beseitigen einer schädigenden .sys datei

Hallo,

habe einen 1 1/2 jahr altes notebook, fujitsu amilo, betrieben mit windows 7 home premium (upgrade version).

hab beim entpacken einer datei einen virus bekommen. hab mithilfe von Avira alles beseitigt, doch seitdem habe ich eine datei unter

C:windows/system32/drivers die sich nicht lesen lässt und auch eine systemwiederherstellung verhindert:

warccnzfy.sys

ich bekomme seitdem sehr oft die meldung kritischer fehler, windows wird in einer minute neu gestartet, speichern sie ihre dateien und dann geht er aus und wird neu gestartet

erstellungsdatum der datei stimmt mit der infektionzeitpunkt überein, und jedes mal beim neustarten wird das änderungsdatum dieser datei aktualisiert, daher dachte es würde was mit diesem virus zu tun haben?

beim virusscan bekam ich bloß eine warnung, dass diese datei sich nicht öffnen lässt, sonst habe ich scheinbar kein virus drauf...

aber der computer geht ständig nach dieser meldung aus...

HILFE! :'(

Das hier bitte mal lesen und abarbeiten:

http://www.wintotal-forum.de/index.php/topic,157790.msg794831.html#new

Hallo geöf

beim virusscan bekam ich bloß eine warnung, dass diese datei sich nicht öffnen lässt, sonst habe ich scheinbar kein virus drauf...

Zum Vergrößern anklicken....

das wird eine versteckte Datei sein.....hm ...

Hast Du eigentlich alle Updates von Avira getätigt? Dieses (SP1) von Avira auch ?

Ein HijackThis LOG wäre erstmal aufschlussreich , aber das hat ja schon audipaule geschrieben. Hast Du mal einen extrigen Rootkitscan seperat gemacht? Bitte wenn, dann auf die Lupe klicken, bzw, den Scan mit rechtsklick (Maus) machen.

Hier:



wenn Du gefragt wirst , dies hier:

bitte auf NEIN klicken !

kannst du den Treiber warccnzfy.sys mit Rechtsklick unter Eigenschaften aufrufen und unter Details Dateibeschreibung, Typ, Produktname und Copyright hier posten?

pan_fee

danke,

ich glaube schon, die ich die aktuellsten updates von avira habe...

ein rootkitscan hat nichts ergeben...

mittlerweile geht nur der abgesicherte modus...ich kann im normalen modus gar nichts mehr ausführen, weil ein komischer pseudo- virusscan dann läuft (antivirus scan demo heißt es in der symbolleiste) der dann systematisch die ausführung verweigert (z.B. mozilla.exe ist infeziert und kann nicht ausgeführt werden) das sieht aber sehr billig aus, und die einzige option ist purchase protection now...

leider kann ich keine screenshots machen...ich versuche nachher ein bild hochzuladen...

zur datei selbst: Unter eigenschaft>details steht nur der typ: systemdatei und die dateigröße: 749kb sonst nichts...

ich bin mir inzwischen ziemlich sicher dass es an dieser datei liegt...und würde es mit löschen versuchen, wenn ich nur wüsste wie das geht...

Klingt nach einer weiteren Scareware/Malware-Variante, leider ist Avira auf so etwas nicht spezialisiert...

Deiner Anfrage im Hijackthis-Forum nach ist auch der Taskmanager blockiert... Selbst über die Tastenkombination->Shift+Strg+ Esc' geht's nicht? Kannst du irgendeine exe-Datei im normalen Win-Modus starten? z.B. den Iexplorer oder telnet.exe oder was anderes Exotisches? Falls ja, den Sys-Explorer von http://technet.microsoft.com/de-de/sysinternals/bb896653 runterladen und in die entsprechende ausführbare Datei umbenennen und versuchen zu starten. Entsprechende unbekannte Tasks hiermit->abschießen'... es gilt die->antivirus scan demo' aus dem Arbeitsspeicher zu entfernen!

Ansonsten das Win im->Abgesicherten Modus' starten, MBAM von hier http://www.malwarebytes.org/mbam.php laden und installieren, updaten lassen und->nen Komplett-Scan durchführen lassen. Bei Fund und erfolgreicher Entfernung, Avira updaten lassen und ebenso einen Scan initiieren...

Mit Glück lässt sich das Ganze so aus der Welt schaffen

Hilfreich wären evtl. ein Screenie von der vorgeblichen Software->antivirus scan demo' oder genauere Angaben darüber, falls ermittelbar!

Danke!

Malwarebytes hat die verdächtige sys. datei als malware erkannt, konnte sie aber nicht beseitigen, beim neustart hat sie sich jedes mal neu installiert...ich habe sie dann einfach mit einer Linux desinfect CD gelöscht und alles funktionniert wieder einwandfrei!

Angeblich soll die betreffende Malware über Trojaner eingeschleust werden... vermutlich musst MBAM deswegen passen. Dann mal eine virusfreie Zeit noch

http://www.wintotal-forum.de/index.php/topic,147847.0.html

Nach der Bereinigung

Systemwiederherstellung deaktivieren und wieder aktivieren:

* Deaktiviere die Systemwiederherstellung
* Start => ausführen => tippe sysdm.cpl => [OK] oder [Enter] drücken
* Wähle den Reiter Systemwiederherstellung bzw. Computerschutz
* Mache einen Haken bei Systemwiederherstellung auf allen Laufwerken deaktivieren => drücke Übernehmen
* der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist
* den Haken wieder entfernen und [OK] drücken
* wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

* Bitte besuche die Windows Update Seite und lade Dir alle Updates, die Dir über die Schaltfläche Benutzerdefiniert angeboten werden.

Zum Vergrößern anklicken....

Und zu empfehlen: alle Passwörter ändern ( könnten ausspioniert worden sein!).