Avast meldet Suela 1042 in C:\hiberfil.sys - Reparieren nicht möglich
 

Hallo zusammen

Nach Trojanerbefall kurz vor Silvester (W32 Patchload.a und ein paar der Gattung Sirefef.x und zwei, drei anderen) habe ich den Rechner komplett neu aufgesetzt. Es ist ein Sony Vaio, ich habe das Vaio recovery gemacht, wodurch die Fetsplatte formatiert wird und danach WIndows Vista Home Premium neu aufgespielt wurde. Dann alle Updates installiert und der Rechner läuft seit ein paar Tagen wieder. Ich habe zunächst Avira AntiVir genutzt, welches bei einem Vollsystemscan nicht vollständig durchlief. Daher habe ich mich für Avast entschieden und habe zuvor noch mit einem Eset online Scanner getestet ohne Funde. Dann hat Avast in einem ersten Vollscan nichst gefunden, nach einer Versionsaktualisierung dann aber im DOS-Modus direkt nach dem Neustart einen Vollscan ausgeführt und die Meldung gebracht: "C:\hiberfil.sys ist von Suela 1042 befallen" gebracht. Die Datei ging nicht zu reparieren und eine Systemdatei löschen, möchte ich nicht (habe gelesen, dass der Hibernate Modus dann nicht mehr funktioniert). In mehreren Boards wird dieses Thema schlichtweg abgetan als Falschmeldung, ein Wurm könne sich nicht in der Systemdatei verstecken, da Windows diese Datei permanent blockt. So weit so gut, doch es wird auch diskutiert, dass eine RAM AUslagerungsdatei immer wieder auch RAM entspricht bei den Kopierprozessen und somit der Wurm wieder ins System kommt.

Bei Recherche zu dem Thema Suela 1042 schreibt Pandasecurities

hxxp://www.pandasecurity.com/homeusers/security-info/14976/Suela.1042.B

dass dieser Wurm Bootresistent sei und nach für nach Systemfunktionen ausser Kraft setzt. Dies wiederum würde dem jetzigen Bild und der Symptomatik von vor Silvester entsprechen: Der Wurm ist jetzt Bootresistent (kann auch nicht entdekt werden, da Windows die Datei hiberfil.sys selbst prozessiert und somit keinen Zugriff darauf gewährt für einen Virenscanner) und vor dem starken Befall sind einige Systemprozesse in Vista verschwunden, dazu die Firewall und sogar die Prozesse, um eine ordentliche Netzwerkverbindung aufzubauen. Die zugehörigen Dienste waren futsch. Ich gebe das gern zur Diskussion, ob es sich um eine Falschmeldung handelt oder eben wirklich ein Fiesling im Bootsektor sitzt, da ich ungern in ein paar Wochen wieder das gesamte System neu aufsetze und trotzdem einen Wurm im Botsektor habe...

Danke vorab und Grüsse
Spycher

Ich halte das für einen Fehlalarm. Hat man besonders dann wenn die Virenscanner meinen in der hiberfil.sys oder pagefile.sys Schädlinge zu sehen :pfeiff:

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus: