|
Fragen zur angemessenen Bereinigung nach Virenfund Hallo, mein (Desktop) PC und mein Laptop sind von Viren befallen und ich würde gerne wissen, ob mein Vorhaben bei der Bereinigung sinnvoll ist (kann aus Zeitgründen einfach nicht alle Partitionen formatieren, was bestimmt am Besten wär). Chronologischer Ablauf: - Auf PC: Backdoor wurde von AntiVir bei Vollst. Systemscan gefunden. Daraufhin habe ich die System-Partition C formatiert und Windows 7 neu installiert. Partition D enthält Installationsdateien (.exe, ...) aller meiner Programme. Die konnte ich einfach nicht löschen, da ich für die Wiederbeschaffung nicht die Zeit habe. Nach der System-Neuinstallation habe ich also bei der Installation der Programme auf diese Dateien z.T. zurück gegriffen. Partition E enthält Medien (Texte, Bilder, Audio/Video). => Ist der PC trotz befundloser sukzessiver vollständiger Scans mit AntiVir, Norton Antivirus, Malwarebytes Anti-Malware, SuperAntispyware dennoch wahrsch. infiziert? Wie relativ sicher kann ich mir sein? - Auf Laptop: Standardmäßig genutztes AntiVir hatte bisher keinen Fund entdeckt. Im Zuge meines Befalls auf dem PC habe ich aber dann Antivir gelöscht und Malwarebytes einen vollst. Scan durchführen lassen. -> Fund: RiskWare.Tool.CK bei 3 exe Files, welche ich dann gelöscht habe. Nun läuft SuperAntiSpyware im vollst. Scan und liefert folg. Funde: Trojan.Agent/Gen-FakeAV in C:\Programme\WinRar\Default.SFX Trojan.Agent\Gen-Nullo[Short] in 3 Dateien in D:\System Volume Information\_Restore...\...\A0064151.exe und ...52.exe und ...53.exe. Application Agent\Gen-TempZ in 3Dateien in D:\My Download Files\...\ExtendMonitor1.exe und ...2.exe und ...MoniSwitch.exe. Diese 3 Dateien sind (mir bekannte) kleine Bildschirm-Tools, bei denen ich die Infektion eher nachträglich oder gar nicht (falsch positiv) vermute. => Ist die Wahrsch. von Falsch-Positiven Funden verschwindend gering ? Wie zuverlässig sind die Funde (dieser relativ unbekannten Programme), wenn doch z.B. Antivir und Norton Antivirus nichts gefunden haben? Und Bringt es nichts, diese Trojaner zu löschen? Gibt es keine andere Möglichkeit als die Formatierung der Systemplatte? Vielen Dank für Eure Hilfe! |
instaliere avira mal wieder :-) das sieht alles nach fehlalarm aus, poste am schluss die logs. wir werden dann deinen windows 7 laptop noch absichern falls erwünscht. |
Im Ernst? Sind alle Meldungen wirklich Fehlalarme? Kannst du deine Einschätzung vielleicht näher erläutern? Stehen die Meldungen etwa öfter im Zusammenhang mit Fehlalarmen? Wenn dem so ist, würde mich über diese ja positive Nachricht schwarz ärgern, da ich schon das ganze We inkl. Nachtschicht deswegen vorm Rechner hänge... Auf PC läuft Win 7 und auf dem Laptop WinXP |
die super antispyware meldungen sehen nach fehlalarm aus, aber ich hätte dazu erst mal gern das log. |
Also Antivir auf beiden Rechnern wieder drauf und dann von beiden die Log? Oder Log von Super AntiSpyware? Log von Malwarebytes exist. wg. Deinstallation nicht mehr. |
ja avira drauf, und nein erst mal keine logs. du hast doch geschrieben das du auf deinem zweiten pc super antispyware laufen lässt, davon wollte ich das log. |
Ah ok. Habe nach dem Super Antispyware Durchlauf die Funde in die Quarantäne verschieben lassen und jetzt läuft im Abgesicherten Modus ein 2. Durchlauf, der wahrsch. etwa 2 Std. dauern wird... Kannst du mir sagen, ob ein gefundener Virus (Backdoor) auf Partition C sich auf die Programm-Installationsdateien auf Partition D ausbreiten könnte? (Angenommen, dies war kein Fehlalarm.) Ist also die alleinige Formatierung von C: sinnlos oder würde dies ausreichen? |
