WinFuture-Forum.de: Antivirenprogramm, Das Auf Pagefile.sys Und Hiberfil. - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Antivirenprogramm, Das Auf Pagefile.sys Und Hiberfil. . zugreifen kann?


#1 Mitglied ist offline   Scour 

  • Gruppe: aktive Mitglieder
  • Beiträge: 219
  • Beigetreten: 10. Mai 04
  • Reputation: 5
  • Geschlecht:Männlich

  geschrieben 25. August 2009 - 11:11

Hallo,

Avast meldet mir das ich einen Virus/Wurm namens Ricsi-831 in meiner hiberfil.sys und pagefile.sys

Aber er ist der einzige AV, der das mir bisher gezeigt hat. Weder Antivir, Clam noch AVG finden bei mir was.

Jetzt frage ich mich, ob die nichts finden oder einfach diese Dateien nicht scannen. Natürlich habe ich diese HDD an einem anderen PC gescannt, damit es keine Zugriffsprobleme gibt.

Hab auch mal Ruhezustand und Auslagerungsdatei deaktiviert, nach Reaktivierung meldet Avast wieder das gleiche.

Gibts vielleicht noch andere Programme, die wirklich auf diese Dateien zugreifen können?
0

Anzeige



#2 Mitglied ist offline   Urne 

  • Gruppe: Moderation
  • Beiträge: 17.943
  • Beigetreten: 12. Juni 05
  • Reputation: 394
  • Geschlecht:Männlich
  • Wohnort:BL
  • Interessen:Computer

geschrieben 25. August 2009 - 11:21

Virus Gefunden - Botnetzwerk?
Also auf jeden Fall mal ein Hijackthis Logfile erstellen.
Alkohol und Nikotin rafft die halbe Menschheit hin und nach alter Sitt und Brauch stirbt die andere Hälfte auch.
0

#3 Mitglied ist offline   Scour 

  • Gruppe: aktive Mitglieder
  • Beiträge: 219
  • Beigetreten: 10. Mai 04
  • Reputation: 5
  • Geschlecht:Männlich

geschrieben 25. August 2009 - 13:18

Thanks :wink:

Norton Antivir 2009 mit neuesten Def-Files findet auch nichts

Hier der Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:16:16, on 25.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
E:\0 Browser-Download\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5712 bytes

Dieser Beitrag wurde von Scour bearbeitet: 25. August 2009 - 13:21

0

#4 Mitglied ist offline   WalterB 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.266
  • Beigetreten: 14. Juli 07
  • Reputation: 58
  • Geschlecht:Männlich
  • Wohnort:Schweiz
  • Interessen:Alles was mit Rechner zu tun hat.
    Im Einsatz, Windows, Apple und Linux.

  geschrieben 25. August 2009 - 15:28

Aber er ist der einzige AV, der das mir bisher gezeigt hat. Weder Antivir, Clam noch AVG finden bei mir was.

Ja hast Du den mehrere Virenschutzprogramme installiert, das wäre nicht gut da sich diese unter Umständen gegenseitig stören.

Walter

:wink:
0

#5 Mitglied ist offline   Phoenix0870 

  • Gruppe: aktive Mitglieder
  • Beiträge: 387
  • Beigetreten: 27. Januar 08
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:Deutschland
  • Interessen:Hardware+Software News...
    Avast Anti-Virus ist ein gutes Programm.
    Kann es jedem empfehlen.

geschrieben 25. August 2009 - 15:50

Was ist das?
C:\Programme\Windows Live\Messenger\usnsvc.exe ?

Virus?

Warum ist der richtige Eintrag : O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
hier korrekt angezeigt?
pagefile.sys Virus.
Das ist aber ganz selten.
Tipp: Abgesicherten Modus über F8.
Scanne dann mal und versuche die pagefile.sys zu löschen.
Wird auch wieder nicht gehen, weil Windows meint, es wäre im Speicher.
Jetzt mein Tipp: " MSDOS Editor attrib pagefile.sys -r -a -s -h " eingeben
Dann mit " del pagefile.sys " löschen.
Geht das?

Oder das hier:

Eingefügtes Bild

Wenn die Datei "hiberfil.sys" auf diese Art und Weise gelöscht wurde, lässt sich der Ruhezustand wieder aktivieren, wenn man in einer als Administrator ausgeführten Eingabeaufforderung den folgenden Befehl ausführt:
Code:

powercfg.exe -h on

Dieser Beitrag wurde von Phoenix0870 bearbeitet: 25. August 2009 - 16:04

Hardware+Software News...
0

#6 Mitglied ist offline   Urne 

  • Gruppe: Moderation
  • Beiträge: 17.943
  • Beigetreten: 12. Juni 05
  • Reputation: 394
  • Geschlecht:Männlich
  • Wohnort:BL
  • Interessen:Computer

geschrieben 25. August 2009 - 16:57

@Phoenix0870: Letzteres klappt aber so nicht bei XP. Da kann man den Ruhezustand unter Eigenschaften von System deaktivieren. Hab es noch nie probiert, ob dann die hiberfil.sys einfach so löschbar ist.
Alkohol und Nikotin rafft die halbe Menschheit hin und nach alter Sitt und Brauch stirbt die andere Hälfte auch.
0

#7 Mitglied ist offline   Scour 

  • Gruppe: aktive Mitglieder
  • Beiträge: 219
  • Beigetreten: 10. Mai 04
  • Reputation: 5
  • Geschlecht:Männlich

geschrieben 25. August 2009 - 18:25

Thanks for the feedback ;(

Beitrag anzeigenZitat (Walter Buergin: 25.08.2009, 16:28)

Ja hast Du den mehrere Virenschutzprogramme installiert, das wäre nicht gut da sich diese unter Umständen gegenseitig stören.


Nein, sowas mach ich nicht :wink:

Clamwin ist ein portable ohne Installation, die anderen beiden sind auf verschiedenen PCs, an denen ich die Platter per USB-Adapter zum Testen angehängt habe.

Beitrag anzeigenZitat (Phoenix0870: 25.08.2009, 16:50)

Was ist das?
C:\Programme\Windows Live\Messenger\usnsvc.exe ?

Virus?

Warum ist der richtige Eintrag : O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
hier korrekt angezeigt?
pagefile.sys Virus.
Das ist aber ganz selten.
Tipp: Abgesicherten Modus über F8.
Scanne dann mal und versuche die pagefile.sys zu löschen.
Wird auch wieder nicht gehen, weil Windows meint, es wäre im Speicher.
Jetzt mein Tipp: " MSDOS Editor attrib pagefile.sys -r -a -s -h " eingeben
Dann mit " del pagefile.sys " löschen.
Geht das?


Ich meine, die Datei kommt von der Messenger-Erweiterung "Plus", aber ich werd das dan gegenchecken auf einem PC, der nur den Live Messenger hat.

Bei der Bereinigung seh ich das mit dem Ruhezustand nicht, war dein Bild von XP oder Vista?

Pagefile.sys verschwindet, wenn ich die Auslagerungsdatei auf 0 setze, hiberfil.sys ist weg sobald ich den Ruhezustand in den Energieoptionen deaktiviere.

Oder haben meine Methoden einen anderen Effekt als über den von dir beschriebenen Weg :wink: ?
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0