Hallo Arne,

seit ich die "Funde" in Quarantäne verschoben habe, hatte ich mehrfach mit Avira Scans ausgeführt. Unmittelbar nachdem der Scan beendet war, konnte ich das logfile einsehen. Als ich mir dann erneut über "Berichte" die Reportdatei noch einmal ansehen wollte, war überhaupt kein Eintrag über den Suchlauf verhanden. Wenn ich über Programme - Avira - Antivir Desktop das Programm öffne, sehe ich, dass die logfiles zwar als vbase0xx (VDF-Dateien) abgelegt werden. Ich kann diese aber mit keinem auf meinem Rechner vorhandenen Programm öffnen. Wenn ich die Option auswähle " im Web nach einem passenden Programm suchen" wurde mir die Installation des Programms "registrybooster" vorgeschlagen. Das wollte ich aber nicht tun, da ich Sinn und Nutzen dieses Programms nicht einschätzen kann und vorher sowohl die Einträge als auch die Reportdateien in Avira einsehbar waren. Besteht die Möglichkeit, dass die Datei c:\windows\system32\drivers\swmidi.sys, die ich in Quarantäne verschoben habe, keine reine Virusdatei ist, sondern durch den Virus modifiziert wurde und damit die beschriebenen Auffälligkeiten verbunden sind? Kann ich die in Avira-Quarantäne verschobenen Dateien löschen?

Das könnte sein. Existiert die Datei nach Verschiebung in die Quarantäne noch im ursprünglichen Pfad? Deutet darauf hin, dass Windows oder der Schädling diese zurück kopiert hat.

Immer wieder taucht die Frage auf, ob man was aus der Quarantäne löschen soll...
Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Nachtrag: Vorsichtshalber kann man die swmidi.sys glattziehen, bitte runterladen und entpacken, direkt nach c: ins Hauptverzeichnis => c:\swmidi.sys

Dann gehts so weiter:

PartedMagic

• Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 150 MB sein
• Brenn die ISO-Datei per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
• Boote den Rechner mit defektem Windows von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist
  
  
  http://partedmagic.com/lib/exe/fetch...bootscreen.png
  
  
  
• Du müsstest ein Symbol Mount Devices finden, das doppelklicken
  
  
  
  http://partedmagic.com/lib/exe/fetch...ia=desktop.png
  
  
• Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
  
• Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:
  
  
  Code:

  ---

  /media/[LW C]/windows/system32/drivers/swmidi.sys.vir

  ---

• Die sauberen Dateien aus dem cosinus ordner in den jew. Windows-Systempfad kopieren
  
  
  Code:

  ---

  /media/[LW C]/swmidi.sys => /media/[LW C]/windows/system32/drivers/swmidi.sys

  ---

  (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)
  
  
• Starte den Rechner neu und boote Windows
  
• Falls Windows wieder normal bootet => die in Linux umbenannt Datei (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Gib Bescheid wenn alles durch ist.

Hallo Arne,

ich habe die swmidi.sys ausgetauscht. Eine Veränderung im Zugriff auf die Reportdateien im Avira konnte ich nicht feststellen. (Geht nach wie vor nicht mehr) Ich stelle Dir die vir-Datei über den Upload Channel ein. Mir ist aufgefallen, dass die Datei, sobald sie im Ordner "Drivers" einkopiert ist, die Endung .sys verliert. Ist das normal?

Unter Windows oder im Notfallsystem?