Trojaner-Board - Malwarebytes Anti-Malware und System-Volume-Information

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Malwarebytes Anti-Malware und System-Volume-Information (https://www.trojaner-board.de/100987-malwarebytes-anti-malware-system-volume-information.html)

Malwarebytes Anti-Malware und System-Volume-Information

Ich habe die Freeware von Malwarebytes Anti-Malware (Version 1.51.0.1200) mehrmals "Vollständigen Suchlauf" gestartet und er hängt sich jedes Mal auf und zwar wenn er beim Ordner System Volume Information ist. Gebe ich den Ordner in die Ignorliste, dann läuft es durch.
Beim Googeln habe ich herausgefunden, dass dieser Ordner u.a. für die Wiederherstellungspunkte benötigt wird. Ich habe 2 Wiederherstellungspunkte. Wenn ich mit der Maus auf den Ordner gehe, zeigt er "leeren Ordner" an!
Ist das nun ein Problem von Anti-Malware oder vom Betriebssystem. Ich habe Win7 Home Premium 32.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo,
hab (fast) alles so gemacht. Muss allerdings gestehen beim Schließen aller Programme, dass WLAN-Verbindung war, Finger-Sensing Pad und und irgendwas für die IDT Audio-Einstellungen. Hat das gestört oder muss ich noch mal scannen?
Ich wollte die ODT.txt als Anhang hochladen, ist aber mit 130 KB zu groß. Soll ich tatsächlich die Text-Datei in die Antwort reinkopieren oder gehts anders?

Zippen und hier anhängen

Hier die ODT-Text als Anhang:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=TKR&o=15589&locale=en_US&q="

FF - prefs.js..network.proxy.backup.ftp: ""

FF - prefs.js..network.proxy.backup.ftp_port: 0

FF - prefs.js..network.proxy.backup.gopher: ""

FF - prefs.js..network.proxy.backup.gopher_port: 0

FF - prefs.js..network.proxy.backup.socks: ""

FF - prefs.js..network.proxy.backup.socks_port: 0

FF - prefs.js..network.proxy.backup.ssl: ""

FF - prefs.js..network.proxy.backup.ssl_port: 0

FF - prefs.js..network.proxy.ftp: "127.0.0.1"

FF - prefs.js..network.proxy.ftp_port: 4001

FF - prefs.js..network.proxy.gopher: "127.0.0.1"

FF - prefs.js..network.proxy.gopher_port: 4001

FF - prefs.js..network.proxy.http: "127.0.0.1"

FF - prefs.js..network.proxy.http_port: 4001

FF - prefs.js..network.proxy.no_proxies_on: "localhost, 127.0.0.1, fritz.box"

FF - prefs.js..network.proxy.share_proxy_settings: true

FF - prefs.js..network.proxy.socks_remote_dns: true

FF - prefs.js..network.proxy.ssl: "127.0.0.1"

FF - prefs.js..network.proxy.ssl_port: 4001

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Sorry, ich will Dich nicht anzweifeln, Du bist der Fachmann ich der Anfänger. Doch ich will soweit ich kann ein bisschen was verstehen. Diese Einträge und Ordner, sind die "gefährlich", sind die überflüssig? Und hat das alles was zu tun mit der "System Volume Information" oder ist das Ganze jetzt nur ein "Ersatz" für mein Malwarebyte AM?

Muss leider für heute Schluss machen.

Ja hast du den Proxy selber gesetzt auf den localhost?? :confused:

Wie gesagt, bin Anfänger. Wissentlich habe ich keinen gesetzt. Ob eines meiner Programme das war, kann ich nicht beurteilen. Ich hänge meine Programme dran. Vielleicht kannst Du was entdecken. Und was kann passieren nach dem Fixen?

Dann mach bitte den OTL-Fix. Ich poste sowas nicht zum ersten Mal :pfeiff:

Hier das Logfile.
sorry, konnte nicht ahnen dass Dich meine nervösen Fragen gleich nerven.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Zwischenfrage:

Zitat:

Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!

Bezieht sich das nur auf das Tool "unhide" oder auch auf "TDSSKiller"? TDSSKiller lässt sich nicht als Admin ausfürhen (wird bei Rechtsklick überhaupt nicht angeboten. Auch nicht über Eigenschaften.). Habe ich es mir vielleicht von der falschen Seite runtergeladen (hxxp://kaspersky-tdsskiller.softonic.de/download). Falls ja, kannst Du mir einen Link für die richtige geben?
Ich habs nochmal probiert von hxxp://kaspersky-tdsskiller.software.web.de/download. Geht auch nicht als Admin

Im Grunde jedes Tool, da die UAC sonst einige Sachen verhindert, man schlichtweg nicht alle Rechte hat. Viele Tools starten aber auch erst garnicht, manche produzieren in den Logs nur Meldungen wie Zugriff verweigert o.ä.

Soll ich dann TDSSKiller ohne Admin laufen lassen? Oder wo krieg ich die "richtige" Version her?