Problem mit Virenscanner: Endlos-Scan

Dieses Thema Problem mit Virenscanner: Endlos-Scan im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Nobbi2, 7. Sep. 2008.

Thema: Problem mit Virenscanner: Endlos-Scan Ich habe hier ein ungewöhnliches Problem mit einem Virenscanner: Ein Kollege hat mir seinen Yakumo-Laptop zur...

  1. Ich habe hier ein ungewöhnliches Problem mit einem Virenscanner:
    Ein Kollege hat mir seinen Yakumo-Laptop zur Entseuchung gegeben, weil sich diverse Spy- und Malware darauf eingenistet hat (u.a. Antivirus XP 2008). Sein Betriebssystem ist Win XP Home SP2 und wurde, soweit ich sehen kann, regelmäßig mit Updates versorgt. Als Virenscanner hat er F-Secure Antivirus for Workstations v7.11 laufen.

    Mit dem wollte ich zuerst mal einen kompletten Scan des Systems machen, um mir einen Überblick zu verschaffen. Der Scanner fand aber einfach kein Ende. Ich habe ihn stundenlang laufen lassen und bei knapp 300.000 gescannten Dateien erst mal aufgehört und mich den üblichen Spyware-Tools zugewandt (bis jetzt Sbybot, Malwarebytes Anti-Malware und natürlich das obligatorische Hijackthis). Die haben auch so einiges gefunden und das System scheint mir jetzt relativ sauber zu sein (ich bin aber noch nicht durch).

    Jedenfalls wollte ich gestern abend nochmal einen Komplettscan mit F-Secure machen, aber da ging das Spielchen wieder los: Der Scan kam einfach nicht zum Ende. Ich hab ihn die ganze Nacht durchlaufen lassen (bestimmt 10 Stunden) und momentan steht er bei über 560.000 gescannten Dateien und macht fröhlich weiter. Das kann ich einfach nicht mehr glauben. Ich bin ja schon ein ziemlicher Power-User (ganz im Gegensatz zu meinem Kollegen) und habe trotzdem nur gut 200.000 Dateien auf meiner C:platte.

    Was mir sehr verdächtig vorkommt: Der Scanner rödelt immer nur in einigen wenigen Verzeichnissen herum, nämlich in den Unterverzeichnissen von C:\Windows\WinSxS\
    Ich habe nachgesehen, da sind im wesentlichen nur eine Handvoll kleiner DLLs drin. Das kann doch nicht so lange dauern? Mein erster Verdacht war, daß vielleicht irgendein Virus den Scanner mit ständig neu erzeugten Fake-Dateien auf Trab halten will. Aber das glaube ich mittlerweile auch nicht mehr. Ändert vielleicht Windows an diesen Verzeichnissen laufend etwas, so daß sie dauernd neu gescannt werden?

    Bevor jetzt also der Virenscan zum Festplatten-Dauertest verkommt: Kann mir jemand einen Tip geben, wo hier das Problem liegt?

    [br][blue]*PCDpan_fee: Verschoben aus "Firewalls & Virenscanner"*[/blue]
     
  2. nur als Tipp:
    betrachte den Rechner als derzeit immer noch verseuchte Kiste an und nicht als normales System.
    Du könntest den User schrauber bitten sich in dein Problem einzuklinken. Schrauber kann jedenfalls feststellen ob und inwieweit noch Malware drauf ist.
     
  3. moin moin :)

    mach mal folgendes:

    lass RSIT nach dieser Anleitung laufen, poste mir die Logs.


    gruß

    schrauber
     
  4. Selbstverständlich. Die direkt sichtbaren Probleme sind weg, aber mir ist natürlich klar, daß sich da noch mehr verstecken kann.

    Ok, ich habe die Logs, kann sie aber nicht posten, da zu lang. Ich werde sie nachher mal irgendwo hochladen und dann verlinken.
     
  5. Danke, da muß ich schon nicht suchen :1

    Hier also die Logs:

    log.txt
    info.txt

    Ich hab selber schon mal kurz drüber geschaut. Scheint als ob da noch ein paar Sachen herumschwirren...
     
  6. das kann man so sagen :D

    arbeite die anleitung genau punkt für punkt ab:

    Dienst beenden:
    Start => ausführen => cmd.exe => OK. In der Dos-Box nacheinander die folgenden Befehle ausführen:

    Code:
    sc stop hardlock
    sc delete hardlock
    sc stop Sentinel
    sc delete Sentinel
    sc stop NAL
    sc delete NAL
    sc stop OLYMRYE
    sc delete OLYMRYE
    sc stop cbidf
    sc delete cbidf
    sc stop winsck
    sc delete winsck
    exit
    Rechner neu starten.

