TR/Crypt.XPACK.Gen3
 

Hallo,

ich habe ein ähnliches Problem, wie es Toppy in Ihrem Forum beschrieben hat: Avira AntiVir meldet mir den Trojaner TR/Crypt.XPACK.Gen3 in C:\WINDOWS\Temp\TMP8D.tmp; C:\WINDOWS\Temp\TMP8E.tmp; C:\WINDOWS\Temp\TMP6E.tmp; C:\WINDOWS\Temp\TMP83.tmp. Ich habe die Dateien in Quarantäne verschoben. Ein Scan mit Malwarebyte - Antimalware 1.46 (nach Deaktivierung des Wiederherstellungspunktes) lieferte keinen Virusfund. In Ihrem Forum empfehlen Sie dringend, dass ein Scan mit ComboFix nur nach Anweisung eines "Kompetenzlers" durchgeführt werden soll. Ich habe anbei die Log Files von Malwarebyte 1.46 bzw. OTL angehängt. Ich würde mich freuen, wenn Sie sich diese Files anschauen und mir raten könnten, wie ich das Virusproblem beseitigt bekomme. Im Voraus schon herzlichen Dank für Ihr Bemühen.
Tekel

Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du das ohne Funde gepostet hättest!

Hallo Arne,

zunächst vielen Dank fürs Anschauen der logfiles. Ich habe heute einen weiteren Quick-scan mit Malywarebytes gemacht. Das logfile habe ich angehängt. Es wurde kein Fund festgestellt. Ich habe auch keine Funde gelöscht bzw. Dateien, die in Quarantäne verschoben wurden. Ein aktueller Scan mit Avira klappt momentan nicht, der Rechner stürzt mir nach ca. 68 % ab. Bei jedem neuen Booten des Rechners ist das anti-phishing Modul von Zone-Alarm deaktiviert. Ich habe das letzte log file von Avira vom 02.10.10 angehängt, dort hat es jeweils in .tmp-Dateien 51 Infizierungen gefunden. Diese hatte ich damals aus der Quarantäne gelöscht.

So, erstmal: Es ist ziemlich unsinnig, die Logs, als Textdatei vorliegend, in ein Worddokument zu gießen. Was ich brauch sind die reinen Textinformationen und die sind in der Original-Logdatei schon so drin wie ich sie brauche. Also lass die Logs so und speich sie nicht in ein Worddoc ab sondern poste einfach den Inhalt der Logdateien.

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Hallo Cosinus,

anbei das neue logfile von Malwarebytes (Vollscan). Es wurden wieder keine infizierten Dateien gefunden. Ich habe auch nichts gelöscht oder es wurden Dateien in Quarantäne verschoben. die übrigen Auffälligkeiten bestehen aber nach wie vor.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hallo Arne,

anbei das logfile von OTL. Habe den Eindruck, dass der Rechner wieder schneller läuft.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

anbei nun das logfile von ComboFix

Kaspersky Antihacker und ZoneAlarm sind ja schon allein jew. ziemlich sinnfrei, aber beide zusammen installiert und aktiv zu haben ist so das ziemlich schlechteste, was man seinem System antun kann :balla:
Ich würde beides umgehend deinstallieren und die Windows-Firewall dafür einschalten.


Wenn Du das gemacht hast bitte so fortfahren:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo Arne,

ich war der Meinung, dass ich das Programm Kaspersky Antihacker längst deinstalliert hatte. Ich finde diesbezüglich keinen Hinweis, weder in der Liste installierter Programme noch wenn ich nach den entsprechenden Begriffen mit der Suchfunktion suchen lasse. Wie bekomme ich das Programm komplett deinstalliert?

Dann igonorier das, wahrscheinlich ist es ein verwaister Eintrag, der noch im Sicherheitscenter ist. Den kriegen wir aber auch weg.

