unverständliche Meldung von Antivir

Dieses Thema im Forum "Sicherheit" wurde erstellt von dido37, 4. Juli 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. dido37

    dido37 ROM

    Registriert seit:
    29. Juni 2005
    Beiträge:
    7
    Liebe Leute,

    vielleicht kann mir jemand helfen. Seit einiger Zeit zeigt mein Virenscanner (Antivir) in unregelmäßigen Abständen immer wieder folgende Meldung

    C:\SYSTEM VOLUME INFORMATION\_RESTORE{25B6F9B8-D449-4394-985D-F653E123B032}\RP2\A0000564.EXE

    Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/PoeBot.B.9

    Antivir schlägt dann vor: Datei belassen, Zugriff verweigern. Das habe ich bislang auch immer so akzeptiert, aber die Meldung kommt eben immer wieder.

    Ich verstehe mehreres nicht:

    1) was ist das für eine Pfadangabe, wie kann ich dort zugreifen.
    2) Könnte es sich um eine versteckte Wiederherstellungspartition handeln?
    3) warum schlägt mir Antivir nich "löschen der Datei vor" um den Virus zu beseitigen?
    4) Könnte es sich um einen Registry Key handeln
    5) wenn ich den Code in Google eingebe kommt keinerlei Ergebnis
    6) was kann ich tun, ich bin völlig ratlos, ist mein PC gefährdet?

    Ich hoffe auf Eure Hilfe

    Dido
     
  2. Michi0815

    Michi0815 Guest

    Registriert seit:
    7. Januar 2004
    Beiträge:
    3.429
    eine auf die systemwiederherstellung. zugreifen kannst du darauf z.b. mit dem explorer, wenn du vorher "system datein ausblenden" ab-, "alle datein anzeigen" eingeschaltet und dir die notwendigen zugriffsrechte für SysVolInf verschafft hast.
    nein
    weil antivir in dem verzeichnis keine schreibrechte hat
    nein
    kommt öfter vor ;)
    systemwiederherstellung abschalten und/oder alle wiederherstellungspunkte löschen, nochmal scannen, file löschen, wiederherstellung wieder aktivieren. gefährdet kann dein pc sein, muss aber nicht

    viel glück
     
  3. Michi0815

    Michi0815 Guest

    Registriert seit:
    7. Januar 2004
    Beiträge:
    3.429
  4. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Auf den Ordner kann man standardmäßig nur mit System-Rechten zugreifen; Admin-Rechte reichen nicht aus. Aber als Admin kann man das natürlich ändern. Von einer BartPE-CD aus kann man, ohne Admin zu sein bzw. Rechte neu setzen zu müssen , auf den Ordner zugreifen.D.h.,wenn du ein AV-Programm von BartPE aus startest, kann dieses normal mit dem SysVol-Ordner verfahren.
     
  5. tobiy

    tobiy Kbyte

    Registriert seit:
    4. April 2004
    Beiträge:
    370
    Wie man auf den Ordner zugreifen kann wußte der Trojaner wahrscheinlich schon vor der Info das es mit einer BartPE-CD geht.
    Ich würde es als umbedingt empfehlenswert halten den Rechner unverzüglich mit dem Proggie e-scan durch zu checken da diese Art von Trojaner sich in der Regel nicht nur auf den Systemwiederherstellungsordner beschränkt(dazu bräuchte ja der Autor des Trojaners wieder ne BartPe-CD um seinen Schützling betreuen zu können) :D
     
  6. dido37

    dido37 ROM

    Registriert seit:
    29. Juni 2005
    Beiträge:
    7
    so, jetzt habe ich folgendes gemacht:

    1) nochmals kompletter Scan mit Antivir; die Warnmeldung kam wieder identisch wie bislang

    2) dann habe ich über die Datenträgerbereinigung alle Wiederherstellungspunkte bis auf den letzten gelöscht

    3) dann nochmal ein kompletter Scan mit Antivir; jetzt kam die Warnmeldung tatsächlich nicht mehr, das Problem scheint also gelöst

    4) sicherheitshalber habe ich nochmal hijack this drüber laufen lassen und habe folgenden log erhalten:

    http://www.hijackthis.de/logfiles/4b30312cec51d0272c05480bf9a2f2da.html

    Wäre sehr nett, wenn mir ein Profi nochmal bestätigen könnte, daß nichts verdächtiges drinsteht.
    Nach einer auswertung im Internet unter

    www.hijackthis.de/index.php#anl

    schaut es nicht so aus al ob alles in Ordnung wäre:


    O4 - HKLM\..\Run: [Microsoft Windows Updata] scvhost.exe - Böse
    O4 - HKLM\..\Run: [Sygate Personal Port] crss.exe - Unbekannt
    O4 - HKLM\..\RunServices: [Machine Debug Manager] msdn.exe - Unbekannt
    O4 - HKLM\..\RunServices: [Microsoft Windows Updata] scvhost.exe - Böse
    O4 - HKLM\..\RunServices: [Sygate Personal Port] crss.exe - Unbekannt
    O4 - HKCU\..\Run: [Sygate Personal Port] crss.exe - Unbekannt
    O4 - HKCU\..\Run: [Machine Debug Manager] msdn.exe - Unbekannt
    O4 - HKCU\..\Run: [pcEXPLODE] specialfile.exe - Böse
    O4 - HKCU\..\Run: [Microsoft Windows Updata] scvhost.exe - Böse

    Fall die Dinger wirklich bösartig sind, wie bekomme ich dann vom Rechner, wenn Antivir sie nicht erkennt?

    Vielen Dank an alle Helfer

    Dido

    ----------------------------------------------------------------
    Anmerkung der Moderation:

    Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich den Link zur gespeicherten Auswertung, wie auf folgender Seite beschrieben: http://www.pcwelt.de/forum/thread134046.html

    Gruß
    Nevok

    ----------------------------------------------------------------
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    dein System ist/war mit mehreren Bachdoorwürmern verseucht und muss somit neu aufgesetzt werden, z.B. der hier:
    http://www.sophos.de/virusinfo/analyses/w32mytobi.html
    (man beachte die "Nebeneffekte")
    Das ist zum Beispiel ein Artikel von Microsoft zum Thema Kompromittierung :
    http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

    Also Neuaufsetzen ist einfach unvermeidbar, hier noch eine kleine Anleitung und Tipps zum neuinstallieren:
    http://www.dedies-board.de/wbb2/thread.php?threadid=176


    Grüße Jasager
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen