Spyware in System Volume Information

hallo,

vor dem scann als erstes die Systemwiederherstellung deaktivieren.
anchließend eine plattenbereinigung durchführen (cookies löschen usw.)

pc im abgesichertem modus starten und dan scannen.

mfg Zidane

Okay, ich werde es versuchen. 

danach SYS-WDH wieder an , und neuen Punkt setzen !

Okay, ich habe die Systemwiederherstellung deaktiviert und die Platte (mit dem CCleaner) bereinigt. Dann hab ich den PC im abegsicherten Modus neugestartet und AntiVir drüberlaufen lassen (Panda Active Scan geht ja im abgesicherten Modus nicht). AntiVir brachte wie zuvor keinen Treffer. Rein interessehalber habe ich versucht im abgesicherten Modus den Ordner System Volume Information anzuschauen, aber er ließ sich nicht öffnen (Zugriff verweigert). Dann hab ich den PC wieder normal gestart, die Systemwiederherstellung wieder aktiviert, und nochmal den Panda Scan drüberlaufen lassen, um zu checken, ob das Zeug jetzt wirklich weg ist. Ist es aber leider nicht.


Aus dem Panda Scan

Mittlere Gefährdungsstufe (3)

 Spyware/BetterInet Spyware Latent Ausblenden + Info   
 1. C:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1017\A0161926.inf
 
 Spyware/New.net Spyware Latent Ausblenden + Info   
 1. C:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1017\A0161927.exe
2. C:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1017\A0161928.exe
 
 Spyware/New.net Spyware Latent Ausblenden + Info   
 1. C:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1017\A0161929.dll
 

Niedrige Gefährdungsstufe (6)

 Adware/WeatherCast Adware Latent Ausblenden + Info     
 1. C:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1017\A0161930.exe
 
 Application/ErrorSafe Tracking-Anwendung Latent Ausblenden + Info   
 1. C:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1012\A0161647.exe
 
 Adware/NavHelper Adware Latent Ausblenden + Info   
 1. C:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1017\A0161933.dll
 
 Adware/Cydoor Adware Latent Ausblenden + Info   
 1. C:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1024\A0162594.exe
 
 Application/ErrorSafe Tracking-Anwendung Latent Ausblenden + Info   
 1. D:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1019\A0162123.exe
2. C:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1013\A0161670.exe
 
 Adware/NavHelper Adware Latent Ausblenden + Info   
 1. C:\System Volume Information\_restore{8C628C7...1-E4E4576DD340}\RP1022\A0162540.exe


 HiJackThis Log

Logfile of HijackThis v1.99.1
Scan saved at 14:25:43, on 24.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Safety\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\SCREEN~1\SIMPLESCREENSHOT.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\Programme\Safety\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.google.de/
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} -

C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -

C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} -

C:\PROGRA~1\FlashGet\jccatch_1.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -

c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} -

C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -

C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064}

- c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Safety\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched]

"C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SCREEN~1\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition

Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Alles mit FlashGet laden -

C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden -

C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

%windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} -

C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} -

C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) -

http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} -

http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {47CEF84E-92D8-4C4A-86D7-CB982889DCC0} (Oberon Media Network

Optimizer) - http://mp1.mplay.oberon-media.com/client/flashnet.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) -

http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) -

http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -

c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira

GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira

GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft -

C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner -

C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc.

- C:\Programme\Safety\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog

Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. -

C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
 

Du hast besucher im System hast einen o20 eintrag.
Das sicherste ist wenn du Daten sicherst und formatierst.

Dann war die SYS-WDH NICHT aus , sonst wäre sie leer .

Volles Programm ....

Generell ...
sollte man seine Daten nach Befall sichern ,und den PC neu aufsetzen (Formatieren] & Installieren) .....

------------------------------------------------------------------------------------------------------------

zuerst : Browsercache & Cookies löschen

Plattenbereinigung machen zum löschen aller temporären Dateien
Zubehör .....oder :
Arbplatz , Rechtsklick auf die Platte , Eigenschaften ,Bereinigen

dann :
HijackThis , im Normalmodus !
http://www.hijackthis.de/     <<< Download & Auswertung
http://members.linzag.net/680262/HJT/HijackThis.html    <<<Beispiel
Log oder Zusammenfassung  ggf hier posten.

-------------------------------------------------------------------------------------------------------------

Virenscan    (unbedingt immer im abgesicherten Modus machen)  !
Denn im Normalmodus sind etliche Dateien gesperrt .

Ausserdem verstecken sich welche ggf in der Systemwiederherst.
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)
-------------
Viren-Vollscan machen imabges. Modus mit  MalwareBytes  ,
Achtung : vor Scan >> im Normalmodus "Update" anklicken ...  !

http://www.paules-pc-forum.de/forum/4-pc-sicherheit/107467-malwarebytes-anti-malware.html

http://www.zdnet.de/adware_entfernen_unter_windows_malwarebytes__anti_malware_download-39002345-88313-1.htm

http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

http://www.hijackthis-forum.de/showthread.php?p=174914

-------------
Systemwiederherst. wenn OK = wieder AN
Normalstart und Systemwiederherstellungspunkt setzen .

-------------------------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Systemwiederherstellung   AUS
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren AN-haken : <<< Vorsicht , damit sind ALLE Punkte weg !!

Fertig damit :
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren AB-haken
Danach ggf Wiederherstellungs-Punkt setzen .
 z.B. Start , Hilfe & Supp. , System-WDH , neuen Punkt setzen

-------------------------------------------------------------------------------------------------------------

Wenn alles nicht hilft :
mit Knoppix-CD
http://www.computerhilfen.de/info/video-anleitung-daten-retten-mit-knoppix-2.html

oder
BartPe-LiveCD
http://www.wintotal.de/Artikel/pebuilder/pebuilder.php

http://www.nu2german.de/pebuilder319.shtml

http://www.pebuilder.de/

http://www.pcwelt.de/downloads/108595/

oder
http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html
starten , Daten sichern und das System dann neu installieren .

-------------------------------------------------------------------------------------------------------------

Der Virendoktor
http://www.heise.de/security/artikel/80369

-------------------------------------------------------------------------------------------------------------
 

@RSD der 020 Eintrag ist nicht schädlich, jedoch auffällig!

Danke an alle. Habs nun so gemacht wie HCK es beschrieben hat. Mittlerweile habe ich auch rausgefunden wie ich Zugriff auf den Ordner bekommen kann, deswegen hab ich gleich einmal überprüft, ob das Zeug jetzt wirklich weg ist. Und es ist weg. Der Panda Scan findet nun auch nix mehr. Also, danke.

Edit: Achja, der bemängelte 020 Eintrag war das Plugin vom McAfeeSiteAdvisor für den IExplorer. Da ich den aber eh nie hernehme, habe ich das Teil auch entfernt.

UND : immer schön aufpassen ,was man anklickt !!