ja aber ich brauche auch den fund des ersten durchlaufs falls möglich, sollte irgendwo logdateien geben im programm wenn ich mich nicht irre. aber wie gesagt das werden wohl fehlalarme sein. dann können wir uns ja um den windows 7 pc kümmern. 1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht. klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen. wähle "neues konto erstellen" Wähle standard benutzer. die konten sollten mit einem passwort geschützt werden. dazu auf konto endern klicken und passwörter vergeben. die uac sollte auf maximum stehen. klicke auf start, ausführen (suchen) tippe uac enter nachfrage bestätigen, regler auf höchste stufe. so ist es schwiriger heimlich etwas auf dem pc zu instalieren. Die folgenden konfigurationen als admin ausführen: 2. dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. 3. SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen dieser tipp, gilt auch für windows 7 4. einer der sichersten browser ist opera. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen in den letzten jahren lag er was die sicherheit angeht weit vor den großen wie dem internet explorer und dem firefox. außerdem ist er auch noch schneller im seitenaufbau etc. mit diesem tool lässt sich ein werbeblocker laden Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen lesezeichen importieren: http://operawiki.de/wiki/Lesezeichen der link ist im monent nicht verfügbar, geduld also :-) wenn dir der opera nicht zusagt, passe ich die anleitung auf den ff an. 5. instaliere avira genauestens nach anleitung: http://www.trojaner-board.de/54192-a...tellungen.html außer unter konfiguration, guard, autostart kannst du die haken weg lassen. 6. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. 7. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport 8. Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. 9. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. 10. surfe ab sofort nur noch im standard nutzer konto, und dort in der sandbox, mit klick auf "sandboxed web browser" allgemeines. - verzichte auf tuning programme, sie bringen nichts. - keine illegalen downloads. 90 % bringen malware mit sich! - keine streaming seiten wie kino.to sie verbreiten malware. - wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen. frage: machst du online banking? |
Ja, mache Online Banking. Sorry, muss nochmal nachhaken: Ist Zitat:
Zitat:
Ich hoffe, es wird nicht noch konfuser :) Also ich poste die Logs beider Durchläufe von Super Antispyware (Laptop) in ca. 1 Std. und um den Desktop PC mit Win 7 gehts dann evtl. anschließend. |
die formatierung von c: reicht, ich redete über die logs von super anti spyware von deinem zweit pc, wo funde gemacht wurden. es reicht eigendlich immer die betroffene partition zu formatieren. zum online banking: ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden. Kartenlesegerät ? Wikipedia |
Genau, Super Antispyware lief und läuft (nur) auf dem Laptop. Aber auch auf dem Desktop PC wurde durch Antivir ein Fund gemacht (Backdoor). Ich habe halt öfter gelesen, dass sich Viren gleich auf alle ausführbaren Dateien (exe, xls, chd, doc ...) ausbreiten, s.d. eigentlich alle Dateien (außer audio, video, bilder) gelöscht werden müssten, um wirklich sicher zu sein. Auch soll die Partition den Viren egal sein. Das mit dem Lesegerät verlangt glaube ich meine Bank ab nächstem Jahr, von daher :) Aber danke für die Anmerkung! |
