Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   escan zeigt Troianer inSystem Volume (https://www.trojaner-board.de/9079-escan-zeigt-troianer-insystem-volume.html)

engl 01.11.2004 22:32
escan zeigt Troianer inSystem Volume
 
hi,
beim escan - scan zeigte sich ein backdoor... im Ordner C:\System Volume Information\restore( uswusw....).exe

wie komm ich da ran, um das zu entfernen.
ich kann mir zwar Zugriff verschaffen auf C\System, aber dann ?

tx C

Wattewuschel 01.11.2004 23:59
hallo.

den ordner "System Volume Information" zeigts bei dir nicht an?

um den anzuzeigen, geh auf den arbeitsplatz (oder irgendwo anders im windows-explorer), dort auf extras, ordneroptionen, ansicht, versteckte dateien und ordner - dort klickst du "alle dateien..." anzeigen an. guck auch mal, ob ein häkchen bei "inhalte von systemordnern anzeigen" drin ist. wenn nicht, mach eins rein.

dann müßtest du den ordner finden.

Lidius 02.11.2004 00:32
Schalte einfach die Systemwiederherstellung ab, reboote und schalte sie dann wieder ein, dann ist das weg

Madjack 02.11.2004 00:35
Hi miteinander, besonders Lidius (warst knapp schneller :-)

Natürlich stellt sich die Frage wie das Backdoor dort reingekommen ist. Normal werden dort die Systemdateien gesichert damit im Falle eines beschädigten System die letzte funktionierende Sicherung wieder hergestellt werden kann. Mein AV-Progi McAfee hat zwar den Virus dort gefunden, konnte aber den Virus nicht löschen. Mit unten genannter Lösung von Lidius wäre dieses Problem wenigstens erledigt. Aber wie schon gesagt. Wie kommt das Backdoor in die Systemsicherung ? Scan mal mit HijackThis, sicherheithalber.

Vielleicht weiß ja noch wer mehr, bin bis morgen Nacht nicht hier :crazy:

grEEz MJ

Lidius 02.11.2004 00:38
@Madjack

Hast recht

@engl
Poste bitte auch nochtmal ein hijackthis log
http://www.trojaner-board.de/51130-a...ijackthis.html

engl 02.11.2004 12:58
also,

hijackthis und av und adaware finden diese infizierte Datei nicht.

hijackthis log :


Logfile of HijackThis v1.98.2
Scan saved at 22:19:52, on 01.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\soundman.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
D:\Programme\Opera7\opera.exe
D:\alteplatte 1\Daten\Christof\hijackthis\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\frontpage\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1019293468724
O17 - HKLM\System\CCS\Services\Tcpip\..\{811C9671-E969-49AC-82C4-5E73D5DE0D6E}: NameServer = 62.104.191.241 62.104.196.134

hab ich hier http://www.hijackthis.de/
testen lassen. Deutet aber nix auf o.g. hin.


die Systemwiederherstellung hab ich abgeschaltet, bevor ich im abgesicherten Modus neu hochgefahren hab.
Dann müsste doch nach Lidius das schon weggewesen sein.
Ich werd mal escan nochmal drüber lassen.

tx C

Shadowdance 02.11.2004 13:21
@ engl

Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com und lade das aktuelle Service Pack runter.

Dein Hijack This Logfile sieht sauber aus. Was hat der eScan ergeben?

SD

engl 02.11.2004 19:20
escan zeigt auch nix mehr - Danke
C


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131