Virus im system volume information ordner Einstellungen

[Gizeh]

habe einen virus mit den bitdefender online scan gefunden, sollte sich im sys. vo. info. ordner auf der platte befinden. gibts irgentwie eine möglichkeit den virus zu löschen?

bitdefender 9 findet aber nichts.

Logfile of HijackThis v1.99.1
Scan saved at 14:56:06, on 22.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\PowerDvD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Acronis\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\Programme\Softwin\BitDefender9\bdnagent.exe
C:\Programme\Softwin\BitDefender9\bdswitch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Mozilla Firefox\firefox.exe
I:\Executables\Setups\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\PowerDvD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programme\Acronis\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E15E53B1-D64D-4780-B5AC-A9892F3E9DDC}: NameServer = 217.237.151.225,217.237.150.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


bitte um hilfe!
vielleicht könnt ihr hier heraus erkennne ob sonst auch alles sauber ist.

p.s.: achja , gestern hab ich mir einen virus eingefangen der aber weg ist wie es auschaut:
der war zu finden in:c:\dokumente und einstellungen\gizeh\anwendungsdaten\sun\java\deployment\cache\javapi\v1.0\jar\javainstaller.jar-5aa0b436-40f9cfae.zip infiziert mit Trojan.Downloader.Java.Openstream.W

hab ihn im abgesicherten modus entfernt indem ich die temp internetdateien von java entfernt habe.

Der Beitrag wurde von Gizeh bearbeitet: 22.02.2006, 15:03

[Gast_Julian_*]

systemwiederherstellung einmal deaktivieren.
dazu: rechtsklick auf den arbeitsplatz -> eigenschaften -> systemwiederherstellung.
dort einmal systemwiederherstellung auf allen laufwerken deaktivieren anklicken, bestätigen und einen neustart machen. danach kannst du sie wieder einschalten, der virus sollte weg sein. der rest der vorherigen systemwiederherstellung allerdings auch, also besser nicht machen, wenn die vorherigen systemwiederherstellungspunkte für dich wichtig sind.

sofern der virus nicht aktiv wird oder du ihn leicht ausversehen wieder ausführen könntest nach einer systemwiederherstellung ist der aber eigentlich nicht weiter schlimm

edit: dein hjt-lf ist natürlich sauber, da der virus nicht aktiv ist (sind auch keine anderen schädlinge da)

Der Beitrag wurde von Julian bearbeitet: 22.02.2006, 15:04

[Gizeh]

hatte ich schon probiert mit der deaktivierung und anschliessender aktivierung der systemwiederherstellung, hat aber nicht funktioniert.

scheint so als ob es ein relikt aus alten tagen wäre.

[Gast_Julian_*]

bist du sicher, das es kein fehlalarm von hive ist?
bitte nenn genauere informationen (name der gefundenen datei, als welchen virus gefunden usw...

[Gizeh]

bin gerade am scannen. dauert noch 30 minuten

achja wenn ich unter dem ordner auf eigenschaften gehe stehen da 0 dateien 0 ordner.

edit:

hatte vorher kaspersky drauf und das erzeugt ja bekannterweise IStreams, meine frage ist: ist es wirklich notwendig diese streams zu löschen oder kann man die bedenkenlos drauflassen?

und noch was, es wird ja auch empfohlen mit einem eingeschränkten benutzerkonto zu arbeiten im onlinemodus, jetzt ist es aber so das ich eigentlich permanent online bin und manche programme die ich im onlinemodus benötige, nicht im eingeschränkten modus funktionieren.

kann man solche programme dazu bewegen dennoch zu funktionieren?

Der Beitrag wurde von Gizeh bearbeitet: 22.02.2006, 16:29

[Gast_Julian_*]

"und noch was, es wird ja auch empfohlen mit einem eingeschränkten benutzerkonto zu arbeiten im onlinemodus, jetzt ist es aber so das ich eigentlich permanent online bin und manche programme die ich im onlinemodus benötige, nicht im eingeschränkten modus funktionieren.

kann man solche programme dazu bewegen dennoch zu funktionieren?"

ja:
mach im admin-modus einen rechtsklick auf die gewünschte datei/ordner was im eingeschr. modus nicht richtig läuft. dann wählst du eigenschaften -> sicherheit. wenn der name des eingeschr. benutzers noch nicht in der liste dort steht, klicke auf hinzufügen. dort gibst du exakt den namen des users mit eingeschr. rechten ein, danach auf den button namen überprüfen und dann auf ok.
dann kannst du dem entsprechenden programm die entsprechenden berechtigungen geben.

