Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner in der SystemVolumeInformation

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.12.2008, 17:10   #1
Cord
 
Trojaner in der SystemVolumeInformation - Pfeil

Trojaner in der SystemVolumeInformation



Hallo,

ich nutze die Avira Premium Security Suite und Spybot S&D auf einem Rechner mit Windows XP, der seit Anfang 2008 mit diesem System läuft. Die letzten 3 Monate wurde er nur für ein paar Officearbeiten und zum surfen auf Nachrichtenseiten (SpiegelOnline, Sueddeutsch, etc.), also allesamt seriösen Seiten benutzt. Ich hatte auch bisher nie Probleme mit Viren, Trojanern o.Ä.

Nach einem Update der Definition von Avira gestern Abend führte eine vollständige Systemprüfung (die vorige war ~18.11.08 ) zu folgendem Ergebnis:

[...]

D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP90\
A0023880.ini
change.log.1
RestorePointSize
D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP92\
A0023917.ini
A0023950.ini
change.log.1
change.log.2
RestorePointSize
D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP93\
change.log.1
change.log.2
RestorePointSize
D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP94\
A0024382.ini
A0024412.dll
[FUND] Ist das Trojanische Pferd TR/Agent.45056.D

[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496857ff.qua' verschoben!
A0024413.nam
A0024414.ini
A0024415.dll
[FUND] Ist das Trojanische Pferd TR/Agent.32768.A

[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49685806.qua' verschoben!
A0024416.exe
A0024418.ini
change.log
change.log.1
D:\System Volume Information\_restore{F8DEFA73-8713-4F11-94D1-0580DBC223D6}\RP1\
A0000015.ini
A0000016.ini
A0000017.ini
A0000018.ini
A0000019.ini
A0000020.ini
A0000021.ini
A0000022.ini
A0000023.ini
change.log

[...]

Das überrascht mich schon sehr angesichts der Tatsache, dass ich schlicht nicht weiss, wo es herkommen soll. Ich bin eigentlich auch davon ausgegangen, dass es sich um einen Fehlalarm handelt, nicht zuletzt, weil Spybot S&D, den ich eigentlich als sehr gut kennengelernt habe, sowohl im direkten Dateiscan wie auch im kompletten Suchdurchlauf (der etwa alle 3-4 Tage erfolge) nie (und auch jetzt nichts) gefunden hatte bzw. hat.

Ich hab die Datei dann eingeschickt mit folgendem Ergebnis:
Avira Antivirus Solutions
Wird dort eigentlich etwas anderes gemacht, als nochmal den gleichen Scanner drüberlaufen zu lassen ?

Anschließend habe ich die beiden .dll's anschließend noch bei http://virusscan.jotti.org/ hochgeladen mit dem Ergebnis, dass etwa gut 50% der Scanner es als Trojaner identifiziert haben:
abload.de - Bilderupload
abload.de - Bilderupload

Kann ich mir trotzdem noch Hoffenung machen, dass es sich um ein false positive handelt ?

Und falls nicht: Wie kann so ein Trojaner funktionieren, der aus nicht mehr als aus einer bzw. zwei .dll-Dateien in der System-Volume-Information der Daten-Partition (ist ein logisches Laufwerk) besteht ?

Schonmal danke für Antworten
mfg
Kehl

Alt 05.12.2008, 17:33   #2
starfish02
 
Trojaner in der SystemVolumeInformation - Standard

Trojaner in der SystemVolumeInformation



Die gefundenen Dateien befinden sich allesamt in den Ordnern der Systemwiederherstellung. Solltest du diese nicht benutzen (und das solltest du lieber nicht, es gibt zig bessere backup tools) deaktiviere sie einfach:

1. rechtsklick auf arbeitsplatz
2. Eigenschaften
3. Systemwiederherstellung
4. haken machen bei deaktivieren.
5. ok
6. ja

die dateien sollten dann auch verschwunden sein.
__________________


Alt 05.12.2008, 18:00   #3
Cord
 
Trojaner in der SystemVolumeInformation - Standard

Trojaner in der SystemVolumeInformation



Du meinst also, der Trojaner (wenn es denn einer ist) ist also garnicht aktiv, sondern würde höchstens bei der Wiederherstellung des zugehörigen Wiederherstellungspunktes wieder ins System kommen ?

Wie kommt denn ein Trojaner in die zu einer Systemwiederherstellung benötigten Dateien ?
__________________

Alt 31.12.2008, 15:39   #4
v_orever
 
Trojaner in der SystemVolumeInformation - Standard

Trojaner in der SystemVolumeInformation



Ich habe diesen Beitrag gerade eben gefunden, da mir das selbe Problem gerade bevorsteht.
Auch bei mir kommt diese Meldung von AntiVir, obwohl ich gestern erst einen Suchlauf gestartet hatte und dieser ohne eine einzige Fehlermeldung endete. Und heute findet er auf einmal ein Trojanisches Pferd?
Ich hatte dann schon oft gelesen, das man die Systemwiederherstellung deaktivieren sollte, wollte ich auch machen, doch die ist bei mir schon deaktiviert!
Und trotzdem, sobald ich den Suchlauf weiterlaufen lasse, findet er neue Trojanische Pferde.
Was soll ich denn jetzt machen?

Liebe Grüße und schon mal einen schönen Rutsch an euch alle ins Neue Jahr

Alt 31.12.2008, 15:42   #5
DeeWayne
 
Trojaner in der SystemVolumeInformation - Standard

Trojaner in der SystemVolumeInformation



Systemwiederherstellung deaktivieren und alle löschen lassen !!
Danach macht ihr'n Neustart des Rechners !
Hat bisher immer geklappt


Antwort

Themen zu Trojaner in der SystemVolumeInformation
anfang, antivirus, avira, datei, ergebnis, false positive, fehlalarm, folge, handel, laufwerk, namen, nicht mehr, probleme, rechner, security, security suite, seite, seiten, spybot, surfen, system, system volume information, trojaner, update, viren, windows, windows xp




Zum Thema Trojaner in der SystemVolumeInformation - Hallo, ich nutze die Avira Premium Security Suite und Spybot S&D auf einem Rechner mit Windows XP, der seit Anfang 2008 mit diesem System läuft. Die letzten 3 Monate wurde - Trojaner in der SystemVolumeInformation...
Archiv
Du betrachtest: Trojaner in der SystemVolumeInformation auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.