Kein Zugriff auf "System Volume Information"

Moin...

Gestern hatten wir erst 'ne Trojaner-Diskussion (s. Threat mit ms32.exe) und nun habe ich selbst ein Problem. Naja, man soll sich ja nie zu früh freuen...

Also...
Habe heute zweimal einen Trojaner im Verzeichnis "C:\System Volume Information" gehabt. Antivir hat mich darauf hingewiesen und ich habe ihn mit Antivir auch gelöscht, das meine ich jedenfalls. Denn weder auf Laufwerk C, noch auf D habe ich Zugriff auf diesen Ordner. Wenn ich auf ihn doppelklicke, dann erscheint das, was ich angehängt habe.

Weiß jemand Rat?! :oops:

Jo, das habe ich mir schon gedacht, da hatte ich auch nie Zugriff drauf. Aber wie kommen da die Trojaner rein? Wäre ja mal ganz schön, wenn man in den Ordner wenigstens schauen könnte, oder?

Grüße

Hier das Logfile von HijackThis:

Logfile of HijackThis v1.99.0
Scan saved at 20:13:04, on 04.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Tools\Systemdiagnose\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\http://EXCEL.EXE/3000
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicAccess/ie/bridge-c32.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1120222098325
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp03.photoprintit.de/microsite/defa…geUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = min.uni-hannover.de
O17 - HKLM\Software\..\Telephony: DomainName = min.uni-hannover.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFBC7F97-F178-46A1-9C09-A351E768C8FE}: NameServer = 130.75.104.1,130.75.104.2,130.75.1.32,130.75.1.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = min.uni-hannover.de
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsShutdown - Unknown - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Irgendwelche Probleme? Ich habe keine gefunden...
Grüße...

Moin...

@kaiser:
Jo, werde mal den Eintrag versuchen zu fixen und mein Logfile auswerten lassen. Sitze an der Uni und bin Diplomand, Rechner ist mein Privatlaptop.
Das System läuft superstabil, deswegen werde ich mal die Variante von Helloween versuchen...
Den Namen des Trojaners habe ich mir in meinem jugendlichen Leicht weder notiert noch gemerkt!

Danke erstmal an alle und Grüße...

Moin...

Habe eure Tipps befolgt und alles ist wieder in Butter. Handelte sich tatsächlich um Spyware...

@kaiser:
Wußte gar nicht, daß man seinen Logfile so leiccht auswerten lassen kann. Danke für den Tipp!

Habe beim Fixen eine andere fragwürdige Datei gefunden. Siehe dazu Threat "PSSDNSVC.EXE"

Großen Dank und Grüße

Nein, habe ich nicht! Deswegen mußte der Service dran glauben!

ast:
Danke für den Tipp! Erst jetzt konnte ich den Ordner vernünftig mit meinem Virenscanner überprüfen.

Habe übrigens diese Anleitung benutzt: http://support.microsoft.com/default.aspx?scid=kb;de;810881

Wie mache ich das jetzt wieder rückgängig? Wenn ich unter Eigenschaften -> Sicherheit -> Erweitert meinen Namen aus der Liste Berechtigungseinträge lösche und auf Ok klicke, dann kommt folgende Meldung, die angehängt ist. Wird der Vollzugriff dann automatisch wieder auf System umgestellt, wenn ich "Ja" klicke?

Grüße...