was du meinst sind viren, diese infizieren alle ausführbaren dateien, dies tun trojaner nicht. du hast doch gesagt, den pc hast du formatiert und dort ist windows 7 neu instaliert. dann reicht es, wenn du dort avira + malwarebytes drauf tust und die von mir genannten tipps durchführst. so, auf dem laptop sagst du, du hast malwarebytes genutzt, öffne das programm, logdateien, posten. dann sagst du, super antispyware läuft, ebenfalls logs posten. denn es sind, wie ich vermute fehlalarme. und warum du avira deinstaliert hast verstehe ich nicht ganz, damit hast du keinen aktieven hintergrund scanner mehr. |
Zitat:
Zitat:
Aus diesem angenommenen Grund habe ich auf dem Laptop auch Malwarebytes deinstalliert, nachdem das gefundene RiskWare.Tool.CK bei 3 exe-Dateien gelöscht wurde. (Anschließend habe ich ja dann Super Antispyware installiert.) Daher kann ich die Log von MalwareBytes nicht mehr posten; Log von Super Antispyware poste ich, aber der Durchlauf dauert ewig..... Deinstallation von Antivir, weil wie gesagt ja keine 2 Virenprogramme gleichzeitig installiert sein sollen. |
ja 2 antiviren programme mit hintergrundwächtern sollten nicht instaliert sein, aber für einen scan ist das schon ok. theoretisch hast du recht, nachgeladen kann alles werden aber wir haben es meistens mit trojanern etc zu tun, selten file infectoren. |
Ist ja nicht zu fassen: Fünfeinhalb Std. rödelt Super AntiSpyware jetzt schon rum und es nimmt kein Ende. Läuft ja im Abgesicherten Modus, vorher hats "nur" 2 Std. gebraucht. Dafür macht der Desktop PC wieder Laune: Hab jetzt Antivir, MalwareBytes, Super Antispyware und Norton Antivirus vollständig scannen lassen. Nur bei MalwareBytes gabs einen Fund: Adaware Tracking Cookie im Flash Player, was ja nichts wirklich bedrohliches ist, oder? Habs dann entfernen lassen. => Das müsste doch reichen, um den Desktop PC als clean anzusehen, oder? |
ja, aber deinstaliere norton wieder, oder wenn du das als vollversion hast, deinstaliere avira, setze auf dem desktop pc die von mir gemachten tipps um. eig denke ic wie gesagt das der super antispyware scan nutzlos ist, da fehlalarme. der erste scan log hätte mir schon gereicht um dir das zu sagen |
Ok, das Programm hatte jemand hier im Forum empfohlen (zsm. mit Malwarebytes), sonst hätte ich das Programm dem Namen und der Aufmachung nach eher für unseriös gehalten. Was würdest du empfehlen, wenn man zwischen Norton und Avira wählen kann? |
beide haben ihre vorteile. welche norton version hast du? ich sagte ja nicht das das programm schlecht ist, nur das es vllt fehlalarme waren, so wie es bei jedem programm passieren kann, und dass du evtl. zeit verschwendest :-) |
6 Std. Warten...nur fürs ruhige Gewissen...ich könnt heulen!!! Norton Antivirus 2010, aber nur die Testversion für 2 Monate. Danach kommt die Testversion 2011 dran und danach wahrsch. Avira :) |
na das ist quatsch, man sollte nicht so oft sein av wechseln, das kann das system instabiel werden lassen, wenn du nur die norton antivirus hast, nimm gleich avira. wenn du die ganzen konfigurations tipps von mir konsequennt umsetzt, ist das av zweit rangig, denn du hast weitere schutzkomponennten, auf ein av sollte man sich niemals verlassen, es kann höchstens ein baustein sein. |
Ok verstanden. Sind deine Tips dort nach absteigender Priorität sortiert? |
