Ich glaube ich habe ein gewaltiges problem!! Was ist denn( SPR/Destart.A-)
Sie ist in meiner C:\Windows\System32\Tool soll eine Restart.exe sein
wo keine ist!!
AntiVIR findet es am ende im Editor!
Ich würde gerne wissen was diese datei anstellt oder bzw loswerden kann!(Sie ist ja nicht da)
Naja Hier habt ihr einen überblick!





Versionsinformationen:
AVWIN.DLL : 6.31.00.03 528424 10.05.2005 16:49:30
AVEWIN32.DLL : 6.31.0.9 823808 06.07.2005 18:00:08
AVGNT.EXE : 6.31.00.01 168039 10.05.2005 16:49:30
AVGUARD.EXE : 6.31.00.01 238120 29.04.2005 08:06:40
GUARDMSG.DLL : 6.31.00.01 98344 29.04.2005 08:06:40
AVGCMSG.DLL : 6.31.00.00 295029 29.04.2005 08:06:38
AVGNTDW.SYS : 6.31.00.01 32896 29.04.2005 08:06:40
AVPACK32.DLL : 6.31.00.03 323664 25.05.2005 10:43:02
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 18:10:10
AVWIN.DLL : 6.31.00.03 528424 10.05.2005 16:49:30
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 18:10:12
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 11:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 11:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 18:47:18
AVRep.DLL : 6.31.00.172 1212456 08.07.2005 10:26:54
INETUPD.EXE : 6.31.00.02 249915 29.04.2005 08:06:42
INETUPD.DLL : 6.31.00.02 159744 29.04.2005 08:06:42
CTL3D32.DLL : 2.31.000 27136 11.11.2004 14:00:00
MFC42.DLL : 6.02.4131.0 1028096 11.11.2004 14:00:00
MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : 7.0.2600.2180 343040 11.11.2004 14:00:00
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\Programme\AVPersonal\BUILD.DAT
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: CDRom
E: CDRom

Start des Suchlaufs: Montag, 11. Juli 2005 14:04

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp
fna00880.zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\Tools
Restart.exe
Die Datei enthält Signatur des SPR/Destart.A- Programmes und wurde vom Benutzer unterdrückt.
C:\WINDOWS\Temp
ZLT03688.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: Montag, 11. Juli 2005 14:16
Benötigte Zeit: 12:15 min


1323 Verzeichnisse wurden durchsucht
20318 Dateien wurden geprüft
8 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

Würde mich freuen wenn mir jemand helfen kann!

Überprüfe die C:\WINDOWS\system32\Tools\Restart.exe bei http://virusscan.jotti.org/de/ und poste uns das Ergebniss.

Wenn nicht sichtbar dann mache folgendes:

Windows Explorer/ Extras/ Ordneroptionen/ Ansicht/

Hier bei "Geschützte Systemdateien ausblenden" den Hacken entfernen und bei der Option "Versteckte Dateien und Ordner" darunter "alle Dateien und Ordner anzeigen" markieren und dann nach der Restart.exe suchen.

Weisst du den auch was er genau in der restart.exe anstellt oder macht genau??
Würde das gerne mal wissen Saint!

Schätze das ist ein Crack (Cracker.AssasinPatch) für ein Game.

Vielen Dank!!
Werde es gleich mal versuchen!!

hi
hatte die gleiche Meldung wie Bodi
nur habe ich die Datei "restart.exe" noch nicht gelöscht
also hab ich mal bei Jotti scannen lassen
hier das Ergebnis:

Datei: Restart.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
SPR/Destart.A gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
not a virus Tool.Destart gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
HackerTool/Rebootah gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden
**********************

wie gehts jetzt weiter?

Hallo Brummi

Zitat:

Zitat von Brummi: wie gehts jetzt weiter?

wahrscheinlich ist die Datei harmlos, aber um noch mehr zu erfahren kannst du sie zu Malewareupload schicken und dann auf das Ergebnis warten (siehe meine Signatur)
Noch eine andere Möglichkeit findest du hier

hallo Gigamail
danke für die schnelle Antwort

Zitat:

Zitat von Gigamail

Hallo Brummi

wahrscheinlich ist die Datei harmlos, aber um noch mehr zu erfahren kannst du sie zu Malewareupload schicken und dann auf das Ergebnis warten

ist in Arbeit
ich melde mich nach Antwort von Malware

hi
für alle die es interessiert,
hier ist die Antwort von Malware:

"Unsere Antwort: Tool.Destart Dies ist keine Malware! Die Datei kann jedoch von Hackern genutzt werden um Schaden anzurichten. Wenn du die Datei kennst und gewollt auf dem PC ist, kannst du die Warnung ignorieren. Hilfe bietet auch das AntiVir-Forum: www.free-av.de -> Support"

Ich habe gestern nochmal nachgeforscht, welche Dateien noch in dem gleichen Ordner (Windows/System/Tools/) bei mir liegen.
Darin war z. Bsp. auch eine "readme.txt"
Aus der konnte ich entnehmen, dass die Datei "restart.exe" zu einer Installationsroutine für einen Soundkartentreiber (AC97) gehört.

Habe mich jetzt entschlossen, den Ordnerinhalt zu löschen.

Zuletzt gefundene Malware war W32 in HahaMu_1.16_AP_Translated.rar, gefunden von:

Scanner Name der Malware
AntiVir X
ArcaVir W32
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web X
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
UNA X
VBA32 X



75 Dateien (70 davon Unikate) wurden seit dem letzten Tag der Datenbereinigung vom 11/Jul/2005 hochgeladen und gescannt.
29 von den 70 Dateien enthielten Viren oder eine andere Malware.
In dieser Zeitspanne wurde diese Seite 128 mal besucht

Zitat:

Scanner Name der Malware
AntiVir X
ArcaVir W32
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web X
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
UNA X
VBA32 X

Das ist falsch das Ergebniss des Scans brauche ich nach dem Hochladen der Datei

sieht so aus:

Zitat:

Datei: test.bak
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunde

@ Bodi

Zitat:

Zuletzt gefundene Malware war W32 in HahaMu_1.16_AP_Translated.rar, gefunden von:

wie du siehst ist das aber nicht das Ergebnis von deiner Datei

Edit: Servus habe die Ehre The Saint :aplaus:

Habe es anders jetzt gemacht!Habe den Ordner C:\Windows\System32\Tools
gelöscht
Antivir sagt nix mehr
Aber Danke trotzdem für alles!

Das wird dir nicht viel helfen die Datei ist wahrscheinlich ein Backdoortrojaner gewesen und daher wäre dein System kompromittiert.

Nur wissen wir das jetzt nicht genau da du die datei gelöscht hast.

Mehr dazu http:/ /www.virenschutz.info/antivirus-133.html

Hallo Hr. Gigamail meine Verehrung.

Hallo,

ist doch wohl eher dies gewesen:
File C:\WINDOWS\system32\Tools\Restart.exe tagged as
not-a-virus:RiskWare.Tool.Destart. No Action Taken.

dartus