1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

unverständliche Meldung von Antivir

Discussion in 'Sicherheit' started by dido37, Jul 4, 2005.

Thread Status:
Not open for further replies.
  1. dido37

    dido37 ROM

    Liebe Leute,

    vielleicht kann mir jemand helfen. Seit einiger Zeit zeigt mein Virenscanner (Antivir) in unregelmäßigen Abständen immer wieder folgende Meldung

    C:\SYSTEM VOLUME INFORMATION\_RESTORE{25B6F9B8-D449-4394-985D-F653E123B032}\RP2\A0000564.EXE

    Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/PoeBot.B.9

    Antivir schlägt dann vor: Datei belassen, Zugriff verweigern. Das habe ich bislang auch immer so akzeptiert, aber die Meldung kommt eben immer wieder.

    Ich verstehe mehreres nicht:

    1) was ist das für eine Pfadangabe, wie kann ich dort zugreifen.
    2) Könnte es sich um eine versteckte Wiederherstellungspartition handeln?
    3) warum schlägt mir Antivir nich "löschen der Datei vor" um den Virus zu beseitigen?
    4) Könnte es sich um einen Registry Key handeln
    5) wenn ich den Code in Google eingebe kommt keinerlei Ergebnis
    6) was kann ich tun, ich bin völlig ratlos, ist mein PC gefährdet?

    Ich hoffe auf Eure Hilfe

    Dido
     
    dido37, Jul 4, 2005
    #1
  2. Michi0815

    Michi0815 Guest

    eine auf die systemwiederherstellung. zugreifen kannst du darauf z.b. mit dem explorer, wenn du vorher "system datein ausblenden" ab-, "alle datein anzeigen" eingeschaltet und dir die notwendigen zugriffsrechte für SysVolInf verschafft hast.
    nein
    weil antivir in dem verzeichnis keine schreibrechte hat
    nein
    kommt öfter vor ;)
    systemwiederherstellung abschalten und/oder alle wiederherstellungspunkte löschen, nochmal scannen, file löschen, wiederherstellung wieder aktivieren. gefährdet kann dein pc sein, muss aber nicht

    viel glück
     
    Michi0815, Jul 4, 2005
    #2
  3. Michi0815

    Michi0815 Guest

    Michi0815, Jul 4, 2005
    #3
  4. franzkat

    franzkat CD-R 80

    Auf den Ordner kann man standardmäßig nur mit System-Rechten zugreifen; Admin-Rechte reichen nicht aus. Aber als Admin kann man das natürlich ändern. Von einer BartPE-CD aus kann man, ohne Admin zu sein bzw. Rechte neu setzen zu müssen , auf den Ordner zugreifen.D.h.,wenn du ein AV-Programm von BartPE aus startest, kann dieses normal mit dem SysVol-Ordner verfahren.
     
    franzkat, Jul 4, 2005
    #4
  5. tobiy

    tobiy Kbyte

    Wie man auf den Ordner zugreifen kann wußte der Trojaner wahrscheinlich schon vor der Info das es mit einer BartPE-CD geht.
    Ich würde es als umbedingt empfehlenswert halten den Rechner unverzüglich mit dem Proggie e-scan durch zu checken da diese Art von Trojaner sich in der Regel nicht nur auf den Systemwiederherstellungsordner beschränkt(dazu bräuchte ja der Autor des Trojaners wieder ne BartPe-CD um seinen Schützling betreuen zu können) :D
     
    tobiy, Jul 4, 2005
    #5
  6. dido37

    dido37 ROM

    so, jetzt habe ich folgendes gemacht:

    1) nochmals kompletter Scan mit Antivir; die Warnmeldung kam wieder identisch wie bislang

    2) dann habe ich über die Datenträgerbereinigung alle Wiederherstellungspunkte bis auf den letzten gelöscht

    3) dann nochmal ein kompletter Scan mit Antivir; jetzt kam die Warnmeldung tatsächlich nicht mehr, das Problem scheint also gelöst

    4) sicherheitshalber habe ich nochmal hijack this drüber laufen lassen und habe folgenden log erhalten:

    http://www.hijackthis.de/logfiles/4b30312cec51d0272c05480bf9a2f2da.html

    Wäre sehr nett, wenn mir ein Profi nochmal bestätigen könnte, daß nichts verdächtiges drinsteht.
    Nach einer auswertung im Internet unter

    www.hijackthis.de/index.php#anl

    schaut es nicht so aus al ob alles in Ordnung wäre:


    O4 - HKLM\..\Run: [Microsoft Windows Updata] scvhost.exe - Böse
    O4 - HKLM\..\Run: [Sygate Personal Port] crss.exe - Unbekannt
    O4 - HKLM\..\RunServices: [Machine Debug Manager] msdn.exe - Unbekannt
    O4 - HKLM\..\RunServices: [Microsoft Windows Updata] scvhost.exe - Böse
    O4 - HKLM\..\RunServices: [Sygate Personal Port] crss.exe - Unbekannt
    O4 - HKCU\..\Run: [Sygate Personal Port] crss.exe - Unbekannt
    O4 - HKCU\..\Run: [Machine Debug Manager] msdn.exe - Unbekannt
    O4 - HKCU\..\Run: [pcEXPLODE] specialfile.exe - Böse
    O4 - HKCU\..\Run: [Microsoft Windows Updata] scvhost.exe - Böse

    Fall die Dinger wirklich bösartig sind, wie bekomme ich dann vom Rechner, wenn Antivir sie nicht erkennt?

    Vielen Dank an alle Helfer

    Dido

    ----------------------------------------------------------------
    Anmerkung der Moderation:

    Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich den Link zur gespeicherten Auswertung, wie auf folgender Seite beschrieben: http://www.pcwelt.de/forum/thread134046.html

    Gruß
    Nevok
    ----------------------------------------------------------------
     
    dido37, Jul 5, 2005
    #6
  7. Jasager

    Jasager Viertel Gigabyte

    Hallo,
    dein System ist/war mit mehreren Bachdoorwürmern verseucht und muss somit neu aufgesetzt werden, z.B. der hier:
    http://www.sophos.de/virusinfo/analyses/w32mytobi.html
    (man beachte die "Nebeneffekte")
    Das ist zum Beispiel ein Artikel von Microsoft zum Thema Kompromittierung :
    http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

    Also Neuaufsetzen ist einfach unvermeidbar, hier noch eine kleine Anleitung und Tipps zum neuinstallieren:
    http://www.dedies-board.de/wbb2/thread.php?threadid=176


    Grüße Jasager
     
    Jasager, Jul 5, 2005
    #7
Thread Status:
Not open for further replies.

Share This Page