Virus im FS please help me

  • Nabend Zusammen :!:

    ich habe gerade mal mein AntiVir durchlaufen lassen und er Fand diese Dateien Beginne mit der Desinfektion:
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP543\A0236524.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [WARNUNG] Die Datei wurde ignoriert.
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP556\A0236645.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [WARNUNG] Die Datei wurde ignoriert.
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP558\A0236703.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [WARNUNG] Die Datei wurde ignoriert.
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP561\A0237510.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [WARNUNG] Die Datei wurde ignoriert.
    Ich habe die Dateien mal ignoriert weil ich net weiss welche Fs Dateien das sind ich hatte scowas schonmal aber dann war es nach 2 Antivir Updates weg ich hatte das selbe schonmal vor 3 Tagen :!:

    Könnte mir einer ein Tipp geben wie ich jetzt vorgehen kann ohne mein Fs Platt zu machen :?:

    Ich benutze Avira Antivir

    :arrow: MFG NINO :cup:
    Touch the sky :!: :friends:
    Willkommen on board lets fly away :heart: :beer:
    NURDERBVB

    Einmal editiert, zuletzt von Italia (9. November 2009 um 01:41)

  • Hier mal der Komplete Such-Bericht

    Beginn des Suchlaufs: Sonntag, 8. November 2009 23:21

    Der Suchlauf nach versteckten Objekten wird begonnen.
    Es wurden '74065' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

    Der Suchlauf über gestartete Prozesse wird begonnen:
    Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'atitray.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
    Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
    Es wurden '44' Prozesse mit '44' Modulen durchsucht

    Der Suchlauf über die Masterbootsektoren wird begonnen:
    Masterbootsektor HD0
    [INFO] Es wurde kein Virus gefunden!
    Masterbootsektor HD1
    [INFO] Es wurde kein Virus gefunden!
    Masterbootsektor HD2
    [INFO] Es wurde kein Virus gefunden!
    Masterbootsektor HD3
    [INFO] Es wurde kein Virus gefunden!
    Masterbootsektor HD4
    [INFO] Es wurde kein Virus gefunden!

    Der Suchlauf über die Bootsektoren wird begonnen:
    Bootsektor 'C:\'
    [INFO] Es wurde kein Virus gefunden!
    Bootsektor 'D:\'
    [INFO] Es wurde kein Virus gefunden!
    Bootsektor 'E:\'
    [INFO] Es wurde kein Virus gefunden!

    Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
    Die Registry wurde durchsucht ( '55' Dateien ).


    Der Suchlauf über die ausgewählten Dateien wird begonnen:

    Beginne mit der Suche in 'C:\'
    C:\pagefile.sys
    [WARNUNG] Die Datei konnte nicht geöffnet werden!
    [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
    Beginne mit der Suche in 'D:\'
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP543\A0236524.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP556\A0236645.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP558\A0236703.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP561\A0237510.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    Beginne mit der Suche in 'E:\'

    Beginne mit der Desinfektion:
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP543\A0236524.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [WARNUNG] Die Datei wurde ignoriert.
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP556\A0236645.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [WARNUNG] Die Datei wurde ignoriert.
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP558\A0236703.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [WARNUNG] Die Datei wurde ignoriert.
    D:\System Volume Information\_restore{DEE664E4-AD37-4DC1-9501-6EE0A1FB4BA2}\RP561\A0237510.exe
    [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [WARNUNG] Die Datei wurde ignoriert.


    Ende des Suchlaufs: Montag, 9. November 2009 01:14
    Benötigte Zeit: 1:52:23 Stunde(n)

    Der Suchlauf wurde vollständig durchgeführt.

    23910 Verzeichnisse wurden überprüft
    605605 Dateien wurden geprüft
    4 Viren bzw. unerwünschte Programme wurden gefunden
    0 Dateien wurden als verdächtig eingestuft
    0 Dateien wurden gelöscht
    0 Viren bzw. unerwünschte Programme wurden repariert
    0 Dateien wurden in die Quarantäne verschoben
    0 Dateien wurden umbenannt
    1 Dateien konnten nicht durchsucht werden
    605600 Dateien ohne Befall
    2156 Archive wurden durchsucht
    5 Warnungen
    1 Hinweise
    74065 Objekte wurden beim Rootkitscan durchsucht
    0 Versteckte Objekte wurden gefunden

    :arrow: MFG NINO :cup:
    Touch the sky :!: :friends:
    Willkommen on board lets fly away :heart: :beer:
    NURDERBVB

  • Wie kommst Du drauf das es FS Dateien sind? Ansonsten habe ich mit Spybot gute Erfahrung gemacht in Sachen *Seek & Destroy*

  • Keine Panik!!!!

    Die Viren stecken in den Wiederherstellungsinformationen von Windows.

    Los werden kannst Du sie folgendermassen:

    Rechte Maustaste auf "Arbeitsplatz"
    Eigenschaften
    Register "Systemwiederherstellung"
    Haken in "Systemwiederherstellung auf allen Laufwerken deaktivieren"
    Übernehmen
    OK
    Neustart

    Nochmal scannen lassen, damit sollte Ruhe herrschen.

  • Hallo Nino,

    jepp, diese Daten kannst Du, wie Boerries schon sagt, problemlos entfernen lassen, es handelt sich um Dateien in der Systemwiederherstellung, die Du im normalen Betrieb nicht benötigst.


    AVIRA scheint allerdings im aktuellen Update wirklich eine kleine Macke zu haben. Bei mir wird die Datei ADS.exe als Trojaner erkannt, diese Datei liegt hier in einem Archiv von mir und gehört zur "alten" EDDW-Scenery von Oliver Papst. Diese Datei ist mit absoluter Sicherheit kein Virus, trotzdem erkennt AVIRA diese Datei als solchen. Das kann passieren, wenn die Signatur der Datei zufälligerweise mit der eines Virus identisch ist.

  • der Haken bei Systemwiederherstellung auf allen Laufwerken war bei mir schon deaktiviert
    aber AVira findet den Virus immer noch im Laufwerk D: dort wo nur der Flusi drine ist :!:

    :arrow: MFG NINO :cup:
    Touch the sky :!: :friends:
    Willkommen on board lets fly away :heart: :beer:
    NURDERBVB

  • der Haken bei Systemwiederherstellung auf allen Laufwerken war bei mir schon deaktiviert
    aber AVira findet den Virus immer noch im Laufwerk D: dort wo nur der Flusi drine ist :!:

    Du sollst den Haken auch nicht raus-, sondern reinmachen. Danach löscht WIN alle Daten aus den Ordnern der Systemwiederherstellung auf allen Laufwerken.