Hallo,
mein Avira zeigt mir folgende Probleme an,
die für mich unverständlich sind,
vielleicht kann mir hier jemand helfen.
Warum wird der Zugriff verweigert,
wodran liegt das,
und was für Warnungen sind das?

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [5]: Zugriff verweigert
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [5]: Zugriff verweigert
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [5]: Zugriff verweigert
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [5]: Zugriff verweigert
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [5]: Zugriff verweigert
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [5]: Zugriff verweigert
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [5]: Zugriff verweigert
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '41' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Beginne mit der Suche in 'I:\'


Ende des Suchlaufs: Mittwoch, 18. März 2009 17:32
Benötigte Zeit: 27:56 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

24396 Verzeichnisse wurden überprüft
438269 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
438267 Dateien ohne Befall
1952 Archive wurden durchsucht
9 Warnungen
0 Hinweise

Hallo Mausi19 und

Welches Betriebssystem fährst du?

OK ich versuchs mal verständlicher

Ist das Vista oder Windows XP?

Hi,
Windows Vista Business x64 Service Pack 1

Mausi, ich denke du führst das Programm nicht mit Administrator Rechten aus.

In Windows Vista ist der Administrator standardmäßig deaktiviert

Zur Benutzerverwaltung gelangt man wie folgt:

Systemsteuerung -> System und Wartung -> Verwaltung ->
Computerverwaltung -> Lokale Benutzer und Gruppen -> Benutzer
in den Eigenschaften des Administrators das Häkchen bei Konto ist deaktiviert entfernen.

Jetzt kannst du dich in Vista als Administrator anmelden. Versuche Avira nochmals ans Laufen zu bringen. Rückmeldung ist Pflicht

Zitat:

Zitat von Redwulf

Mausi, ich denke du führst das Programm nicht mit Administrator Rechten aus.

In Windows Vista ist der Administrator standardmäßig deaktiviert

Zur Benutzerverwaltung gelangt man wie folgt:

Systemsteuerung -> System und Wartung -> Verwaltung ->
Computerverwaltung -> Lokale Benutzer und Gruppen -> Benutzer
in den Eigenschaften des Administrators das Häkchen bei Konto ist deaktiviert entfernen.

Jetzt kannst du dich in Vista als Administrator anmelden. Versuche Avira nochmals ans Laufen zu bringen. Rückmeldung ist Pflicht

Muss jetzt ins Bett,
werde es morgen aber probieren und hier Rückmeldung geben,
danke für die Geduld und Hilfe^^

Gerne......gute Nacht

Habe mittlerweile die neue Version 9 von Avira installiert,
nachdem ich alles gescannt habe,
wurde ein Trojaner gefunden, dieser konnte in die Quarantäne verschoben werden und anschließend gelöscht, sodass er beim erneuten Scan nicht mehr auftaucht.

[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a252525.qua' verschoben!

Desweiteren habe ich mich als Admin angemeldet und auch hier den Scan des gesamten Systems durchgeführt,
folgendes kommt dabei am Ende heraus:

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '39' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: Donnerstag, 19. März 2009 13:06
Benötigte Zeit: 23:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

24408 Verzeichnisse wurden überprüft
423050 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
423048 Dateien ohne Befall
1956 Archive wurden durchsucht
2 Warnungen
1 Hinweise

Um nochmal auf den Trojaner zurück zu kommen,
sollt eich noch andere Programme testen und das System scannen,
oder sollte das jetzt soweit OK sein?
Und der Scan als Admin ist jetzt auch i.O.?
Mfg,
Mausi

Das weiss ich nicht....

Zuerst solltest du dies zur Kenntnis nehmen:

Dein System ist kompromitiert...... der Trojaner war da und wir wissen nicht was noch da ist... Theoretisch könnte auch ein rootkit in deinem System sein..

Erklärung Rootkit:
Der Begriff beschreibt ein kleines Tool, das sich in ein Betriebssystem eingräbt und dort als Deckmantel für weitere Programme dient. In einem Rootkit können sich Viren ebenso verstecken wie ausgefeilte Spionagetools. Das Perfide: Während diese Programme sonst von jedem Virenscanner früher oder später erkannt würden, fallen sie dem System dank der Tarnung durch das Rootkit nicht mehr auf. Erst wenn diese Tarnung fällt, ist der Virus verwundbar...


DRINGENDER HINWEIS VORWEG: KEIN ONLINEBANKING, EBAY etc. MEHR

Hinweis: kompromitierte Systeme sollten neu aufgesetzt und abgesichert werden http://www.trojaner-board.de/51262-a...sicherung.html

Um den Virus zu entfernen, um sicher Backups zu machen oder obigen Hinweis aus diversen Gründen zu ignorieren, befolge folgende Schritte:
Natürlich alles unter dem Hinweis das die ganze Sache auch schiefgehen kann und du um ein Neuaufsetzen nicht herumkommen wirst.