Hier die Logs von Super AntiSpyware (Laptop). Im 2. Durchgang (im Abgesicherten Modus) wurde wieder was gefunden: 1. Log: SUPERAntiSpyware Scan Log SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware! Generated 11/07/2010 at 03:22 PM Application Version : 4.45.1000 Core Rules Database Version : 5821 Trace Rules Database Version: 3633 Scan type : Complete Scan Total Scan Time : 02:14:44 Memory items scanned : 491 Memory threats detected : 0 Registry items scanned : 7219 Registry threats detected : 0 File items scanned : 165566 File threats detected : 7 Trojan.Agent/Gen-FakeAV C:\PROGRAMME\WINRAR\DEFAULT.SFX Application.Agent/Gen-TempZ D:\MY DOWNLOAD FILES\...\EXTENDMONI1_XP.EXE D:\MY DOWNLOAD FILES\...\EXTENDMONI2_XP.EXE D:\MY DOWNLOAD FILES\...\MONISWITCH_XP.EXE Trojan.Agent/Gen-Nullo[Short] D:\SYSTEM VOLUME INFORMATION\_RESTORE{930BABD0-4871-440D-87F4-11756502F0F2}\RP452\A0064151.EXE D:\SYSTEM VOLUME INFORMATION\_RESTORE{930BABD0-4871-440D-87F4-11756502F0F2}\RP452\A0064152.EXE D:\SYSTEM VOLUME INFORMATION\_RESTORE{930BABD0-4871-440D-87F4-11756502F0F2}\RP452\A0064153.EXE 2. Log: SUPERAntiSpyware Scan Log SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware! Generated 11/07/2010 at 11:57 PM Application Version : 4.45.1000 Core Rules Database Version : 5821 Trace Rules Database Version: 3633 Scan type : Complete Scan Total Scan Time : 08:03:50 Memory items scanned : 235 Memory threats detected : 0 Registry items scanned : 7210 Registry threats detected : 0 File items scanned : 165583 File threats detected : 3 Application.Agent/Gen-TempZ D:\SYSTEM VOLUME INFORMATION\_RESTORE{930BABD0-4871-440D-87F4-11756502F0F2}\RP452\A0064196.EXE D:\SYSTEM VOLUME INFORMATION\_RESTORE{930BABD0-4871-440D-87F4-11756502F0F2}\RP452\A0064197.EXE D:\SYSTEM VOLUME INFORMATION\_RESTORE{930BABD0-4871-440D-87F4-11756502F0F2}\RP452\A0064198.EXE Ich hoffe, ich muss mir jetzt doch nicht wieder Sorgen machen? |
Wie bekomme ich Super Antispyware wieder deinstalliert? Bekomme über Windows Programm-Kontrollzentrum beim Versuch zu entfernen nur: Über Uninstall Failed - Error Reading Uninstall Data Ist die Datei SASUNINST.EXE von der Homepage h**p://www.superantispyware.com/downloads/SASUNINST.EXE vertrauenswürdig? |
die tipps haben alle die gleiche wichtigkeit. die datei ist ja von super antispyware, also vertrauenswürdig. die funde sind nicht besorgniss erregend. |
Vielen Dank für die gute Nachricht! Auf meinem Desktop PC wurde heute eine Infektion von Avira gefunden. Kannst du vielleicht noch mal in der Log (s.u.) schauen, ob dies wieder eine Fehlmeldung war? Habe die Datei in die Quarantäne geschoben. Log: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 8. November 2010 00:10 Es wird nach 3022070 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 02.08.2010 15:09:33 AVSCAN.DLL : 10.0.3.0 56168 Bytes 02.08.2010 15:09:45 LUKE.DLL : 10.0.2.3 104296 Bytes 02.08.2010 15:09:38 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 11:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 15:09:41 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:09:42 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 15:09:43 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 22:57:13 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 22:57:14 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 22:57:14 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 22:57:14 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 22:57:14 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 22:57:14 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 22:57:14 VBASE015.VDF : 7.10.13.148 2048 Bytes 07.11.2010 22:57:15 VBASE016.VDF : 7.10.13.149 2048 Bytes 07.11.2010 22:57:15 VBASE017.VDF : 7.10.13.150 2048 Bytes 07.11.2010 22:57:15 VBASE018.VDF : 7.10.13.151 2048 Bytes 07.11.2010 22:57:15 VBASE019.VDF : 7.10.13.152 2048 Bytes 07.11.2010 22:57:15 VBASE020.VDF : 7.10.13.153 2048 Bytes 07.11.2010 