N'Abend zusammen!

Nachdem ich heute zwei Programme deinstalliert und alle Fenster geschlossen habe war da am Desktop ein neuer Ordner namens "%SystemDrive%". Kann natürlich sein, dass ich den versehentlich aus dem Explorer rausgezogen habe was ich aber für sehr unwarscheinlich halte.
Hier mal ein Bild wie der Ordner mit Unterordnern ausschaut:


Nun würde mich interessieren wo der Ordner evtl. herkommt und vor allen Dingen wie ich mit ihm weiter verfahren soll.
Kann ich den bedenkenlos löschen oder soll ich den wieder irgendwohin zurückverschieben?
Was hat der Ordner überhaupt für eine Bedeutung?

Vielen Dank schon mal im Vorraus,

Gruß
Su34

%SystemDrive% ist eine Variable, die sich auf das Laufwerk bezieht, auf dem Windows installiert ist. Standardmäßig ist dies das Laufwerk C.

Es könnte sich um den W32.Serflog.A Wurm handeln.

Er deaktiviert möglicherweise folgende Programme:

Registrierungsbearbeitungsprogramme
Befehlszeile
Prozessüberwachungsprogramme
Task-Manager

Er erstellt die folgende Mutex, (Abk. für engl. Mutual Exclusion, „wechselseitiger Ausschluss“) damit nur eine Instanz des Wurms auf dem infizierten Computer ausgeführt wird:

'-F-u-c-k-'-Y-o-u-'

Er erstellt die folgenden versteckten Kopien von sich selbst:

* %System%\formatsys.exe
* %System%\serbw.exe
* %Windir%\msmbw.exe
* %SystemDrive%\Crazy frog gets killed by train!.pif
* %SystemDrive%\Annoying crazy frog getting killed.pif
* %SystemDrive%\See my lesbian friends.pif
* %SystemDrive%\LOL that ur pic!.pif
* %SystemDrive%\My new photo!.pif
* %SystemDrive%\Me on holiday!.pif
* %SystemDrive%\The Cat And The Fan piccy.pif
* %SystemDrive%\How a Blonde Eats a Banana...pif
* %SystemDrive%\Mona Lisa Wants Her Smile Back.pif
* %SystemDrive%\Topless in Mini Skirt! lol.pif
* %SystemDrive%\Fat Elvis! lol.pif
* %SystemDrive%\Jennifer Lopez.scr
* %SystemDrive%\lspt.exe
* %UserProfile%\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe

Um es kurz zu sagen, bitte mit Hijackthis scannen:

http://computercops.biz/zx/Merijn/hijackthis.zip
oder: http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Bebilderte Anleitung: http://hjt.klaffke.de/

Danke scho mal. Hier das Log:

Code: Alles auswählen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:55, on 07.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
E:\PROGRA~1\Grisoft\AVG7\avgcc.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
E:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\ICQ6\ICQ.exe
e:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
E:\Programme\Xfire\xfire.exe
e:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
E:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost;socks=localhost
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] e:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ZoneAlarm Client] "e:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OpwareSE2] "E:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "E:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "E:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] e:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = E:\Programme\Xfire\xfire.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - e:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181843836687
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1181911492859
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - e:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - e:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Microsoft .NET Framework v1.1.4322 Update (NetFxUpdate_v1.1.4322) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6554 bytes


Das Logfile scheint in Ordnung.

Klicke auf Start, Ausführen und gib hier %AppData% ein. Wenn im Pfad oben steht:
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten, fahre fort:
Starte Windows im abgesicherten Modus und kopiere den Inhalt von %SystemRoot% nach C:, sodass bestehende Dateien überschieben werden.
http://www.madeonapc.de/kb/048/default.php
Lösche den Ordner %SystemRoot%, falls das, was automatix geschrieben hat zutifft oder falls dein Systembenutzername nicht "Benutzer" ist.

Danke schon mal bis hierher.

von %SystemRoot% nach C:, sodass bestehende Dateien überschieben werden.

Wohin soll ich das in C: kopieren? In den Windows-Ordner?

Lösche den Ordner %SystemRoot%, falls das, was automatix geschrieben hat zutifft

Was meinst du da genau? Den Teil mit in dem er beschreibt dass der Worm Kopien von sich macht? Wenn ja wo finde ich den Ordner?

oder falls dein Systembenutzername nicht "Benutzer" ist.

Nein mein Systembenutztername ist Besitzter wenngleich das nicht mein Loginname ist.

Gruß

Su34

Hallo,

ich würde sicherheitshalber Kaspersky Anti-Virus und Spyware Doctor noch durchlaufen lassen.

Also, alles was sich auf dem Desktop in %SystemRoot% befindet nach C:\Windows kopieren.

Aha. Mit anderen Worten ich soll den Inhalt des Windowsordners in den Windowsordner kopieren??
Oder bringst du da gerade was durcheinander und verwechselst den Namen meines "mysteriösen Ordners" auf dem Desktop?? (der lautet nämlich %SystemDrive%)