Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner in der SystemVolumeInformation (https://www.trojaner-board.de/65889-trojaner-systemvolumeinformation.html)

Cord 05.12.2008 17:10
Trojaner in der SystemVolumeInformation
 
Hallo,

ich nutze die Avira Premium Security Suite und Spybot S&D auf einem Rechner mit Windows XP, der seit Anfang 2008 mit diesem System läuft. Die letzten 3 Monate wurde er nur für ein paar Officearbeiten und zum surfen auf Nachrichtenseiten (SpiegelOnline, Sueddeutsch, etc.), also allesamt seriösen Seiten benutzt. Ich hatte auch bisher nie Probleme mit Viren, Trojanern o.Ä.

Nach einem Update der Definition von Avira gestern Abend führte eine vollständige Systemprüfung (die vorige war ~18.11.08 ) zu folgendem Ergebnis:

[...]

D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP90\
A0023880.ini
change.log.1
RestorePointSize
D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP92\
A0023917.ini
A0023950.ini
change.log.1
change.log.2
RestorePointSize
D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP93\
change.log.1
change.log.2
RestorePointSize
D:\System Volume Information\_restore{735772F5-5075-4839-A2AA-2AFF04A54DF6}\RP94\
A0024382.ini
A0024412.dll
[FUND] Ist das Trojanische Pferd TR/Agent.45056.D
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496857ff.qua' verschoben!
A0024413.nam
A0024414.ini
A0024415.dll
[FUND] Ist das Trojanische Pferd TR/Agent.32768.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49685806.qua' verschoben!
A0024416.exe
A0024418.ini
change.log
change.log.1
D:\System Volume Information\_restore{F8DEFA73-8713-4F11-94D1-0580DBC223D6}\RP1\
A0000015.ini
A0000016.ini
A0000017.ini
A0000018.ini
A0000019.ini
A0000020.ini
A0000021.ini
A0000022.ini
A0000023.ini
change.log

[...]

Das überrascht mich schon sehr angesichts der Tatsache, dass ich schlicht nicht weiss, wo es herkommen soll. Ich bin eigentlich auch davon ausgegangen, dass es sich um einen Fehlalarm handelt, nicht zuletzt, weil Spybot S&D, den ich eigentlich als sehr gut kennengelernt habe, sowohl im direkten Dateiscan wie auch im kompletten Suchdurchlauf (der etwa alle 3-4 Tage erfolge) nie (und auch jetzt nichts) gefunden hatte bzw. hat.

Ich hab die Datei dann eingeschickt mit folgendem Ergebnis:
Avira Antivirus Solutions
Wird dort eigentlich etwas anderes gemacht, als nochmal den gleichen Scanner drüberlaufen zu lassen ?

Anschließend habe ich die beiden .dll's anschließend noch bei http://virusscan.jotti.org/ hochgeladen mit dem Ergebnis, dass etwa gut 50% der Scanner es als Trojaner identifiziert haben:
abload.de - Bilderupload
abload.de - Bilderupload

Kann ich mir trotzdem noch Hoffenung machen, dass es sich um ein false positive handelt ?

Und falls nicht: Wie kann so ein Trojaner funktionieren, der aus nicht mehr als aus einer bzw. zwei .dll-Dateien in der System-Volume-Information der Daten-Partition (ist ein logisches Laufwerk) besteht ?

Schonmal danke für Antworten
mfg
Kehl

starfish02 05.12.2008 17:33
Die gefundenen Dateien befinden sich allesamt in den Ordnern der Systemwiederherstellung. Solltest du diese nicht benutzen (und das solltest du lieber nicht, es gibt zig bessere backup tools) deaktiviere sie einfach:

1. rechtsklick auf arbeitsplatz
2. Eigenschaften
3. Systemwiederherstellung
4. haken machen bei deaktivieren.
5. ok
6. ja

die dateien sollten dann auch verschwunden sein.

Cord 05.12.2008 18:00
Du meinst also, der Trojaner (wenn es denn einer ist) ist also garnicht aktiv, sondern würde höchstens bei der Wiederherstellung des zugehörigen Wiederherstellungspunktes wieder ins System kommen ?

Wie kommt denn ein Trojaner in die zu einer Systemwiederherstellung benötigten Dateien ?

v_orever 31.12.2008 15:39
Ich habe diesen Beitrag gerade eben gefunden, da mir das selbe Problem gerade bevorsteht.
Auch bei mir kommt diese Meldung von AntiVir, obwohl ich gestern erst einen Suchlauf gestartet hatte und dieser ohne eine einzige Fehlermeldung endete. Und heute findet er auf einmal ein Trojanisches Pferd?
Ich hatte dann schon oft gelesen, das man die Systemwiederherstellung deaktivieren sollte, wollte ich auch machen, doch die ist bei mir schon deaktiviert!
Und trotzdem, sobald ich den Suchlauf weiterlaufen lasse, findet er neue Trojanische Pferde.
Was soll ich denn jetzt machen?

Liebe Grüße und schon mal einen schönen Rutsch an euch alle ins Neue Jahr :)

DeeWayne 31.12.2008 15:42
Systemwiederherstellung deaktivieren und alle löschen lassen !!
Danach macht ihr'n Neustart des Rechners !
Hat bisher immer geklappt


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:38 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129