    =====

    Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte alle Dateien wählen)

    Code:
    Windows Registry Editor Version 5.00
    
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Arcor Online]
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft (R) Windows Network Latency Controller]
    
    
    Starte die regfix.reg duch Doppelklick.

    ====

    folgende dateien bei www.virustotal.com/de scannen. button filter drücken, ergebnis hier posten

    C:\WINDOWS\system32\kccpqpkb.dll
    C:\WINDOWS\system32\vgbyxpkl.dll
    C:\WINDOWS\system32\bb138286-.txt
    C:\WINDOWS\system32\qkkthase.ini
    C:\WINDOWS\system32\ojozjl.dll
    C:\WINDOWS\system32\ufeqewnm.dll
    C:\WINDOWS\system32\vrtpablp.dll
    C:\WINDOWS\system32\synteqf.dll
    C:\WINDOWS\system32\seoofgaow.dll
    C:\WINDOWS\system32\mpoqjk.dll
    C:\WINDOWS\system32\ajwpkhdh.dll

    ====

    Dein Adobe Reader ist nicht aktuell, deinstalliere die alte Version über Start => Programmzugriff und -standards => Programme ändern oder deinstallieren, klicke dort Adobe Reader x.0 und deinstalliere das Programm. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

    ====

    Downloade nun Java (Java Runtime Environment (JRE) 6 Update 7) von SUN und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du Accept License Agreement aktivierst.

    ====

    starte hijackthis, klicke do a system scan only und setze einen haken vor folgende kästchen:

    Code:
    O2 - BHO: {4a555707-a7b1-95c8-d3c4-eef2aea5355e} - {e5535aea-2fee-4c3d-8c59-1b7a707555a4} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
    
    
    schliesse alle fenster und klicke auf fix checked.

    ====

    Kaspersky Online Scan
    Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

    Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
    Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
    • Browser öffnen und
    • Kaspersky Online Scanner ansurfen.
    • Die Datenschutzerklärung akzeptieren.
    • Die nötigen ActiveX-Steuerelemente installieren lassen.
    • Update der Signaturen installieren lassen => Weiter
    • Scan-Einstellungen => Standard wählen => OK
    • Link Arbeitsplatz anklicken
    • Scan beginnt automatisch
    • Untersuchung wurde abgeschlossen => Protokoll speichern als...
    • Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
    • Logdatei hier posten.
    • Deinstallation
    • nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
      => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>



    gruß

    schrauber
     
  7. Die genannten Online-Scans werden nicht gehen, weil der Laptop nicht am Netz hängt (ich tausche Daten nur über einen Stick aus). Der Kollege benutzt WLAN und ich Kabel-DSL, sein Equipment habe ich nicht hier. Ich könnte ihn theoretisch per LAN über meinen Rechner ins Netz lassen, aber das will ich nicht riskieren...

    Zu den anderen Befehlen in der Anleitung habe ich vorher noch ein paar Fragen: Löscht der SC DELETE-Befehl die genannten Dienste für immer oder nur vorübergehend? Ich frage weil hardlock und Sentinel wahrscheinlich zu einem Dongle-geschützten Programm gehören, das auf dem Laptop läuft. Nicht daß das nachher nicht mehr funktioniert. OLYMRYE dürfte zum Programm Cam2Com gehören, einer Fernsteuer-Software für Olympus-Kameras. Sollte eigentlich harmlos sein (und wird sowieso bald wieder deinstalliert).
     
  8. Bin auf der Arbeit, laß die dienste Weg.
     
Die Seite wird geladen...

Problem mit Virenscanner: Endlos-Scan - Ähnliche Themen

Forum Datum
SEHR DRINGEND: Probleme bei Upgrade auf Windows 7 Windows Vista Forum 13. Nov. 2016
Problem - Laptop mit angeblich win 10 und win 7 Windows 10 Forum 13. Nov. 2016
Dualboot Windows Uhrzeit Problem Windows 10 Forum 10. Nov. 2016
W10M - Glance Screen & DTTWU Probleme Windows 10 Forum 4. Nov. 2016
probleme mit windows 7 update bitte um hilfe. Windows 7 Forum 4. Nov. 2016