GData AntiVirenKit Virenwarnung

O

o.B.d.A.

New member
Hallo zusammen!
Ich nutze auf zwei PCs GData Internet Security 2006/2007 und zusätzlich Spybot S&D. Beim Hochfahren wurde mir auf beiden PCs vor einigen Tagen folgende Virenwarnung angezeigt:
Virus: Trojan.Win32.StartPage.anv
Datei: RegUBP2b-[BENUTZERNAME].reg
Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots
Nachdem ich als Aktion Desinfizieren und ansonsten in Quarantäne verschieben ausgewählt habe (wurde in Quarantäne verschoben), trat später folgende Virenwarnung auf:
Virus: Trojan.Win32.StartPage.anv
Datei: a0166649.reg (bei dem anderen PC war es ein ähnlicher Dateiname)
Verzeichnis: C:\system volume information\_restore{29d3e208-3128-4d06-ba95-4f55c32d679f}\rp892 (bei dem anderen PC war die Datei ebenfalls in einem Restore-Ordner)
Als Prozesse der Virenwarnungen wurden immer TeaTimer.exe, cidaemon.exe, [System Process] genannt.
Mittlerweile tritt "von alleine" keine Virenwarnung mehr auf. Allerdings kommt es immer zu solchen Warnungen, wenn ich in der System Tray den Spybot-SD Resident beende.
Wenn ich dann Desinfizieren und ansonsten in Quarantäne wähle (wurde in Quarantäne verschoben) kommt es teilweise zu einer CPU-Auslastung von 100%.
Wenn ich das System mit GData AntiVirenKit gründlich scannen lasse, findet dieser keinen Virus, allerdings tritt bei Beendigung des Resident die Warnung wieder auf.
Auch ein Scan mit Spybot, Ad-Aware und a-squared Free brachte keinen Fund.
Leider konnte mir der GData-Support nur unzureichend weiter helfen. Deshalb hoffe ich, dass ich vielleicht hier bessere Unterstützung erfahre, da es sich vielleicht auch nur um einen Konflikt der Programme handelt.
Hier noch eine Virenbeschreibung http://www.antiviruslab.com/description.php?virus=592763&lang=de.

Schon einmal vielen Dank im Voraus!

Viele Grüße
o.B.d.A.
 
Erst einmal vielen Dank für die schnelle Antwort! :bigthumb:
Habe die Systemwiederherstellung ausgeschaltet, neu gestartet, Resident beendet und als Aktion Desinfizieren und ansonsten in Quarantäne verschieben gewählt, erneut neu gestartet und dann die Systemwiederherstellung angeschaltet.
Nach einem erneuten Neustart habe ich den Resident beendet, allerdings erneut die Viruswarnung (in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots) erhalten. :sad:
Was könnte ich noch versuchen?

Viele Grüße
 
Last edited:
Du koenntest die Datei in dem Spybotordner loeschen, oder aber schicke diese Datei bitte an virus at rokop-security.de und detections at spybot.info
 
Da das Desinfizieren nicht funktioniert, wird die Datei automatisch in die Quarantäne verschoben. Damit habe ich doch eigentlich den gleichen Effekt wie beim Löschen, oder?
Wollte die Datei gerade eben für die Mail raussuchen, allerdings war diese an der angegebenen Position nicht vorhanden. D.h., dass die Datei bei Beendigung des Resident erzeugt wird und deshalb vom Virenwächter (also der permanenten Virenüberwachung) erkannt wird. Da ich als Aktion dort immer "Desinfizieren und ansonsten in Quarantäne" ausgewählt habe, befindet sich die Datei dann wohl nicht mehr auf meinem System (weshalb der Scan mit AntiVirenKit, Spybot, Ad-Aware und a-squared Free wohl keinen Fund brachte). Die Frage ist nur was für eine Funktion die Datei für Spybot hat und warum der Virenscanner Alarm schlägt? Das diese Meldung anfangs auch beim Hochfahren kam lässt sich dadurch erklären, dass dieser Virus/Trojaner erst kürzlich in die Virendefinitionen aufgenommen wurde (siehe Link zur Virenbeschreibung). Allerdings ist verwunderlich, wie der Virus/Trojaner es in den Restore Ordner des System geschafft hat. Eigentlich kann es sich doch aber nicht um einen Fehlalarm handeln, oder? Es ist ja schließlich kein möglicher Virus, sondern ein genau definierter. Und da der Virenscanner eine Datei und keinen Prozess benennt, kann es doch auch nichts mit der Funktionsweise von Spybot, sondern nur mit dem Inhalt der Datei zu tun haben.
Ich könnte natürlich die Datei jetzt "erzeugen", dem Virenwächter sagen er soll nichts unternehmen und dann diese Datei an die oben genannten Adressen verschicken. Allerdings weiß ich ja nicht in wie weit dadurch eine Gefahr entsteht, da der Virenscanner der Datei dann "freien Lauf" lässt.
Kann man mit dieser Beschreibung und eurem Wissen bezüglich der Funktion dieser Datei (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots\RegUBP2b-[BENUTZERNAME].reg) für Spybot Schlüsse ziehen?
 