Nimm statt dem o.g. einfach das Script für CF:

Hallo Arne,

sorry hat etwas gedauert. Anbei das log file. Bei der Ausführung wurde ich nicht aufgefordert neu zu starten, stattdessen der Hinweis Combofix läuft im reduzierten Funktionalitätsmodus.

Ich habe zwischenzeitlich auch einen Scan mit Avira und Malwarebytes durchgeführt, beide Programme ergeben keinen Fund, wobei bei Avira noch 112 Dateien in Quarantäne stehen. Was ich dabei auch nicht verstehe ist, dass ich diesmal kein log file erhalten habe, nur eine Meldung das der Scan erfolgreich war.

Bitte diese Dateien bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Dateien nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn eine Datei schon ausgewerte sein sollte, bitte eine weitere Auswertung starten.

Hallo Arne,

anbei die Auswertungen von Virustotal (bin mir nicht sicher, ob es das ist, was Du meintest)

Nö ich wollte die Links, einfach hier im Beitrag posten. Alternativ geht auch die Prüfsumme (MD5) jeder Datei.

Hallo Arne,

kannst Du jetzt etwas damit anfangen?

MD5 : 133f82b6391f3390becfa429c23fb2be
MD5 : 5ef7dd401771693245d46f4b0b69fe2b
MD5 : ab51495f8fecf1c701fdd33ed11a74dd
MD5 : 178a4f6a92760dd8927b4b8c51e760db
MD5 : 1dc81022e7605ce5fc7bf08acfe5fd9c
MD5 : d45fa1c1b94487d50dd06ac4628235d3

Jetzt ist VT voll ausgelastet :balla:
War bei irgendeiner Datei ein Fund dabei?

Hallo Arne,

ja - MD5 : ab51495f8fecf1c701fdd33ed11a74dd wurde als Trojan. Agent/Gen-Crypt erkannt.

MD5 : 5ef7dd401771693245d46f4b0b69fe2b wurde als Gutware eingestuft.

Alle anderen waren VT unbekannt.

Wie schätzt Du den Sachverhalt ein? Ist mein Rechner jetzt wieder virenfrei?

Avira und Malwarebytes zeigen keinen Fund, allerdings habe ich Funde mit Spyware-Doctor: Trojan-Downloader. Murlo bzw. Trojan. Generic. Könnte es sich hierbei ggf. um Artefakte handeln?

Kann ich nich nicht ganz einschätzen.

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,

der Scan mit GMER war ein Erlebnis der besonderen Art - Rechner stürzte ab und ich konnte ihn danach nur sehr schwer neu booten.

Aber anbei das entsprechende logfile nebst denen von OSAM und MBRCheck.

Hallo Arne,

ich habe mittlerweile wieder einen Fund bei Avira mit demselben Virus wie anfangs beschrieben: TR/Crypt.XPack.Gen3. Ein Vollscan des Rechners mit Avira ist nicht mehr möglich. Das Programm bringt den Rechner nach ca. 40 % durchsuchter Dateien zum Absturz. Anbei habe ich Dir die Problemsignatur gepostet. Besteht die Möglichkeit, dass durch den Absturz nach Ausführen von GMER von einem Wiederherstellungspunkt gebootet wurde, der noch den Virus enthielt?

Du hast jha auch den SpywareDoctor installiert, deinstallier den mal! AntiVir mag die Tempdateien von diesem Tool nicht und meckert die halt immer als xpack an!

Hallo Arne,

habe Spyware doctor mittlerweile deinstalliert und erneut einen Scan mit malwarebytes bzw. Avira gemacht. Malwarebytes blieb ohne Fund. Der Scan mit Avira ist dieses Mal ohne größere Schwierigkeiten durchgelaufen - er hat zwei Dateien als virusbehaftet identifiziert, die ich in Quarantäne verschoben habe. Log files anbei.

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

BTW. Die Logs kann man auch zusammen in eine ZIP packen!