22:57:15 VBASE021.VDF : 7.10.13.154 2048 Bytes 07.11.2010 22:57:15 VBASE022.VDF : 7.10.13.155 2048 Bytes 07.11.2010 22:57:15 VBASE023.VDF : 7.10.13.156 2048 Bytes 07.11.2010 22:57:15 VBASE024.VDF : 7.10.13.157 2048 Bytes 07.11.2010 22:57:15 VBASE025.VDF : 7.10.13.158 2048 Bytes 07.11.2010 22:57:15 VBASE026.VDF : 7.10.13.159 2048 Bytes 07.11.2010 22:57:15 VBASE027.VDF : 7.10.13.160 2048 Bytes 07.11.2010 22:57:15 VBASE028.VDF : 7.10.13.161 2048 Bytes 07.11.2010 22:57:15 VBASE029.VDF : 7.10.13.162 2048 Bytes 07.11.2010 22:57:15 VBASE030.VDF : 7.10.13.163 2048 Bytes 07.11.2010 22:57:15 VBASE031.VDF : 7.10.13.164 2048 Bytes 07.11.2010 22:57:15 Engineversion : 8.2.4.92 AEVDF.DLL : 8.1.2.1 106868 Bytes 02.08.2010 15:09:30 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 07.11.2010 22:57:17 AESCN.DLL : 8.1.6.1 127347 Bytes 02.08.2010 15:09:30 AESBX.DLL : 8.1.3.1 254324 Bytes 02.08.2010 15:09:30 AERDL.DLL : 8.1.9.2 635252 Bytes 07.11.2010 22:57:17 AEPACK.DLL : 8.2.3.11 471416 Bytes 07.11.2010 22:57:16 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 02.08.2010 15:09:29 AEHEUR.DLL : 8.1.2.38 2990455 Bytes 07.11.2010 22:57:16 AEHELP.DLL : 8.1.14.0 246134 Bytes 07.11.2010 22:57:16 AEGEN.DLL : 8.1.3.24 401781 Bytes 07.11.2010 22:57:15 AEEMU.DLL : 8.1.2.0 393588 Bytes 02.08.2010 15:09:25 AECORE.DLL : 8.1.17.0 196982 Bytes 07.11.2010 22:57:15 AEBB.DLL : 8.1.1.0 53618 Bytes 02.08.2010 15:09:25 AVWINLL.DLL : 10.0.0.0 19304 Bytes 02.08.2010 15:09:33 AVPREF.DLL : 10.0.0.0 44904 Bytes 02.08.2010 15:09:33 AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 14:26:53 AVREG.DLL : 10.0.3.2 53096 Bytes 02.08.2010 15:09:33 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 02.08.2010 15:09:33 AVARKT.DLL : 10.0.0.14 227176 Bytes 02.08.2010 15:09:31 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 02.08.2010 15:09:32 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 14:27:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 02.08.2010 15:09:33 NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 14:27:01 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.08.2010 15:09:45 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, F:, G:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR, Beginn des Suchlaufs: Montag, 8. November 2010 00:10 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchFilterHost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchProtocolHost.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '113' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'sppsvc.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'Launchy.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'NokiaMServer.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer_Service.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '178' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'ACService.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '90' Modul(e) wurden durchsucht Durchsuche Prozess 'atieclxx.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '149' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'atiesrxx.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1139' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> Beginne mit der Suche in 'D:\' <Partition 1> D:\...\Reisen\bulgaria-getting-started.pdf [WARNUNG] Die Datei konnte nicht gelesen werden! D:\...\Aircrack-ng 1.0\bin\aircrack-ng.exe [FUND] Enthält Erkennungsmuster des SPR/Aircra.A.944139-Programmes Beginne mit der Suche in 'E:\' <Partition 2> Beginne mit der Suche in 'F:\' <Backup 1> Beginne mit der Suche in 'G:\' <Backup 2> G:\Backup\...