zu der sache mit dem virus in der systemwiederstellung:
hast du wirklich angeklickt systemwiederherstellung auf ALLEN laufwerken deaktivieren?
ich kann mir eigentlich nur noch einen fehlalarm vorstellen oder du hast mehrere betriebssysteme am laufen. falls das der fall ist, musst du die systemwiederherstellung in dem entsprechenden os abstellen. wie du das machen solltest, steht ja schon beschrieben

[Gizeh]

melde mich gleich nochmal wieder

Der Beitrag wurde von Gizeh bearbeitet: 22.02.2006, 16:51

[Gizeh]

"zu der sache mit dem virus in der systemwiederstellung:
hast du wirklich angeklickt systemwiederherstellung auf ALLEN laufwerken deaktivieren?
ich kann mir eigentlich nur noch einen fehlalarm vorstellen oder du hast mehrere betriebssysteme am laufen. falls das der fall ist, musst du die systemwiederherstellung in dem entsprechenden os abstellen. wie du das machen solltest, steht ja schon beschrieben wink.gif"

1 sys ist installiert ,systemwiederherstellung ist auf allen LW´s deaktiviert.










also der virus heisst : Dropped.Adware.DEA.A

und er befindet sich im system volume information ordner.

auszug aus dem scanlog:

Geprüfte Dateien


Status

I:\System Volume Information\_restore{5C9058B4-1630-48A8-8B01-4A55B6CB4464}\RP92\A0152292.exe=>(NSIS o)=>lzma_nsis0058


Infiziert: Dropped:Adware.DEA.A

I:\System Volume Information\_restore{5C9058B4-1630-48A8-8B01-4A55B6CB4464}\RP92\A0152292.exe=>(NSIS o)=>lzma_nsis0058


Desinfektion fehlgeschlagen

I:\System Volume Information\_restore{5C9058B4-1630-48A8-8B01-4A55B6CB4464}\RP92\A0152292.exe=>(NSIS o)=>lzma_nsis0058


Gelöscht

I:\System Volume Information\_restore{5C9058B4-1630-48A8-8B01-4A55B6CB4464}\RP92\A0152292.exe=>(NSIS o)


Aktualisieren fehlgeschlagen

I:\System Volume Information\_restore{5C9058B4-1630-48A8-8B01-4A55B6CB4464}\RP92\A0153399.exe=>(NSIS o)=>lzma_nsis0058


Infiziert: Dropped:Adware.DEA.A

I:\System Volume Information\_restore{5C9058B4-1630-48A8-8B01-4A55B6CB4464}\RP92\A0153399.exe=>(NSIS o)=>lzma_nsis0058


Desinfektion fehlgeschlagen

I:\System Volume Information\_restore{5C9058B4-1630-48A8-8B01-4A55B6CB4464}\RP92\A0153399.exe=>(NSIS o)=>lzma_nsis0058


Gelöscht

I:\System Volume Information\_restore{5C9058B4-1630-48A8-8B01-4A55B6CB4464}\RP92\A0153399.exe=>(NSIS o)


Aktualisieren fehlgeschlagen


zu den rechten, welche rechte benötigt ein programm denn generell?

Der Beitrag wurde von Gizeh bearbeitet: 22.02.2006, 18:49

[Gast_rock_*]

nach dem du die systemwiederherstellung deaktiviert hast, musst du sie schon wieder aktivieren, (dazwischen neustart) sonst bleiben die einträge bis zum st.nimmerleinstag am rechner. auschalten allein entfernt ja nicht die gegenwärtigen einträge.

swh aus, pc neustart, swh ein, pc neustart, nochmal scannen = alle bisherige einträge daraus weg!

