Immer wieder Virenfund in System Volume Information

Morgen.

Avira meldet mir bei jedem Suchlauf 19 Virenfunde (Virus W32/Virut.Gen) in F:\System Volume Information\_restore{5ad5087B-2063-BC2F-02BFF51E936E}\RP10\a000xxx.exe

Komischerweise hab ich auf Partition F nur Mukke drauf und keine einzige Ausführbare Datei (.exe . bat u.ä.) und soviel ich weiss ist der _restore Ordner von der Systemwiederherrstellung, welche ich bei allen Laufwerken Deaktiviert habe...


Zum System:
WinXP + SP3
An Appz hab ich bisher nur Avira Antivirus, SpyBot S&D, Zune Desktop Theme und halt Treiberzoix drauf. Acronis True Image noch, zum Backuppen. Mehr nicht...

 

Appz hört sich nach Warez an und das ist dann dein persönliches Problem.

 

Netzwerkwurm der Backdoors öffnet, nimm Deine Vierenschleuder schnellstmöglich vom Netz.

Gruß
neppo

 

Ich hab nur Appz geschrieben weil ich keine Lust hatte Applikationen auszuschreiben und Programme nich ganz zum Theme passt... Sind keine Warez, sondern mit nem Cleanen Pc von Chip runtergeladen, auf Cd-gebrannt und Installiert...

Ich hab den Rechner nich mal wirklich am Netz. Nur einmal um Avira & SpyBot Updates zu holen. Hab sonst keine anderen Netzwerkverbindungen getätigt... Im übrigen hab ich den Rechner gestern morgen erst komplett neu aufgesetzt...

 

Dann ging das Verseuchen mit dem Aufsetzen einher.
Und woher :nixwissen das kannst nur Du wissen.

Gruß
neppo

 

Bei Avira kann es sich um einen Fehlalarm handeln.
Wenn a000xxx.exe nicht zu groß ist, kannst du die datei bei Jotti/Virustotal scannen lassen.
Um auf die Dateien zugreifen zu können, müssen die Rechte erweitert werden.
http://support.microsoft.com/kb/309531/de

 

Hehe, wollt die Dateien auch schon auf Virus Total hochladen und prüfen lassen, aber ich komm in den Ordner nich rein...

# Alle Dateien und Ordner anzeigen.
# Deaktivieren des Kontrollkästchens Geschützte Systemdateien ausblenden (empfohlen).
# Inhalte von Systemordnern anzeigen aktiviert
Hab ich, doch bei Doppelklick auf System Volume Information sagt Win mir das auf den Ordner nicht Zugegriffen werden konnte... Probier es später mal über die Freigabe und sicherheit, aber eigentlich sollte es daran nicht liegen, bin alleiniger Benutzer...

Aber ich glaub die Datei wird eh nicht mehr da sein, Avira hat sie ja gleich in Quarantäne verschoben...

 

Kannst du nicht die Systemwiederherstellung für die Partition deaktivieren?

 

Hab ich doch schon längst...

 

Ist der Papierkorb auch deaktiviert?

 

Häh, wie kann man denn den Papierkorb deaktivieren..?
Habich noch nie was von gehört...

 

Über die Eigenschaften des Papierkorbs kann man Laufwerke unabhängig konfigurieren und dann für einzelne Paritionen deaktivieren.

 

Ah, coole Sache. Werd ich mir mal anschauen. Aber heute mach ich da nichts mehr...

 

So. Hab jetzt einfach mal den Papierkorb für die Partition F Deaktiviert, Neugestartet und Avira drüberlaufen lassen... Scheint alles Clean zu sein. Denke mal das ich den Virus vorm Neauaufsetzen gelöscht hab und der noch im Papierkorb lag, durchs Neuaufsetzen aber die Files nicht mehr im Papierkorb angezeigt wurden und jetzt erst gelöscht wurden...

Naja, hier der neue Avira log...



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 26. April 2009 11:23

Es wird nach 1365100 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ***

Versionsinformationen:
BUILD.DAT : 9.0.0.387 17962 Bytes 24.03.2009 11:03:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 10:13:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:26
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 04:56:00
ANTIVIR3.VDF : 7.1.3.110 146432 Bytes 25.04.2009 07:20:23
Engineversion : 8.2.0.156
AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 15:36:42
AESCRIPT.DLL : 8.1.1.77 381306 Bytes 25.04.2009 04:56:04
AESCN.DLL : 8.1.1.10 127348 Bytes 25.04.2009 04:56:03
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:41
AEPACK.DLL : 8.1.3.14 397685 Bytes 25.04.2009 04:56:03
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:56
AEHEUR.DLL : 8.1.0.122 1737080 Bytes 25.04.2009 04:56:03
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:56
AEGEN.DLL : 8.1.1.39 348532 Bytes 25.04.2009 04:56:01
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 25.04.2009 04:56:00
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:04
AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 05:52:20
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:16
RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 13:50:50

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 26. April 2009 11:23

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\WINDOWS\system32\svchost.exe'
Signiert -> 'C:\WINDOWS\system32\winlogon.exe'
Signiert -> 'C:\WINDOWS\explorer.exe'
Signiert -> 'C:\WINDOWS\system32\smss.exe'
Signiert -> 'C:\WINDOWS\system32\wininet.DLL'
Signiert -> 'C:\WINDOWS\system32\wsock32.DLL'
Signiert -> 'C:\WINDOWS\system32\ws2_32.DLL'
Signiert -> 'C:\WINDOWS\system32\services.exe'
Signiert -> 'C:\WINDOWS\system32\lsass.exe'
Signiert -> 'C:\WINDOWS\system32\csrss.exe'
Signiert -> 'C:\WINDOWS\system32\drivers\kbdclass.sys'
Signiert -> 'C:\WINDOWS\system32\spoolsv.exe'
Signiert -> 'C:\WINDOWS\system32\alg.exe'
Signiert -> 'C:\WINDOWS\system32\wuauclt.exe'
Signiert -> 'C:\WINDOWS\system32\advapi32.DLL'
Signiert -> 'C:\WINDOWS\system32\user32.DLL'
Signiert -> 'C:\WINDOWS\system32\gdi32.DLL'
Signiert -> 'C:\WINDOWS\system32\kernel32.DLL'
Signiert -> 'C:\WINDOWS\system32\ntdll.DLL'
Signiert -> 'C:\WINDOWS\system32\ntoskrnl.exe'
Signiert -> 'C:\WINDOWS\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '22879' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedhlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimounterMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrueImageMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <***>
Beginne mit der Suche in 'E:\' <***>
Beginne mit der Suche in 'F:\' <***>


Ende des Suchlaufs: Sonntag, 26. April 2009 11:42
Benötigte Zeit: 19:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3705 Verzeichnisse wurden überprüft
106331 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
106330 Dateien ohne Befall
826 Archive wurden durchsucht
1 Warnungen
1 Hinweise
22879 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

 

Das sieht gut aus. pagefile.sys ist die Auslagerungsdatei. Die ist im laufenden Betrieb f&#252;r fremde Prozesse gesperrt und kann dann auch nicht untersucht werden. aber das wei&#223;t du wahrscheinlich schon.
Noch einen sch&#246;nen Sonntag.