Hallo Arne,

ich wollte die vorgeschlagenen Scans mit den genannten Programmen machen: mit Super-AntiSpyware hat der Scan auch geklappt, er lieferte als Adware drei tracking cookies, sonstige Elemente (Registry etc.) waren ohne Befund. Im Anschluss hatte ich dann einen Scan mit Malwarebytes durchgeführt. Dieses Mal hat es 14 Infektionen gefunden!!! Bisher hatte ich es so erlebt, dass nach Ende des Scans das Logfile aufgerufen wird. Jetzt wollte er unbedingt die gefundenen Infektionen sofort enfernen / reparieren. Das habe ich zugelassen. Nachdem das Programm geraume Zeit gearbeitet hat, hat es mich aufgefordert zum Abschluss der Bereinigung das System neu zu starten. Auch das hatte ich bestätigt, mit der Konsequenz, dass ich Windows nun nicht mehr starten kann (als weiteren Hinweis habe ich nur noch angehängte txt-Datei). Ich kann mich noch erinnern, dass er als Funde u. a. trojan. agent und trojan.drooper gemeldet hatte und dass wohl Malywarebytes infizierte Registrierungsschlüssel gefunden hat.
Was kann ich nun tun? Ein Start von Windows mit der Recovery-CD funktioniert nicht!

Wecleh Fehlermedung kommt beim Start von Windows?
Funktioniert auch der abgesicherte Modus nicht mehr?

Hallo Arne,

er zeigt die Fehlermeldung, die ich in der Textdatei angefügt habe. Bevor das System normalerweise die Bedieneroberfläche mit den einzelnen Nutzern aufruft, stürzt es ab bzw. es versucht neu zu booten. Den abgesicherten Modus kann ich zwar aufrufen, er funktioniert aber nicht und bei der Windows Wiederherstellungskonsole bleibt er ebenfalls hängen. Ich hatte versucht über F6 nach einem Treiber von CD suchen zu lassen, allerdings habe ich keinen auf Floppy-Disk.

Hast du eine normale Windows-XP-Installations-CD? Wenn ja müsstest du darübermal die Wiederherstellungskonsole starten. Prüf mal ob das geht.

Hallo Arne,

hat etwas gedauert mit meiner Antwort, da mein PC bzw. Windows immer noch nicht funktioniert. Das Booten über die Wiederherstellungskonsole der Windows-CD funktioniert auch nicht. Das System fragt mich, bei welcher Windows-Installation ich mich anmelden möchte. Danach fragt er nach Ladekennung und Ladeoptionen fürs Betriebstsystem. Ich weiß nicht, was ich hier eingeben soll.
Set-Up über die Windows-CD sollte gehen, aber habe ich dabei eine Chance, meine Daten zu retten?

Dann musst du die Ziffer für deine Windows-Installation eingeben, sollte die 1 sein. Dann das Passwort für das Konto "Administrator"

Hallo Arne,

habe ich ausgeführt, allerdings zeigt er mir danach nur C:/ windows, und es tut sich nichts weiter. Eine erneute Eingabe des Passworts erkennt das System als ungültigen Befehl.
Der Fehler, der mein System ausgeschaltet hat ist mit C000007b{Fehler Abbild} beschrieben. Vielleicht kannst Du mir darauf einen Tipp geben, wie ich weiter vorgehen kann.

Danke.

Ja wenn die WHK nicht nach einem Passwort für den Administrator fragt musst du auch keins eingeben :crazy:

Wenn nach der Auswahl nur "C:\WINDOWS" dort steht, ist die Konsole bereit und du kannst Befehle eintippen und mit der Eingabetaste (enter oder return) ausführen.

Tipp mal den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Schau dann ob Windows wieder normal startet.

Hallo Arne,

negativ - der Befehl läßt sich zwar ausführen und der Eintrag erzeugen. Windows läßt sich aber immer noch nicht starten und der Rechner zeigt auch noch den gleichen Fehler.