\Reisen\bulgaria-getting-started.pdf [WARNUNG] Die Datei konnte nicht gelesen werden! Beginne mit der Desinfektion: D:\...\Aircrack-ng 1.0\bin\aircrack-ng.exe [FUND] Enthält Erkennungsmuster des SPR/Aircra.A.944139-Programmes [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [WARNUNG] Die Datei existiert nicht! [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. Die Reparaturanweisungen wurden in die Datei 'D:\avrescue\rescue.avp' geschrieben. Ende des Suchlaufs: Montag, 8. November 2010 09:42 Benötigte Zeit: 8:52:01 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 22757 Verzeichnisse wurden überprüft 797059 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 797058 Dateien ohne Befall 7501 Archive wurden durchsucht 3 Warnungen 1 Hinweise 528960 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
die erkennung geht so in ordnung, das tool könnte für illegale aktivitäten genutzt werden, deswegen spr privacy security risk. bitte schaue dir meine konfigurationsanleitung für avira an, achte darauf das alles so eingestellt ist du musst auch über lokaler schutz, lokale laufwerke scannen, sonst werden die einstellungen net übernommen |
Habe mir deine Anleitung schon angeschaut und versucht, so viel wie möglich umzusetzen. Bei der AHead Heuristik habe ich mich aber doch für die mittlere Stufe entschieden, weil Avira bei der hohen Stufe von erhöhter #Fehlerkennungen spricht. Nach den letzten 3 Tagen, die ja so gesehen wahrsch. verschwendet waren (Neuinstall. nach Falschmeldung) konnte mein Finger einfach nicht auf "hohe Stufe" klicken. Ist die Std.einstellung wirklich kein guter Kompromiss? Zitat:
|
na wenn du avira öffnest, gibts doch nen punk lokaler schutz, dort siehst du doch die scan profile, vollständige suche etc, da gibts auch lokaler schutz. wenn du nen prüf auftrag erstellst, kannst du doch ebenfalls wählen ob der vollständig sein soll oder über lokale laufwerke etc, da ebenso lokale laufwerke wählen. avira hatte in letzter zeit sehr wenige fehlalarme, deshalb bei guard /suche, die heuristik auf hoch, zumal du die funde in die quarantäne tun kannst und wirs uns dann ansehen können. |
Ok, setz Ahead-Heuristik auf Hoch. Als Einziges bleibt der "Erweiterte Prozessschutz", den ich noch nicht angewählt habe, da Avira sagt, dass "erheblich mehr Ressourcen" benötigt werden. Ist diese Option auch Pflicht in deinen Augen? Was ich nicht verstehe ist, warum Antivir die Einstellungen erst dann übernimmt, wenn ich mind. 1 Suchlauf durchgeführt habe. Und wenn dem so ist, reicht dann auch "Vollständige Systemprüfung"... ist doch "mehr" als "Lokale Laufwerke"? |
nein, die vollständige systemüberprüfung ist ein festgelegtes profil, deswegen sollst du ja über lokale laufwerke scannen! |
??? Versteh dich leider nicht. Unter Übersicht -> Status gehe ich i.d.R. auf "System jetzt prüfen" (unterste Zeile, wo auch "letzte vollst. Sytemprüfung" steht). Diese Vollst. Systemprüfung ist doch genau so voreingestellt (=festgelegt?), wie unter Lokaler Schutz -> Prüfen -> Lokale Laufwerke. So wie ich das verstehe, werden dabei aber halt nur meine lokalen Laufwerke C,D,E,F,G gescannt und nicht etwa Bootsektor, ... Also ist das doch eine schwächere Suche als Vollst. Systemprüfung. Wär schön, wenn du hierzu nochmal deine Meinung schreiben könntest: Zitat:
|
nein, unter lokaler schutz, lokale laufwerke wird alles das geprüft was du eingestellt hast, also auch boot sektoren, unter vollständige suche ist ein vor definiertes nicht verenderbares avira profil! und der erweiterte prozess schutz ist pflicht. sonst kann jedes beliebige programm avira ausschalten. |