rock

Der Beitrag wurde von rock bearbeitet: 22.02.2006, 19:21

[Gast_Julian_*]

zu der adware finden sich gar keine informationen per google, es steht auch kein gen in dem virennamen, das heisst es ist kein hive produzierter fehlalarm.
mach mal einen rechtsklick auf den betroffenen system volume information ordner und wähle eigenschaften. dann gehst du auf den tab "sicherheit" und drückst auf den button hinzufügen. es sollte sollte ein fenster mit dem titel "Benutzer oder Gruppen wählen" erscheinen. in dem weissen kasten gibst du exakt deinen benutzernamen ein, mit dem du gerade angemeldet bist und klickst auf namen überprüfen, dann auf ok. jetzt sollte der entspr. benutzer name in der liste auftauchen. dort wählst du vollzugriff aus.
wenn du das getan hast, gehst du in den system... ordner rein und löschst alle ordner die du finden kannst. dann mach noch mal einen scan mit bitdefender, er sollte nichts finden.

damit du den system volume information ordner sehen kannst, solltest du folgendes einstellen: wenn du im windowsexplorer bist (die ganz normale ordneransicht) gehst du auf "extras" -> "ordneroptionen" -> "ansicht" ->. dort deaktivierst du folgende kästchen: Geschützte Systemdateien ausblenden. aktivieren tust du diese kästchen: inhalte von systemordnern anzeigen. dazu wählst du noch alle dateien und ordner anzeigen aus. danach klickst du auf übernehmen und wenn das getan ist auf für alle übernehmen. bestätigen musst du die meldung mit ja.

edit: rock bist du dir sicher? ich meine, die einträge sind auc hdann weg, wenn man sie einfach deaktiviert (auch ohne reaktivieren). kann mir aber auch irren, da ich die systemwiederherstellung schon länger nicht mehr benutze

Der Beitrag wurde von Julian bearbeitet: 22.02.2006, 19:24

[Gast_rock_*]

bei win me war es sogar noch so, das man ein hinweisfenster bekommen hat, das um die einstellung zu übernehmen der pc neu gest. werden muss...tut mans nicht und scannt den rechner in dem zustand wird er einträge finden.

was sich anscheinend hier ja auch bei xp bestätigt...

abgsehen glaub ich auch das es ein fehlalarm ist, denn es steht nirgends das die adware schon vorher wo gefunden/gelöscht/bearbeitet wurde...sodass überhaupt ein eintrag in die SWH kommen kann...

rock

[Gast_rock_*]

ich würd auch vorschlagen solang die SWH noch deaktiviert ist, alles temporäre vom pc zu löschen. am besten mit dem ccleaner analysieren/löschen. dann neustart...swh wieder aktivieren, nochmals neustart.

nur schade halt wegen einem ad ware verdacht die swh zu "killen".

ich würds einfach ignorieren wenn ein weiterer onlinescan GARNICHTS meldet, aber temporär aufräumen trotzdem!

[Gast_Julian_*]

ich finde es wesentlich sinnvoller jede woche ein richtiges backup (z.B.) mit acronis zu machen. dokumente usw gehören eh auf eine extra partition, wofür braucht man da noch das windowszeugs?

[Gast_Speedyweb_*]

ich würd auch vorschlagen solang die SWH noch deaktiviert ist, alles temporäre vom pc zu löschen. am besten mit dem ccleaner analysieren/löschen. dann neustart...swh wieder aktivieren, nochmals neustart.

nur schade halt wegen einem ad ware verdacht die swh zu "killen".

ich würds einfach ignorieren wenn ein weiterer onlinescan GARNICHTS meldet, aber temporär aufräumen trotzdem!
[right][snapback]133927[/snapback][/right]

hi rock, dann erstellt man halt einen neuen systemwiederherstellungspunkt

im übrigen, kann es passieren, sollte aber nicht, wenn man die swh deaktiviert, das noch daten überbleiben

daher empfehlung (nach dieser prozedur ist finish mit malwaremeldungen von der I:\System Volume Information\ )

• start
• systemsteuerung
• system -> reiter systemwiederherstellung
• schieber speicherplatznutzung auf minimal und
• systemwiederherstellung deaktivieren
• neustart, die systemwiederherstellung aktivieren
• start
• alle programme
• zubehör
• systemprogramme
• systemwiederherstellung
• einen wiederherstellungspunkt erstellen
• start
• explorer
• lokaler datenträger -> rechte maustaste
• eigenschaften -> reiter allgemein
• bereinigen -> reiter weitere optionen
• systemwiederherstellung bereinigen
• einen wiederherstellungspunkt erstellen

[Gizeh]

an alle: vielen herzlichen dank, den virus habe ich löschen können. bitdefender hat nichts mehr gefunden, auch nach einem neustart nicht mehr.