Hm, wenns nur um diese sfcfiles gehts, könntest du mal probieren von einem sauberen Windows-PC die sfcfiles über ein Live-Linux auf deinem Rechner mit nicht bootendem Windows zu kopieren.
Ich poste nachher mal ne vernünftige Anleitung.

Hallo Arne,

hattest Du zwischenzeitlich schon Gelegenheit, mir die genannte Anleitung zusammenzustellen?

Vielen Dank!

Hier ne saubere sfcfiles.dll in einer RAR-Datei => File-Upload.net - sfcfiles.rar
Bitte herunterladen, direkt auf C: speichern und entpacken zB nach c:\tekel
Passwort: tekel

Dann gehts so weiter:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 70 MB sein
2. Entpack die ZIP-Datei in einen beliebigen Pfad, es wird eine ISO-Datei (CD-Abbild) von PartedMagic entpackt
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol Mount Devices finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:

7. Kopiere die sauberen Datei aus dem tekel-Ordner in den entsprechenden Pfad rein:

(müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)


8. Starte den Rechner neu und boote Windows

9. Die in Linux umbenannte Dateien (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

10. Wenn alles geschafft ist Beischeid geben :)

Hallo Arne,

hurra !!!! Es hat funktioniert - Windows läßt sich wieder starten! Ich werde Dir die infizierte Datei über den uploadChannel einstellen. Avira hat diese Datei mittlerweile auch als infiziert gemeldet - sie soll TR/Trash.Gen enthalten. Ich gehe davon aus, dass die Datei durch anfügen von .vir soweit entschärft ist, so dass sie beim Übertrag keinen weiteren Schaden mehr anrichten kann, oder?

Leider ist das nicht die einzige Datei, die diesen Virus enthält: ebenfalls als infiziert gemeldet wurde durch Avira c:windows\system32\drivers\swmidi.sys.

Meinst Du, ich kann es wagen, einen erneuten Scan mit Malwarebytes durchzuführen (nachdem er das letzte Mal sämtliche Viren gefunden hat und unbedingt reparieren wollte, bevor ich irgendeine andere Aktion ausführen konnte)? Darüber hinaus möchte Windows upgedatet werden - kann ich das tun, ohne die Sache zu verschlimmbessern?

Vielen Dank!

Ja mach bitte einen neuen Vollscan - und poste auch die letzten Logs von MBAM.

Hallo Arne,

anbei das neueste logfile von Malwarebytes. Das wahrscheinlich interessanteste logfile vom 13.11.10, nach dessen Suchlauf die beschriebenen Schwierigkeiten auftraten, kann ich nirgends finden. Das war bisher auch der einzige Suchlauf, bei dem Malwarebytes einen Virenbefall festgestellt hat. Ich habe Dir anbei noch einmal den Scan von SuperAntispyware angefügt. Beim letzten durchgeführten Vollscan mit Avira wurden 3 Infizierungen festgestellt. Auch hierbei kann ich das logfile nicht finden. Deshalb füge ich die Funde der Nachricht an.

c:\windows\system32\drivers\swmidi.sys - Fund: TR\Trash.Gen
c:\windows\servicePackfiles\i386\msscript.ocx - Fund: TR\Drop.Softomat.AN
c:\windows\servicePackFiles\i386\swmidi.sys - Fund: TR\Trash.Gen

Ok. Mach bitte nochmal einen Durchgang mit CF und einer neuen cofi.exe

Hallo Arne,

zunächst wünsche ich Dir noch ein gutes Neues Jahr!

Anbei das log file aus ComboFix

Sieht unuaffällig aus :dummguck:
Was macht dein Rechner?

Hallo Arne,

soweit ich es beurteilen kann, glaube ich, dass alles wieder funktioniert. Ein erneuter Scan mit Avira meldete auch keinen Fund mehr. Ich habe übrigens die Avira log files auf dem Rechner gefunden, kann diese aber momentan nicht öffnen, da offenbar kein Treiber für vdf-Files vorhanden ist. Kann das damit zusammen hängen, dass ich die letzten Funde, die Avira detektiert hatte, in Quarantäne verschoben hatte?

