[zabdesign]

Hallo in die Runde,

ich habe heute versucht im abgesicherten Modus NOD32 - also einen Virenscanner laufen zu lassen. Das hat leider nicht wirklich funktioniert.

Die Rückmeldung war für mich nicht so wirklich eindeutig, auf jeden Fall hörte der Scan offensichtlich ziemlich schnell wieder auf. Es gab dann ein paar Meldungen, die besagten, dass Dateien nicht geöffnet werden konnten. pagefile.sys, NTUSER.DAT, ntuser.dat.LOG

Kann mir jemand sagen, was dies zu bedeuten hat? Kann es sein, dass eine (böse) Anwendung diese Dateien blockiert und damit den Scan sabotiert?

Ich habe dann einen normalen Scan durchgeführt und es wurden 2 infizierte Daten gefunden. Die Log-Datei des Scans berichtet von sehr vielen Dateien, die nicht geöffnet werden können bzw. auf die der Zugriff verweigert wurde. Klar, es wird vom System her wahrscheinlich einige Dateien geben, die durch das Rechte-System von Windows gesperrt sind, aber sollte ein aktueller Viren-Scanner wie NOD32 nicht auf damit fertig werden?

Mich stimmt das alles nachdenklich, denn ich habe derzeit des öfteren einen Bluescreen, der offensichtlich mit dem Laden von Flash im Web zu tun hat, zumindest konnte ich in diesem Zusammenhang die meisten Abstürze beobachten. (aber das ist noch mal ein anderes Thema)

Hier mal meine Log-Datei:

Log
Version der Signaturdatenbank: 3446 (20080916)
Datum: 16.09.2008 Uhrzeit: 18:31:56
Geprüfte Laufwerke, Ordner und Dateien: Arbeitsspeicher;C:\Bootsektor;C:\
C:\pagefile.sys - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG - Fehler beim Öffnen [4]
C:\Programme\7-Zip\Uninstall.exe » NSIS - falsche CRC-Prüfsumme - Datei ist möglicherweise beschädigt
C:\Programme\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe » NSIS - Archiv beschädigt
C:\Programme\phase5\keyfile.zip » ZIP » keyfile.txt - Fehler - Datei ist passwortgeschützt
C:\Programme\SlySoft\AnyDVD\AnyDVD-uninst.exe » NSIS - Archiv beschädigt
C:\Programme\Vuze\.install4j\i4j_extf_8_5p83tu.exe - Variante von Win32/AdInstaller Anwendung - Gesäubert durch Löschen - in Quarantäne kopiert [1]
C:\Programme\xampp\apache\error\contact.html.var » MIME » part000.htm » MIME » part000.htm » MIME » part000.htm » MIME » part000.htm » MIME » part000.htm » MIME » part000.htm » MIME » part000.htm » MIME » part000.htm » MIME » part000.htm » MIME » part000.htm » MIME - Zu viele Archive verschachtelt
C:\Programme\xampp\MercuryMail\MERCURY\failure.mer » MIME » MIME - Datei ist kein Archiv
C:\WINDOWS\system32\cmdow.exe - Win32/CMDOW.142 Anwendung - Gesäubert durch Löschen - in Quarantäne kopiert [1]
C:\WINDOWS\system32\config\default - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\default.LOG - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\SAM - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\SAM.LOG - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\SECURITY - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\software - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\software.LOG - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\system - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\system.LOG - Fehler beim Öffnen [4]
Geprüfte Objekte: 193694
Erkannte Bedrohungen: 2
Gesäuberte Objekte:2
Abgeschlossen: 18:52:29 Benötigte Zeit: 1233 Sek. (00:20:33)

Hinweise:
[1] Objekt wurde gelöscht. Es enthielt ausschließlich Viruscode.
[4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem.

Kann mir jemand ein Infos geben, was davon wirklich bedenklich ist und wie ich am besten vorgehe, um mein System wirklich und verlässlich von Viren zu befreien?

Ich habe so eine schöne Sicherheits-CD aus der CT. Leider läd die auf meinem Notebook nicht richtig, denn wenn ich Knoppix oder Knoppicilin6 starten will, bleibt die Anwendung immer bei:
"Starting udev hot-plug hardware detection ... _ " stehen. Auch so ein Phänomen auf meinem VAIO FE31Z (Windows XP Pro SP II)

Viele Grüße,
Sebastian

Angehängte Miniaturbilder

• 

Dieser Beitrag wurde von zabdesign bearbeitet: 16. September 2008 - 18:26

[zabdesign]

Hi Der dom,

vielen dank für deine Antwort.

Zitat

Hast du eventuell ein Programm drauf, dass Fenster versteckt?

Ich verstehe nicht was du damit meinst! Kannst du das etwas genauer formulieren?

... und wo ich schon mal eine Frage stelle ... kennst du ein gutes Programm um einen HiJack Scan machen zu lassen? Ich habe gestern aben Spybot über mein System laufen lassen und der hat auch ein paar Sachen gefunden.

Übrigens habe ich mir kürzlich Vuze runtergeladen, um einen Download-Torrent nutzen zu können. Ich hatte schon ein komisches Gefühl dabei und es wurde mir durch den Virenscan gestern bestätigt, denn die Datei i4j_extf_8_5p83tu.exe lag im Ordner dieser dubiosen Software, die übrigens ungefragter Weise auch noch eine sogenannte Ask-Toolbar in meinen Browsern installiert hat. Voll unverschämt fand ich das ...