Lade dir folgende Software herunter und installiere diese, bitte unternehme nichts auf eigene Faust sondern folge den folgenden Anweisungen. VORWEG: Die Reihenfolge sollte unbedingt eingehalten werden.....

Code: Alles auswählenAufklappen

ATTFilter

Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!!
Download von Avenger 
Download von Malwarebytes Anleitung:  Malwarebytes Anti-Malware  <--- dl Linkin der Erklärung LESEN !!!
Download von Gmer 
Download von MBR.exe 
Download von SDFix
         

Für Vista User: Du alle Programme als Administrator ausführen ( Rechtsklick )

Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus.

Punkt 1.
Bitte deaktiviere deine Systemwiederherstellung:

Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar..

Für Vista

Punkt 2.
Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen )

Für Vista User

Punkt 3.
Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden.

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Punkt 5.
Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen
Gehts immer noch nicht, gehe zu Punkt 6.

Punkt 5.
Wieder zurück zu deiner Internetverbindung: Stelle den Eintrag DNS automatisch beziehen wieder her, falls dies nicht mittlerweile wieder auf automatisch steht..

Punkt 6.
Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.
Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um

Weiteres kommt dann nach diesem Logfile von mir.....

Hallo,
vielen Dank für die ausführliche Anleitung,
werde dies morgen im Laufe des Tages versuchen,
und mich dann hier melden.
Dennoch frage ich mich,
ob es nicht in Zukunft besser wäre,
bei der Installation von Windows eine kleine C Partition von etwa
50GB zu machen, dort nichts zu installieren außer das Betriebssystem,
dann D Partition um dort alle Programme zu installieren,
und C als Speichermedium für was sonst so anfällt,
anschließend ein Backup von C machen,
um bei Trojaner/Virenbefall nur das Backup von C neu aufsetzen zu müssen.
Oder liege ich da mit meiner Theorie ganz falsch?

Leider ja, wenn ein Virus auch auf USB Sticks springt, hält ihn auch nichts von einer anderen Partition ab....mal einfach ausgedrückt.
Es gibt aber Hinweise hier im Board wie man trotzdem sicher unterwegs sein kann. Ich warte dann mal auf deine Logs..

Hallo,
habe die Anwesiung soweit befolgt,
hier die logs:

Punkt 4.
Aktiviere MBR.exe Lass es laufen und poste das Logfile hier.

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

--------------------------------------------

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1878
Windows 6.0.6001 Service Pack 1

20.03.2009 19:16:50
mbam-log-2009-03-20 (19-16-50).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 257558
Laufzeit: 21 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\progs unin + v2b\WebCamDriver\InstallShield\Setup.exe (Trojan.Agent) -> Quarantined and deleted successfully.

--------------------------------------------------
gmer log
http://www.file-upload.net/view-1539927/gmer-log.jpg.html

Mir fehlt noch das GMER Logfile

Sry,hatte das falsch gemacht mit dem log,
das müsste jetzt das richtige sein>>
--------------------------------------

GMER 1.0.15.14944 - http://www.gmer.net
Rootkit scan 2009-03-21 01:10:24
Windows 6.0.6001 Service Pack 1


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x77 0x08 0x50 0xE0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x21 0x84 0x47 0x7F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x24 0xC7 0x8A 0x78 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x2A 0x9E 0x34 0xAC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x77 0x08 0x50 0xE0 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x21 0x84 0x47 0x7F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x24 0xC7 0x8A 0x78 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x2A 0x9E 0x34 0xAC ...

---- Files - GMER 1.0.15 ----

File C:\Users\D---\AppData\Local\Temp\plugtmp-6\plugin-f24_263-162.xml 0 bytes
File C:\Users\D---\AppData\Local\Temp\plugtmp-6\plugin-f24_263-163.xml 0 bytes

Eines habe ich noch:

Dieser Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoActiveDesktopChange s (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully

ist ein false positive in Malwarebytes.. Das du ihn gelöscht hast, ist nicht sonderlich schlimm. Wenn du ihn wieder herstellen möchtest, kopiere bitte den Inhalt der Codebox in ein Notepad Textfeld.

Code: Alles auswählenAufklappen

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=dword:00000001
         

Wähle nun Speichern als...... wähle als Dateityp ALLE und nenne es fix.reg

Als Speicherort nimmst du den Desktop.

Nun ein Doppelklick auf diese Datei als Admin, Anfragen bejahen und schon
ist der alte Zustand wieder hergestellt.

Beim nächsten Scan setzt du diesen Eintrag einfach auf die Ignorliste..

Da fehlt aber noch was beim GMER Scan...