|
AVIRA Scan Unverständlich - Problem oder OK? Hallo, mein Avira zeigt mir folgende Probleme an, die für mich unverständlich sind, vielleicht kann mir hier jemand helfen. Warum wird der Zugriff verweigert, wodran liegt das, und was für Warnungen sind das? Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [5]: Zugriff verweigert [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [5]: Zugriff verweigert [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [5]: Zugriff verweigert [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [5]: Zugriff verweigert [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [5]: Zugriff verweigert [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Bootsektor 'H:\' [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [5]: Zugriff verweigert [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Bootsektor 'I:\' [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [5]: Zugriff verweigert [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '41' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Windows\System32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' Beginne mit der Suche in 'E:\' Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'G:\' Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'H:\' Beginne mit der Suche in 'I:\' Ende des Suchlaufs: Mittwoch, 18. März 2009 17:32 Benötigte Zeit: 27:56 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 24396 Verzeichnisse wurden überprüft 438269 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 438267 Dateien ohne Befall 1952 Archive wurden durchsucht 9 Warnungen 0 Hinweise |
Hallo Mausi19 und :hallo: Welches Betriebssystem fährst du? |
OK ich versuchs mal verständlicher Ist das Vista oder Windows XP? |
Hi, Windows Vista Business x64 Service Pack 1 |
Mausi, ich denke du führst das Programm nicht mit Administrator Rechten aus. In Windows Vista ist der Administrator standardmäßig deaktiviert Zur Benutzerverwaltung gelangt man wie folgt: Systemsteuerung -> System und Wartung -> Verwaltung -> Computerverwaltung -> Lokale Benutzer und Gruppen -> Benutzer in den Eigenschaften des Administrators das Häkchen bei Konto ist deaktiviert entfernen. Jetzt kannst du dich in Vista als Administrator anmelden. Versuche Avira nochmals ans Laufen zu bringen. Rückmeldung ist Pflicht:) |
Zitat:
werde es morgen aber probieren und hier Rückmeldung geben, danke für die Geduld und Hilfe^^ |
Gerne......gute Nacht |
Habe mittlerweile die neue Version 9 von Avira installiert, nachdem ich alles gescannt habe, wurde ein Trojaner gefunden, dieser konnte in die Quarantäne verschoben werden und anschließend gelöscht, sodass er beim erneuten Scan nicht mehr auftaucht. [FUND] Ist das Trojanische Pferd TR/Hijacker.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a252525.qua' verschoben! Desweiteren habe ich mich als Admin angemeldet und auch hier den Scan des gesamten Systems durchgeführt, folgendes kommt dabei am Ende heraus: Der Suchlauf über die Masterbootsektoren wird begonnen: Der Suchlauf über die Bootsektoren wird begonnen: Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '39' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Windows\System32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' Beginne mit der Suche in 'E:\' Ende des Suchlaufs: Donnerstag, 19. März 2009 13:06 Benötigte Zeit: 23:46 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 24408 Verzeichnisse wurden überprüft 423050 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 423048 Dateien ohne Befall 1956 Archive wurden durchsucht 2 Warnungen 1 Hinweise Um nochmal auf den Trojaner zurück zu kommen, sollt eich noch andere Programme testen und das System scannen, oder sollte das jetzt soweit OK sein? Und der Scan als Admin ist jetzt auch i.O.? Mfg, Mausi |
Das weiss ich nicht.... Zuerst solltest du dies zur Kenntnis nehmen: Dein System ist kompromitiert...... der Trojaner war da und wir wissen nicht was noch da ist... Theoretisch könnte auch ein rootkit in deinem System sein.. Erklärung Rootkit: Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Erst wenn diese Tarnung fällt, ist der Virus verwundbar... DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte: Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst. Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden..... Code: Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!Lies dir die Anweisungen zu MalwareBytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus. Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar.. Für Vista Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Für Vista User Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Punkt 4. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Punkt 5. Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen Gehts immer noch nicht, gehe zu Punkt 6. Punkt 5. Wieder zurück zu deiner Internetverbindung: Stelle den Eintrag DNS automatisch beziehen wieder her, falls dies nicht mittlerweile wieder auf automatisch steht.. Punkt 6. Hiernach öffnest du Gmer und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Falls es nicht läuft: Auch hier verhindern einige Viren, dass Gmer laufen kann. Benenne die exe dann einfach in Huppala.exe um Weiteres kommt dann nach diesem Logfile von mir..... |
Hallo, vielen Dank für die ausführliche Anleitung, werde dies morgen im Laufe des Tages versuchen, und mich dann hier melden. Dennoch frage ich mich, ob es nicht in Zukunft besser wäre, bei der Installation von Windows eine kleine C Partition von etwa 50GB zu machen, dort nichts zu installieren außer das Betriebssystem, dann D Partition um dort alle Programme zu installieren, und C als Speichermedium für was sonst so anfällt, anschließend ein Backup von C machen, um bei Trojaner/Virenbefall nur das Backup von C neu aufsetzen zu müssen. Oder liege ich da mit meiner Theorie ganz falsch? |
Leider ja, wenn ein Virus auch auf USB Sticks springt, hält ihn auch nichts von einer anderen Partition ab....mal einfach ausgedrückt. Es gibt aber Hinweise hier im Board wie man trotzdem sicher unterwegs sein kann. Ich warte dann mal auf deine Logs.. |
Hallo, habe die Anwesiung soweit befolgt, hier die logs: Punkt 4. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: error reading MBR -------------------------------------------- Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1878 Windows 6.0.6001 Service Pack 1 20.03.2009 19:16:50 mbam-log-2009-03-20 (19-16-50).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 257558 Laufzeit: 21 minute(s), 12 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: E:\progs unin + v2b\WebCamDriver\InstallShield\Setup.exe (Trojan.Agent) -> Quarantined and deleted successfully. -------------------------------------------------- gmer log http://www.file-upload.net/view-1539927/gmer-log.jpg.html |
Mir fehlt noch das Gmer Logfile |
Sry,hatte das falsch gemacht mit dem log, das müsste jetzt das richtige sein>> -------------------------------------- GMER 1.0.15.14944 - http://www.gmer.net Rootkit scan 2009-03-21 01:10:24 Windows 6.0.6001 Service Pack 1 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x77 0x08 0x50 0xE0 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x21 0x84 0x47 0x7F ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x24 0xC7 0x8A 0x78 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x2A 0x9E 0x34 0xAC ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x77 0x08 0x50 0xE0 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x21 0x84 0x47 0x7F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x24 0xC7 0x8A 0x78 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x2A 0x9E 0x34 0xAC ... ---- Files - GMER 1.0.15 ---- File C:\Users\D---\AppData\Local\Temp\plugtmp-6\plugin-f24_263-162.xml 0 bytes File C:\Users\D---\AppData\Local\Temp\plugtmp-6\plugin-f24_263-163.xml 0 bytes |
Eines habe ich noch: Dieser Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoActiveDesktopChange s (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully ist ein false positive in Malwarebytes.. Das du ihn gelöscht hast, ist nicht sonderlich schlimm. Wenn du ihn wieder herstellen möchtest, kopiere bitte den Inhalt der Codebox in ein Notepad Textfeld. Code: Windows Registry Editor Version 5.00Als Speicherort nimmst du den Desktop. Nun ein Doppelklick auf diese Datei als Admin, Anfragen bejahen und schon ist der alte Zustand wieder hergestellt. Beim nächsten Scan setzt du diesen Eintrag einfach auf die Ignorliste.. Da fehlt aber noch was beim Gmer Scan... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:21 Uhr. |
Copyright ©2000-2024, Trojaner-Board