Also ich habs jetzt so eingestellt, wie du meinst, aber die Leute von Avira müssten einem schon verraten, was ihr Produkt denn so soll, wenn die Std.einstellungen an diversen Stellen so lasch sind, dass der Rechner gleich untergehen kann - und das mit ruhigem Gefühl. Anyway, werde die Scans jetzt auf beiden Rechnern nochmal starten und wenn nix mehr kommt, wollte ich mich schon mal ganz herzlich bei dir bedanken. Hast mir ja tausend Fragen und Unsicherheiten genommen und alles mit Geduld beantwortet, wovor ich nur Chapeau! sagen, mich verbeugen und rückwärts das Forum verlassen kann. Besten Dank!!! |
naja ist halt so ne sache welche einstellung man als wichtig erachtet etc, da muss halt nen kompromiss gefunden werden, aber ich denke, lieber nen bissel strenger einstellen und dafür besser geschützt. wenn du probleme hast den rest umzusetzen, bzw wenns erfolgreich war, melde dich noch mals |
Muss nochmal nachhaken: Hab ich das richtig verstanden? Das, was ich unter Extras -> Konfiguration nach deiner Anleitung eingestellt habe, wird nur bei der Suche "Lokale Laufwerke" berücksichtigt, d.h. bei der Suche über Vollst. Systemprüfung wird z.B. nicht die eingestellte hohe Erkennungsstufe bzgl. AHead-Heuristik angewendet? Das würde für mich logisch keinen Sinn machen, aber gut. Auf dem PC ist der Lauf "Lokale Laufwerke" ohne Fund beendet und hat vom Gefühl her weniger Zeit gebraucht als die Vollst. Systemprüfung. Bei deinen höheren Sicherheitseinstellungen müsste es doch aber eigentl. länger dauern, oder nicht? |
ja ich hab doch geschrieben das die vollständige suche ein von avira vordefiniertes profil ist, häufiger werde ich diese frage nicht beantwortn, bin ja kein tonband... die von mir gemachten konfigurationen sind schneller, da avira hier nicht alle dateitypen durchsucht, das ist nicht nötig da nur bestimmte dateitypen schadcode enthalten können. und avira sie anhand des dateiheaders (kopf) erkennen kann bei der inteligenten auswahl, welche wir gewählt haben. |
:) Finds ja auch albern, aber hey: So plausibel hört sich die Sache mit dem Verhältnis Konfiguration und Suchtyp (Lok. Laufwerke / Vollst. Prüfung) nun auch nicht an: Erstens hab ich die Info sonst nirgends gelesen. So ein wichtiger Umstand müsste doch grade von Avira dick kommuniziert werden, da zweitens dieses Verhältnis total unlogisch ist, weil man doch i.A. davon ausgehen kann, dass die Einstellungen auch und gerade bei dem Suchtyp gültig sind, der den Namen Vollständig hat und auf der Programm-Startseite unter "System jetzt prüfen" gestartet werden kann. Denke, dass kein 0815 User auf die Idee kommt, auf Lokale Laufwerke zu gehen. Ok, nun lass ich dich auch jetzt in Ruh damit :) |
ja, naja ich bin kein avira mitarbeiter und mir gefällts auch nicht :-) deswegen zeige ich ja mit dieser anleitung auf, wie die konfiguration zu machen ist :-) früher war das mal besser geregelt.... |
Liste der Anhänge anzeigen (Anzahl: 1) Auf dem Desktop PC kommt nun bei jedem System-Neustart die Meldung "Profil konnte nicht gefunden werden." (siehe Anhang). Im Avira Forum wird einfach zur Neuinstallation geraten. Kennst du die Meldung vielleicht? |
bin sehbehindert und kann auf bildern nichts erkennen. wenns ne avira meldung ist, lade das setup, und mach ne reparatur instalation. |
Habs jetzt komplett neu installiert und bis jetzt scheints wieder in Ordnung zu sein. Besten Dank nochmal für all deine Mühe!!! |
jojo kein problem |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:45 Uhr. |
Copyright ©2000-2024, Trojaner-Board