Hi

Hallo o.B.d.A.!
Ich habe ziemlich genau das selbe Problem wie du!
Ich habe auch den GData AVK Wächter und nutze auch Spybot.
Auch bei mir zeigt der Virenwächter, sobald ich den Teatimer beende, den Virus Trojan.Win32.StartPage.anv
als Datei
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots\RegUBP2b-[BENUTZERNAME].reg
an, genau wie bei dir. Auch bei mir nützt das Löschen dieser Datei nichts.
Genau wie du, habe ich auch schon Ad-aware angewendet, sowie CWShredder, The Cleaner und TFAK. Ich habe auch schon parallel zum AVK Wächter AntiVir installiert und es die Festplatte durchscannen lassen, während der AVK-Wächter deaktiviert war. Auch ohne Fund. Ich habe auch den Online Scanner Kaspersky durchlaufen lassen, der auch nichts gefunden hat.
Der AVK-Wächter erkennt also nur den Trojaner, sobald ich den Tea-Timer von Spybot deaktiviert habe.

Zur Funktion des Trojaners kann ich auf Grund dessen Namens (Trojan.Win32.StartPage.anv) sagen, dass warscheinlich mein PC seit diesem Trojaner beim Windows XP Start ab und zu hängen bleibt bei der Meldung "Windows XP wird gestartet" oder beim Anmelden der Benutzer.
Kommt dir das bekannt vor?

Was ich auch sehr mysteriös finde, ist das ich vor Kurzem eine verdächtige Mail bekam.



Absender: sec@iinet.net.au
Anhang: (Virusentfernt)Update-KB3250-x86.zm9 (335 B)
Nachricht:
Do not reply to this message

Dear Customer,

Our robot has fixed an abnormal activity from your IP address on sending e-mails.
Probably it is connected with the last epidemic of a worm which does not have patches at the moment.
We recommend you to install a firewall module and it will stop e-mail sending. Otherwise your account will be blocked until you do not eliminate malfunction.

Customer support center robot


Den Anhang habe ich nicht geöffnet, da mir das alles zu verdächtig erscheint.
Ich benutze die Firewall von ZoneAlarm, allerdings muss ich dazu sagen, dass diese nicht auf dem neuem Stand ist. Sie ist etwa seit 1-2 Jahren nicht mehr erneuert worden, da dies meine langsame Internetverbindung nicht zulässt.

Tipp an o.B.d.A.: Probier mal Trojan Remover aus das kannst du 30 Tage lang gratis testen. Das hat mir schon mal geholfen. Leider sind bei mir die 30 Tage abgelaufen und ich kann es nicht nochmal ausprobieren.

Was soll ich nur tun?
Bin für jede Hilfe dankbar.:bigthumb:
 
Die Mail enthielt als Anhang einen Warezov, der aber wohl schon geloescht wurde.
An dich die gleiche bitte die Datei an obigen Adressen zu schicken.
 
hi

Warezov??? Was ist das?
Was man dazu noch sagen sollte ist, dass ich die Mail erst nachdem ich den Trojaner schon hatte bekam. Den Anhang habe ich nicht geöffnet, ihn aber kopiert und dann diese Kopie mit dem AVK-Wächter gescannt, auch ohne Fund.

Was soll ich in die Mail schreiben, in der ich die Datei als Anhang mitschicken soll? Ich weiß ja nicht in wie fern die mit solchen Schädlingen zu tun haben. Ich will ja nicht, dass sie sich noch infizieren.:oops:
Soll ich den Beitrag aus dem Forum übernehmen?
 
Warzov/Stration ist ein Wurm, der zur Zeit recht haeufig unterwegs ist. Der ist in diesen Fall auch untinteressant. Es geht um die Datei, die AVK als Trojaner meldet. Das wird wohl ein Fehlalarm sein.
 
Das Problem scheint sich von selbst gelöst haben. Die Virenmeldung taucht nicht mehr auf. Vielleicht liegt das an einem Update vom AVK-Wächter. Scheint wohl doch Fehlalarm zu sein. Danke für die Hilfe.:bigthumb:
 
You must log in or register to reply here.
Back
Top