Hallo zusammen,

ein sehr guter Kumpel von mir hat seit 4 Wochen ein massives Problem mit seinem Antivirenprogramm Bitdefender.

Und zwar verschiesst Bitdefender ihm regelmäßig mit diversen Virenwarnungen im Windows-Ordner seine XP-Installation.

Die angeblichen Funde gehen bishin zu den System Volume Informations seiner Festplatten, die dann eigenhändig von Bitdefender gelöscht werden.

Weitere Dateien, die Bitdefender versucht hat, zu löschen, waren:

- nvgts.sys, die S-ATA-Treiber (2x, vor 3 Wochen und vor 3 Tagen)

Desweiteren wollte Bitdefender die explorer.exe blockieren.

Die Systeminformationen sind:

- Athlon 64 X2 5200+,
- 4 GB DDR2 800 CL5,
- GTX 260 Gainward GS,
- Soundblaster Audigy 2 ZS (Soundkarte)
- 500 GB Western Digital und 1,5 TB Western Digital (nicht vollständig partitioniert) (beide intern)
- 500 GB extern Western digital Mybook
- Windows XP SP3

Sonstige Peripheriegeräte sind unter anderem ein Corsair Voyager GT 16 GB USB-Stick.

Er hat DirectX 9 2010 installiert.
Hat irgendjemand ähnliche Probleme und kann weiterhelfen?

Danke und Viele Grüße
Arrow

Wenn das seit 4 Wochen so geht möchte ich ein false positive ausschließen. Hat er denn zwischendurch mal neu installiert oder was hat er gemacht?
Wenn mal wieder eine bekannte Systemdatei als Virus erkannt wird lade sie mal hier hoch und schau was andere Scanner dazu sagen: www.virustotal.com

EDIT:
Sind denn alle Updates installiert? Und mit "alle" meine ich nicht nur Windows sondern auch Java, Flash, PDF, QuickTime usw.

MfG
Rooter

Hat irgendjemand ähnliche Probleme und kann weiterhelfen?

Bitdefender runterschmeissen?

Übrigens... Übersetzt heisst das soviel wie "Bitverteidiger". Frag das Ding doch mal, welche Bits es genau verteidigt und wozu. Ich meine, Windows als Feind zu betrachten und sich selbst dagegen zu verteidigen entbehrt nicht gleich jeglicher Logik...

Kann sehr gut ein Rootkit sein. Was genau findet der Bitdefender denn?

Er hat DirectX 9 2010 installiert.

Hat deiser Hinweis einen bestimmten Grund bzw. hegst Du in diesem Zusammenhang einen Verdacht?

Kann sehr gut ein Rootkit sein. Was genau findet der Bitdefender denn?
Ein Rootkit wäre deutlich unauffälliger. :freak:

http://www.free-av.com/de/produkte/12/avira_antivir_rescue_system.html
Mal zum gegentesten die CD nehmen. Antivir ist zwar nicht das NonPlusUltra, aber zum Vergleich geeignet. Vollen Scan machen lassen.

Hallo zusammen,

Hat er denn zwischendurch mal neu installiert oder was hat er gemacht?

Er hat das XP inzwischen 3x komplett neu installiert, inkl. Auflösung aller Partitionen.

Sind denn alle Updates installiert?
Flash ist aktuell, Java ist aktuell, Firefox ist aktuell, Winamp ist aktuell, die Microsoftupdates sind aktuell.

Hat deiser Hinweis einen bestimmten Grund bzw. hegst Du in diesem Zusammenhang einen Verdacht?

Nein, ich dachte lediglich,das könnte wichtig sein, als Schnittstelle ist dieses nicht ganz unwichtig.

Was genau findet der Bitdefender denn?

Meistens waren es Trojaner, bei einem Lock-On Mod hat er einen angeblichen Trojaner gefunden, obwohl mein Kumpel diese Datei bereits seit Jahren im Einsatz hat und die Datei bislang noch nie Probleme gemacht hat. Bei der vorherigen Version von Bitdefender kam kein Alarm.

Dieser und andere Mods, welche von Bitdefender mokiert wurden, kommen von Lockonfiles.com und vom virtuellen Jagdbombergeschwader 32, welche seriöse Hoster sind.

Kurz vor Beginn der Probleme hat er die Registryüberprüfung und die Cookie,- und Skriptüberprüfung von Bitdefender angeschaltet. Er hat diese Funktionen inzwischen wieder abgeschaltet.

Was noch wichtig sein könnte: er hat bei Mozilla Firefox das Add-On NoScript installiert, das Javascripte verbietet.

Viele Grüße
Arrow :smile:

Ein Rootkit wäre deutlich unauffälliger. :freak:
Nicht, wenn es schlecht gemacht ist.

Er hat das XP inzwischen 3x komplett neu installiert, inkl. Auflösung aller Partitionen.
Bootkits beginnen meist im MBR und der Windowstreiber liegt im nicht partitionierten Bereich. Dann bringt die Methode nichts.
Versuche es mal mit MBR rootkit detector (http://www.gmer.net/).

Er hat das XP inzwischen 3x komplett neu installiert, inkl. Auflösung aller Partitionen.mmm...

Die Frage ist wohl, von welchen Quellen lädt er immer wieder etwas oder was benutzt er gerne? P2P- Software oder ähnliches kann schon Probleme machen.

mmm...

Die Frage ist wohl, von welchen Quellen lädt er immer wieder etwas oder was benutzt er gerne? P2P- Software oder ähnliches kann schon Probleme machen.

Naja, P2P-Software nutzt er meines Wissens nach keine, im allgemeinen pflegt er eine sehr legale Arbeitsweise.:wink:

Er hat einen altes Firstloadprogramm auf der Festplatte,benutzt dieses jedoch schon seit Monaten nicht mehr. Dies kann eigentlich nicht das Problem sein. Er hat gestern bei einer Routineüberprüfung im Autostart einen Eintrag gefunden, der merkwürdig ist.

Das ist ein Eintrag, der beim Autostart automatisch mithochfährt, der jedoch in der Registry nicht zu finden ist. Informationen zu Hersteller = keine vorhanden :eek:

Bootkits beginnen meist im MBR und der Windowstreiber liegt im nicht partitionierten Bereich. Dann bringt die Methode nichts.
Versuche es mal mit MBR rootkit detector.

Danke für den Tipp, er wird es mal versuchen.0

Viele Grüße
Arrow :frown:

Er hat gestern bei einer Routineüberprüfung im Autostart einen Eintrag gefunden, der merkwürdig ist.

Das ist ein Eintrag, der beim Autostart automatisch mithochfährt, der jedoch in der Registry nicht zu finden ist.Ist evt. nicht in der Reg weil ein Rootkit ihn versteckt!? ;)

Lass doch mal HijackThis (http://www.hijackthis.de/) drüber laufen.

MfG
Rooter

Er hat gestern bei einer Routineüberprüfung im Autostart einen Eintrag gefunden, der merkwürdig ist.
Was denn für einen Eintrag und was für eine Routineüberprüfung?

Hallo zusammen,

vielen Dank für eure vielreichen Tipps und Tools.:smile:
Mein Kumpel hat das Problem zwischenzeitlich gelöst, er hat ein Tool installiert,welches den MBR, sowie die System Volume Informations während des Systemstarts überprüft.

Das Problem hat sich dadurch erledigt.:up::up:

Viele Grüße und schönen Montagmittag
Arrow