Kann ich nicht nachvollziehen. Logs öffnet man idR über das Programm aus dem menü, Berichte/Protokolle.

Hallo Arne,

seit ich die "Funde" in Quarantäne verschoben habe, hatte ich mehrfach mit Avira Scans ausgeführt. Unmittelbar nachdem der Scan beendet war, konnte ich das logfile einsehen. Als ich mir dann erneut über "Berichte" die Reportdatei noch einmal ansehen wollte, war überhaupt kein Eintrag über den Suchlauf verhanden. Wenn ich über Programme - Avira - Antivir Desktop das Programm öffne, sehe ich, dass die logfiles zwar als vbase0xx (VDF-Dateien) abgelegt werden. Ich kann diese aber mit keinem auf meinem Rechner vorhandenen Programm öffnen. Wenn ich die Option auswähle " im Web nach einem passenden Programm suchen" wurde mir die Installation des Programms "registrybooster" vorgeschlagen. Das wollte ich aber nicht tun, da ich Sinn und Nutzen dieses Programms nicht einschätzen kann und vorher sowohl die Einträge als auch die Reportdateien in Avira einsehbar waren. Besteht die Möglichkeit, dass die Datei c:\windows\system32\drivers\swmidi.sys, die ich in Quarantäne verschoben habe, keine reine Virusdatei ist, sondern durch den Virus modifiziert wurde und damit die beschriebenen Auffälligkeiten verbunden sind? Kann ich die in Avira-Quarantäne verschobenen Dateien löschen?

Das könnte sein. Existiert die Datei nach Verschiebung in die Quarantäne noch im ursprünglichen Pfad? Deutet darauf hin, dass Windows oder der Schädling diese zurück kopiert hat.

Immer wieder taucht die Frage auf, ob man was aus der Quarantäne löschen soll...
Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

Nachtrag: Vorsichtshalber kann man die swmidi.sys glattziehen, bitte runterladen und entpacken, direkt nach c: ins Hauptverzeichnis => c:\swmidi.sys

Dann gehts so weiter:

PartedMagic

• Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 150 MB sein
• Brenn die ISO-Datei per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
• Boote den Rechner mit defektem Windows von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist
  
  
  http://partedmagic.com/lib/exe/fetch...bootscreen.png
  
  
  
• Du müsstest ein Symbol Mount Devices finden, das doppelklicken
  
  
  
  http://partedmagic.com/lib/exe/fetch...ia=desktop.png
  
  
• Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
  
• Benenne auf sda1 (bzw. die Partition wo Windows ist, falls es nicht sda1 sein sollte) folgende Dateien um, einfach ein .vir dranhängen:
  
  
  Code:

  ---

  /media/[LW C]/windows/system32/drivers/swmidi.sys.vir

  ---

• Die sauberen Dateien aus dem cosinus ordner in den jew. Windows-Systempfad kopieren
  
  
  Code:

  ---

  /media/[LW C]/swmidi.sys => /media/[LW C]/windows/system32/drivers/swmidi.sys

  ---

  (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)
  
  
• Starte den Rechner neu und boote Windows
  
• Falls Windows wieder normal bootet => die in Linux umbenannt Datei (die mit .vir) bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Gib Bescheid wenn alles durch ist.

Hallo Arne,

ich habe die swmidi.sys ausgetauscht. Eine Veränderung im Zugriff auf die Reportdateien im Avira konnte ich nicht feststellen. (Geht nach wie vor nicht mehr) Ich stelle Dir die vir-Datei über den Upload Channel ein. Mir ist aufgefallen, dass die Datei, sobald sie im Ordner "Drivers" einkopiert ist, die Endung .sys verliert. Ist das normal?

Unter Windows oder im Notfallsystem?