Ich habe den Bericht von Spybot mal angehängt, ich hoffe es ist der von gestern, denn das war für mich nicht eindeutig erkennbar.
Beim Anschauen ist mir ein Eintrag aufgefallen:

--- ActiveX list ---
{D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)
DPF name:
CLSID name: Shockwave Flash Object
Installer: C:\WINDOWS\Downloaded Program Files\swflash.inf
Codebase: http://download.macromedia.com/pub/shockwa...ash/swflash.cab
description: Macromedia Shockwave Flash Player
classification: Legitimate
known filename:
info link:
info source: Patrick M. Kolla
Path: C:\WINDOWS\system32\Macromed\Flash\
Long name: Flash9f.ocx


Interessanter Weise habe ich beim Säubern meiner Regestry mit Easycleaner 3 Einträge, die sich nicht löschen lassen. Die hängen alle Flash9f.ocx zusammen. Die Dateien selbst existieren gar nicht, wenn ich den Ordner C:\WINDOWS\system32\Macromed\Flash\ aufrufe. Das ist echt komisch. Wie ich schon kurz erwähnt, habe ich in letzter Zeit öfter mal einen Bluescreen, der besonders dann auftritt, wenn ich auf Myspace bin und seiten mit viel Flash geladen werden!!!

Viele Grüße,
Sebastian

Angehängte Miniaturbilder

• 

Angehängte Datei(en)

•  spybot.txt (35,09K)
  Anzahl der Downloads: 375

Dieser Beitrag wurde von zabdesign bearbeitet: 17. September 2008 - 09:36

[sn00b]

www.hijackthis.de

hier kannst du hijackthis runterladen und dann einen scann durchführen. das ergebnis kannst du auf der selben seite auswerten lassen. zum virenscann kann ich dir sagen das die datein pagefile.sys und auch andere nicht gesacannt werden konnten da sie gerade benutzt wurden. pagefile.sys ist deine auslagerungsdatei und da ist kein zugriff von 'aussen' möglich.

[zabdesign]

Danke Master.Max,

ich habe mir die Software mal runtergeladen und werde später einen Scan durchführen.
Ich werde mich dann morgen wieder melden.

Viele Grüße und einen schönen Mittwoch,
Sebastian

[zabdesign]

Hallo,

ich habe nun mit HiJackthis gescannt und wie es scheint, ist soweit alles i.O., wobei der Schein natürlich auch trügen kann.

Anbei die Logdatei von Hijackthis.

Viele Grüße,
Sebastian

[h.murphy]

Hallo,
die pagefile.sys, NTUSER.DAT, ntuser.dat.LOG sind Systemdateien die Du darum nicht öffnen kannst.
Also harmlos.
Was deine Abstürze bei Flash seiten betrifft, könnte es daran liegen, das Du vielleicht Teile des Flashplayers (Macromedia) gelöscht hast...installiere den Flashplayer einmal neu.
Gruß

[zabdesign]

Hallo h.murphy,

interessanter Weise bin ich heute auch schon auf die Idee gekommen, weil ich mir dachte, dass ich dann auch die Einträge in der Registry löschen könnte, die mir irgendwie ein Dorn im Auge waren. Ich habe den Player komplett installiert und danach ließen sich die drei verwaisten Einträge auch löschen. Nun habe ich eine neue Player-Installation und bisher verhält sich alles auffällig stabil, noch keinen Absturz trotz viel myspace und flash heute.
Ich werde in ein paar Tagen noch mal berichten, ob ich noch Abstürze hatte.

Ich vertraue allerdings nicht darauf, dass mein Rechner wirklich virenfrei ist, denn ich habe so dass Gefühl, dass man da eh so gut wie nie 100% sicher sein kann.

Mein Bruder hat sich auf seinem Win XP Rechner gerade einen Virus eingefangen, der sich von einer Datei in die andere kopiert und damit erstmal nicht entfernbar ist, zumindest nicht mit einem normalen Virenscanner. Ab und zu wird da bei ihm mal ein Bluescreen simuliert, damit man sich (auf Hinweis) eine "Anti-Virensoftware" runter läd. Außerdem hat das Progrämmchen den Desktop-Hintergrund gegen einen Screeenwshot von einer Virusmeldung ausgetauscht.
Ich habe ihm mal Knoppicilin in die Hand gedrückt und auch den Tipp mit Hijackthis gegeben, mal schauen, ob er damit weiter kommt.
Er hatte 2 Tage keine aktuelle Signatur von Kaspersky, weil die Lizenz abgelaufen war und in dieser Zeit ist es dann passiert, obwohl er seiner Meinung nach nicht auf "kritischen" Seiten unterwegs war.

Ich finds echt voll krass, was so an Viren unterwegs ist.

Irgendwie ist das Thema neben dem Nerv, den man damit hat, ja auch spannend. Allerdings ist bei uns beiden auch der Arbeitsrechner betroffen, so dass dabei dann doch kein Spaß aufkommt.



Vielen Dank soweit!

Schöne Grüße,
Sebastian