.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: DirMngr - Unknown owner - D:\GNU\GnuPG\dirmngr.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programme\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Sygate\SPF\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
--
End of file - 5631 bytes


Bin ich endgültig virusfrei/trojanerfrei oder möglicherweise nur vorerst?
Mit vielen Dank im Voraus!

Hallo

die infizierten Wiederherstellungspunkte sollten gelöscht sein, ein Antivirenprogramm kann zwar die Systemwiederherstellung durchsuchen daraus löschen kann es nicht, dies gelingt nur durch deaktivieren der Systemwiederherstellung.

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Ich fürchte aber, da steckt noch was im System, hast du einen Wechseldatenträger USB Stick o.ä. in letzter Zeit verwendet und an fremden Rechnern gehabt?

MFG

1. Ja, in den letzten 30 Tagen hatte ich die eigenen als auch fremde USB-WDT an diesem PC! Wobei die eigenen USB-WDT waren auch auf fremden Geräten!

2. Ich hatte am USB auch einen Virus, namens AUTORUN.VIR
bzw. vor Umbenennung autorun.exe oder autorun.inf
... ein Virus oder unerwünschtes Programm DR/PcClient.Gen gefunden.
bzw.:
In der Datei 'G:\autorun.VIR' wurde ein Virus oder unerwünschtes Programm [TR/Agent.amp] gefunden.
Aber den am USB befindlichen Virus konnte ich mit Avira AntiVir - bisher anscheinend - erfolgreich löschen!

3. Außerdem hatte ich schon vor 2-3 Monat einen Virus/Trojaner - dachte dieses Problem wäre anscheinend behoben. Problembehandlung siehe
http://www.trojaner-board.de/41723-p...ear#post284965
Deswegen habe ich auch vor Fragestellung einiges versucht und getan!

4. Frage: Kann/darf man die gesamten Inhalte von C:\WINDOWS\temp nicht einfach löschen?

Nachfolgend das Ergebnis der letzten 30 Tage (Rest rausgelöscht) des Filelist!
----- Root -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\

28.10.2007 18:53 9.943 ComboFix.txt
28.10.2007 17:37 1.610.612.736 pagefile.sys
28.10.2007 17:35 211 boot.ini
27.10.2007 19:29 1.289 rapport.txt
27.10.2007 19:23 6.738 ComboFix2.txt
09.10.2007 17:33 50.182 cibbrwinstall.log
06.08.2007 18:32 9.722 Bericht_SmitfraudFixPUNKTexe_AVSCAN-20070806-191507-E802CEC3.LOG
05.08.2007 23:50 2.113 rapport_Mo2.txt
05.08.2007 23:18 3.589 rapport_Mo1.txt
01.08.2007 23:49 1.457 unaerror.log
11.07.2007 10:25 17 log.txt
09.09.2006 12:22 16 UsageTrack.txt
11.08.2006 06:58 676 INSTALL.LOG
11.08.2006 06:07 12.308.261 AVG7QT.DAT
08.08.2006 16:01 47.564 NTDETECT.COM
08.08.2006 10:33 251.184 ntldr
08.08.2006 10:19 813.594 avg7db_f(2).dat
08.08.2006 10:15 11.921.905 avg7qt(2).dat
23.08.2001 13:00 4.952 bootfont.bin

19 Datei(en) 1.636.046.149 Bytes
0 Verzeichnis(se), 2.003.005.440 Bytes frei

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\WINDOWS\system32

28.10.2007 14:24 311.604 perfh009.dat
28.10.2007 14:24 39.992 perfc009.dat
28.10.2007 14:24 316.594 perfh007.dat
28.10.2007 14:24 48.156 perfc007.dat
28.10.2007 14:24 723.744 PerfStringBackup.INI
27.10.2007 19:27 0 tmp.txt
27.10.2007 19:27 1.390 tmp.reg
27.10.2007 13:11 5.657 jupdate-1.6.0_03-b05.log
21.10.2007 16:24 2.206 wpa.dbl
09.10.2007 23:31 121.336 FNTCACHE.DAT
28.09.2007 06:19 18.089.592 MRT.exe
24.09.2007 22:31 69.632 javacpl.cpl
24.09.2007 22:31 139.264 javaws.exe
24.09.2007 21:30 135.168 javaw.exe
24.09.2007 21:30 135.168 java.exe
28.08.2007 23:01 249.852 TZLog.log
22.08.2007 14:13 664.576 wininet.dll

2122 Datei(en) 393.978.980 Bytes
0 Verzeichnis(se), 2.002.878.464 Bytes frei

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\WINDOWS\Prefetch


----- Windows --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\WINDOWS

28.10.2007 19:07 10.286 WindowsUpdate.log
28.10.2007 17:38 236 SchedLgU.Txt
28.10.2007 17:37 2.048 bootstat.dat
28.10.2007 17:35 253 SYSTEM.INI
28.10.2007 17:35 647 win.ini
22.10.2007 17:52 73.216 cadkasdeinst01.exe
20.10.2007 06:03 136.192 catchme.exe
13.10.2007 20:38 155 winamp.ini
11.07.2007 10:33 316.640 WMSysPr9.prx

61 Datei(en) 6.096.139 Bytes
0 Verzeichnis(se), 2.002.898.944 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\WINDOWS\tasks

28.10.2007 17:38 6 SA.DAT
25.10.2007 17:58 276 AppleSoftwareUpdate.job
23.08.2001 13:00 65 desktop.ini
3 Datei(en) 347 Bytes
0 Verzeichnis(se), 2.002.898.944 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\WINDOWS\temp

28.10.2007 20:00 8.192 cch~5bbe6a4233e.htp
28.10.2007 20:00 8.192 cch~5bbe6871160.htp
28.10.2007 19:56 8.192 cch~5978ff00c7d.htp
28.10.2007 19:56 8.192 cch~5978fbd3d70.htp
28.10.2007 19:45 8.192 cch~5249fbc49e7.htp
28.10.2007 19:45 8.192 cch~5249f67d1c5.htp
28.10.2007 19:45 8.192 cch~523fbdf6e87.htp
28.10.2007 19:45 8.192 cch~523fbc6fae8.htp
8 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 2.002.898.944 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E80A-B978

Verzeichnis von C:\DOKUME~1\+++ich+++n+~2\LOKALE~1\Temp

28.10.2007 20:06 109.952 filelist.txt
28.10.2007 19:07 143 jusched.log
28.10.2007 19:02 16.384 ~DF301F.tmp
3 Datei(en) 126.479 Bytes
0 Verzeichnis(se), 2.002.898.944 Bytes frei

Hallo

Zitat:

1. Ja, in den letzten 30 Tagen hatte ich die eigenen als auch fremde USB-WDT an diesem PC! Wobei die eigenen USB-WDT waren auch auf fremden Geräten!

Informiere die Leute bitte an deren Rechner der verseuchte Stick gesteckt hat, dass sie sich eventuell einen üblen Gesellen eingefangen haben.

Zitat:

2. Ich hatte am USB auch einen Virus, namens AUTORUN.VIR
bzw. vor Umbenennung autorun.exe oder autorun.inf
... ein Virus oder unerwünschtes Programm DR/PcClient.Gen gefunden.

Wenn ich dem nachgehe --> F-Secure Malware Information Pages: Backdoor:W32/PcClient.YW

Zitat:

Summary
Backdoor:W32/PcClient.YW attempts to hide processes, files, and registry data. It allows the attacker to perform arbitrary actions on the infected machine. Backdoor:W32/PcClient.YW has a rootkit functionality and steals sensitive information from an infected computer.

und sehe was dieser Schädling kann/konnte, würde ich dazu neigen die Kiste neu aufzusetzen.

Zitat:

3. Außerdem hatte ich schon vor 2-3 Monat einen Virus/Trojaner - dachte dieses Problem wäre anscheinend behoben. Problembehandlung siehe
http://www.trojaner-board.de/41723-p...ear#post284965
Deswegen habe ich auch vor Fragestellung einiges versucht und getan!

Der sollte nun mit der Deaktivierung der Systemwiederherstellung in die ewigen Jagdgründe eingegangen sein.

Zitat:

4. Frage: Kann/darf man die gesamten Inhalte von C:\WINDOWS\temp nicht einfach löschen?

Klar, es sei denn du stehst auf ein zugemülltes System.

Trotzdem bleibt meine Empfehlung deinen Rechner neu aufzusetzen und nach der Neuinstallation alle Pass- und Kennwörter zu ändern, da der Schädling auf deinen System wohl aktiv geworden ist.

Zitat:

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b7845f5e-31c8-11db-a0ca-00b0d0224e7c}]
1\Command - .\RECYCLER\RECYCLER\autorun.exe
2\Command - .\RECYCLER\RECYCLER\autorun.exe
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\RECYCLER\autorun.exe

Neuaufsetzen des Systems und anschliessende Absicherung!

MFG

Zitat:

Zitat von nochdigger

Zitat:
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b7845f5e-31c8-11db-a0ca-00b0d0224e7c}]
1\Command - .\RECYCLER\RECYCLER\autorun.exe
2\Command - .\RECYCLER\RECYCLER\autorun.exe
AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\RECYCLER\autorun.exe

Hallo NOCHDIGGER!

Erst mal Danke für deine Ratschläge! Kann man die oben genannten 4 Zeilen nicht irgendwie löschen?

2. Darf ich - ohne Systemschäden oder dgl. die Recycler im Recycler Ordner einfach löschen?
3. Den HKEY wird man auch irgendie löschen können, oder? ev. mit HijackThis fixen?
4. Und den AutoRun command auch irgendwie?

Damit der PC vorübergehend noch 1-2 Wochen (sehr) relativ gefahrlos läuft!
Weil ich stehe derzeit sehr unter Zeitdruck. Und ich würde wahrscheinlich für die Neuaufsetzung des gesamten Systems mindestens 2 bis 3 Tage brauchen, bis ich alle Programme wieder so benutzerdefiniert eingestellt habe, wie derzeit!

Vielen Dank und einen schönen Tag wünscht dir
08-15

Kann mir niemand mehr weitere Anregungen und Hilfestellungen geben?
Weiß niemand mehr weiter?

Vielen Dank im voraus.
Grüße
08-15