Trojaner-Board - Hilfe problem mit antivir (datei umbenannt)

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- - Hilfe problem mit antivir (datei umbenannt) (https://www.trojaner-board.de/57290-hilfe-problem-antivir-datei-umbenannt.html)

Hilfe problem mit antivir (datei umbenannt)

Hallo miteinander,

ich hoffe ihr könnt mich retten, sonst killt mich meine Frau.
Ich Versuche mich kurz zu fassen.

ECKDATEN:
Ich habe WINDOWS XP SP 3 und schütze mich mit der Freeware von Antivir und der Originalen Firewall. Als unterstützung habe ich den Spybot. (Tipps für bessren und günstigen Schutz werden gerne entgegengenommen)

PROBLEM:

Ich habe mir für das Spiel EA Fifa 08 einen Patch von der Seite Fifa4Fans heruntergeladen. Dieser verändert das komplette Spiel und macht es "realistischer".
Da dieser Patch recht groß ist (fast 700 MB) muss man ihn laut den Patchmachern direkt im Spiel selbst starten. Hierfür muss man eine exe. Datei ausführen, die von Antivir als Virus/Trojaner (Typ TR/Crypt.NSPM.Gen' ) angegben wird. Bei dem Programm soll es sich jedoch zu 100 Prozent nicht um einen Virus handeln (laut Patchmachern)
Diese empfehlen zum Spielen den Antivir abzuschalten.

1. Ich habe den Antiv ausgeschalten.
2. den Patch installiert.
3. Mit dem Spiel gespielt (hat 1 A geklappt)
4. nach Beendigung des Spiels habe ich den Antivir wieder angschalten.
5. Antivir schlug natürlich dauernd Alarmwegen der Datei.
6 auf Ignorieren gedrückt ca. 5 mal ohne Auswirkung. Antivir meckerte immer wieder
7. Dann hab ich den Fehler gemacht. ICH HABE AUF UMBENNEN gedrückt.
8. Antivir meckert nicht mehr. Spiel startet nicht mehr und was das schlimmste ist, die externe Festplatte, auf der der Patch drauf war kann nicht mehr geöffnet werden.
9. PC runtergefahren und wieder hoch. Seitdem wird die Festplatte nicht mehr erkannt.
Jetzt sind dort aber noch viele (leider zum Teil ungesicherte) Daten drauf die ich brauch. Was kann ich tun, um die Sache wieder rückgängig zu machen. Systemwiederherstellung ging nicht, es sind komischerweise gar keine Punkte mehr da.

Mit der Bitte um schnelle Hilfe

VOLLNOOB:heulen::heulen:

Wie heißt dieser Patch genau? Fifa4Fans scheint doch schon eine bekannte seite zu sein! Ich glaube nicht das sie einem bewusst trojaner unterjubeln es kann auch falscher alarm von antivir sein! Aber nur mal zur sicherheit solltest du ein Hijackthislog nach dieser Anleitung http://www.trojaner-board.de/51130-a...ijackthis.html erstellen und in diesen threat posten!
Edit: Achja das hätte ich eben beinahe vergessen. Poste auch noch das log von antivir und lade die datei bei http://www.virustotal.com/de/ hoch und poste das ergebnis bitte nicht das setup hochladen nur die datei die von antivir erkannt wurde!

Und wie meinst du das mit du kannst nicht mehr auf die festplatte zugreifen ist sie nur nicht mehr im arbeitsplatz oder kommt beim öffnen ein error?
Sollte kein error erscheinen versuch mal folgendes:
Erstell eine verknüpfung zu der festplatte aber nicht mit der durchsuchen option sondern so C:\ anstatt C einfach den laufwerksbuchstaben der festplatte angeben wenn du den nich kennst probier einfach ma alle durch:party: So funktionierts zumindest bei meinem usb stick der wird auch nich mehr im arbeitsplatz erkannt!

Ich hoffe ich konnte dir damit helfen!

Erst mal 1000 Dank für die Superschnelle Reaktion.:aplaus:

Du hast Recht. Fifa4Fans schiebet mit Sicherheit keinen Virus mit Absicht unter ihre Patches. Sie schreiben ja auch in der Instalationsanweisung, dass Antivir z.B. so reagiert. Ich bin mir auch sicher, das es sich wirklich um ein "Antivirproblem/Fehlerkennung" handelt.

