Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BackDoor.Generic6.FUB//Generic.HAA in System Volume Information

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.03.2009, 20:58   #1
Omnibus
 
BackDoor.Generic6.FUB//Generic.HAA in System Volume Information - Standard

BackDoor.Generic6.FUB//Generic.HAA in System Volume Information



Hallo

Folgendes Problemchen:

Vorgestern hat AVG Anti-Virus Free folgenden Befund gemeldet:
Code:
ATTFilter
Adware: Generic.HAA
C:\System Volume Information\_restore{9A7BA048-08F6-4C77-8082-64669B4F0121}\RP124\A0022610.exe
         
und heute noch den hier:

Code:
ATTFilter
Trojaner: BackDoor.Generic6. FUB 
D:\System Volume Information\_restore{9A7BA048-08F6-4C77-8082-64669B4F0121}\RP124\A0022822.exe
         
Hab beide in Quarantäne verschoben.

Hier der Hijack-This Log
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:09:36, on 09.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ICQ6.5\ICQ.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunServices: [Wincontrol] C:\Programme\Wincontrol\Wincontrol.EXE
O4 - HKLM\..\RunServices: [Checkup] C:\Programme\Wincontrol\Checkup.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 4096 bytes
         
Das System:
WIN XP HOME SP3
Antviren-Software: AVG Anti-Virus Free 8.5.278
Firewall: Windows Firewall
Browser: Firefox 3/Internet Explorer 6

Ich weiß das es bereits den IE 7 gibt, aber mein PC weigert sich förmlich den zu installieren, weiß nicht was er hat, aber ich benutze die IE sowie so nie.

Ca 3 Tage vor dem Fund habe ich WIN neu aufgesetzt, Formatiert, und Neu-Partitioniert, sollte also keine Überbleibsel vom Alten WIN sein, wobei der auch "hoffentlich" nicht verseucht war (war zumindets nicht der Grund fürs neuaufsetzen).

Mache auf dem PC nichts besonders, außer Surfen und Arbeiten fürs Studium, d.h nichts dramatisches, wie Online-Banking und ich kann alle persönlichen Daten, wie Bilder und Textdokumente sichern, also falls eine Neuinstallation bevorsteht, macht mir das nicht so viel aus.

Malewarebytes verweigert mir die Funktion, soll heißen wenn ich es installiert habe startet sich nichts, keine Startmenüeinträge, kein Desktop-Symbol und der Install-Ordner ist auch vollkommen leer.

Danke für eure Hilfen
lg
Omnibus

Alt 11.03.2009, 15:01   #2
undoreal
/// AVZ-Toolkit Guru
 
BackDoor.Generic6.FUB//Generic.HAA in System Volume Information - Standard

BackDoor.Generic6.FUB//Generic.HAA in System Volume Information



Halli hallo.

Den Rechner hat es übel erwischt.

Ändere umgehend von einem anderen sauberen PC aus alle deine Zugangsdaten, Passwörter und Account Details die du über den befallenen Rechner angewählt hast.
Logge dich von dem Rechner aus nirgends mehr ein!

Bereinigung nach einer Kompromitierung


Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..
  • Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
    Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
    .
  • Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
    .
  • Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
    .
  • Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
    .
  • Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
    .
  • Das aktuelle ServicePack sollte installiert sein:.
  • Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
    .
  • Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
    .
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Es ist nicht sinnvoll eine personal/Desktop Firewall wie Zone-Alarm, Commodoo o-ä. zu installieren. Diese erhöhen keines Falls die Systemsicherheit! Ganz im Gegenteil
    .
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
      und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
    .
  • Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
    .
    Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..
__________________

__________________

Antwort

Themen zu BackDoor.Generic6.FUB//Generic.HAA in System Volume Information
adobe, adware, avg, avg free, backdoor.generic, bho, e-banking, e-mail, excel, explorer, firefox, hijack-this, hijackthis, hkus\s-1-5-18, home, icq, ie 7, internet, internet explorer, microsoft, mozilla, neu, neu aufgesetzt, programme, software, surfen, system, trojaner, windows, windows xp



Ähnliche Themen: BackDoor.Generic6.FUB//Generic.HAA in System Volume Information


  1. Trojan.Generic.6760809 im Receycler und System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 16.11.2012 (28)
  2. Trojan.Generic.6760809 im Receycler und System Volume Information
    Mülltonne - 10.11.2012 (1)
  3. Trojan.Generic.KD.150772 (Engine-A) in D:\System Volume Information...
    Plagegeister aller Art und deren Bekämpfung - 10.03.2011 (3)
  4. system volume information
    Plagegeister aller Art und deren Bekämpfung - 13.06.2009 (6)
  5. Antivir findet Backdoor und Trojaner in System Volume Information Ordnern
    Log-Analyse und Auswertung - 25.03.2009 (0)
  6. Trojaner in der System Volume Information
    Mülltonne - 27.12.2008 (0)
  7. Hilfe!WORM/generic in D://System Volume Information (Mit HJT LOG-FILE!)
    Log-Analyse und Auswertung - 16.08.2008 (8)
  8. System Volume Information infiziert?
    Log-Analyse und Auswertung - 13.05.2008 (4)
  9. System Volume Information
    Alles rund um Windows - 14.02.2008 (32)
  10. System Volume Information
    Log-Analyse und Auswertung - 25.07.2007 (1)
  11. System Volume Information
    Alles rund um Windows - 14.07.2007 (1)
  12. system volume information
    Plagegeister aller Art und deren Bekämpfung - 11.08.2006 (3)
  13. System Volume Information
    Alles rund um Windows - 03.06.2006 (1)
  14. System Volume Information
    Alles rund um Windows - 09.01.2006 (11)
  15. System volume information
    Alles rund um Windows - 13.02.2005 (1)
  16. System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (4)
  17. System Volume Information??
    Plagegeister aller Art und deren Bekämpfung - 21.11.2004 (2)

Zum Thema BackDoor.Generic6.FUB//Generic.HAA in System Volume Information - Hallo Folgendes Problemchen: Vorgestern hat AVG Anti-Virus Free folgenden Befund gemeldet: Code: Alles auswählen Aufklappen ATTFilter Adware: Generic.HAA C:\System Volume Information\_restore{9A7BA048-08F6-4C77-8082-64669B4F0121}\RP124\A0022610.exe und heute noch den hier: Code: Alles auswählen Aufklappen - BackDoor.Generic6.FUB//Generic.HAA in System Volume Information...
Archiv
Du betrachtest: BackDoor.Generic6.FUB//Generic.HAA in System Volume Information auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.