Es gibt auch Neuigkeiten. Ich habe die Festplatte (weil extern wars einfach) an den PC meiner TOchter gehängt und sie da, keine Daten sind weg.:Boogie::Boogie::Boogie::Boogie:

Jetzt muss ich nur noch schauen, wie ich den Fehler aus meienm Sytem bekomme sprich, hat Antivir nur was in den "Antirdatei verändert", weil dann müsste es reichen, Antivir zu deinstallieren und es wieder zu installieren. Wenn Antivir was an der Regestry oder sonst irgendwas veränderzt hat.......
dann stehe ich auf dem Schlauch....Regestry ist bisher nciht mein Ding.

Kannst du trotzdem noch ein Hijackthis log erstellen wie unten beschrieben und das

Zitat:

hat Antivir nur was in den "Antirdatei verändert", weil dann müsste es reichen, Antivir zu deinstallieren und es wieder zu installieren. Wenn Antivir was an der Regestry oder sonst irgendwas veränderzt hat.......

verstehe ich nicht ganz! Antivir hat die datei die angeblich der virus ist nur umbenannt sonst nichts also an antivir wurde nichts geändert das spiel funktioniert jetzt vllt nicht mehr da hilft eine neuinstallation! Und wie du das mit der festplatte löst hab ich ja unten auch schon beschrieben aber ich weiß nicht ob es wirklich hilft ^^ Wenns nicht hilft sag bescheid dann fang ich nochmal an zu grübeln:daumenhoc

Ich habe die "Fifadatei" bei meiner Tochter am PC gelöscht und siehe da. Mein Rechner erkennt die Festplatte nun auch ich mache gerade ein kompletten Systemcheck mit Spybot und Antivir.

Den HiJackThis log .... muss ich noch editieren. Stell ich doch nur den unteren Teil ein oder :confused:

Nein du solltest schon das komplette log posten!

Mir sagt das nach nicht viel.

Habe ich was beim ediitieren übersehen?

Gruß

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:57:17, on 04.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\XXXXXXXXX\Eigene Dateien\TROJANER BEKÄMPFEN\HiJackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - XXXXXXXXXX - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - XXXXXXXX - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe

--
End of file - 4859 bytes

Also du hast beim editieren nichts übersehen auser ich hab das eben auch übersehen:aplaus: Und das log ist auch sauber nichts schädliches!
Mach ma noch deinen systemscan mit antivir zu ende das kann nie schaden!
Sollte Antivir noch was finden sag bescheid!

Du wolltest ja noch ein paar tipps :rolleyes: Aktiviere automatische updates sollte das nicht schon passiert sein achte darauf das du bei deiner eingesetzten software nur die neuesten versionen benutzt besonderst wichtig bei anwendungen wie den flashplayer, Java oder Adobe Reader benutze einen sicheren browser der dir zusagt und denke nach bevor du etwas herunterlädst oder startest! Und Antivir zu deaktiviren ist keine gute idee:aplaus:

Normalerweise deaktiviere ich den Antivier nicht, war nur wegen dem Patch aber auf den verzichte ich gerne.

Mein Antivir hat folgende Meldung gebravcht.

Die Datei 'C:\Dokumente und Einstellungen\XXXXX\Eigene Dateien\opr82.tmp'
enthielt einen Virus oder unerwünschtes Programm

'HEUR/HTML.Malware' [heuristic].

Durchgeführte Aktion(en):
Der Fund wurde als verdächtig eingestuft.
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen "49091643.qua" verschoben!

Sag Dir der was :confused:

@Vollnoob

Könntest du beide Dateien, also auch die die umbenannt wurde, hier bitte hochladen -> Trojaner-Board Upload Channel

Würde ich gerne tun. Leider weiß ich nicht, wo Antivir die hingeschoben hat. Er gibt an, dass er sie Quarantäne veschoben hat....nur wo is die:confused:

Leider wird mir die Datei nicht angezeigt :(
Ich habe bei den Ordneroptionen eingegeben, dass er mir auch alle versteckten Dateien anzeigen soll aber die, die von Antivir in Quarantäne verschoben wurde ist leider nicht dabei.

Den PC habe ich soweit wieder hergestellt, bis auf das Ding, was in der Quarantäne liegt. Danke für Euren Einsatz.
Kann eine Datei in der Quarantäne etwas anrichten:confused: