spotzwei
Goto Top

Virenscanner Avira Antivir Personal hängt sich auf bei Prüfung der Registry bei SPTD

Treiber sptd.sys wurde gelöscht, keine Daemon-Tools oder Alcohol installiert. Trotzdem bleibt der Virenscanner immer an diesem Registry-Eintrag hängen.

Schnell zur Einleitung: Windows XP mit allen Updates und Service-Packs installiert, Plattform ist ein Asus A7N8XE-Deluxe mit Athlon XP, genügend Megahertzen und Auslauf im Speicher. Firewall von Comodo, Virenschutz von H+B EDV Avira Antivir Personal (OHNE Guard). Dann noch ein Tool zur Desktop-Verwaltung im Speicher, MagicISO Virtual CD läuft auch mit. KEIN VIRUS oder andere Malware, auf Wunsch poste ich gern ein Log von HijackThis.
Nun zum Problem: Wenn der Planer von Antivir einen Suchlauf startet, bleibt die Suche bei etwa 52% hängen (bie eingeschalteter Rootkit-Suche), oder bei etwa 84%, wenn ich nur nach Rootkits suche.
48d87d20cff479dd8b0806659a5e036e-problem_antivir
Wie auf dem Bild ersichtlich, bleibt Luke Filewalker bei einem bestimmten Registry-Schlüssel hängen, das Problem ist nur, daß dieser Schlüssel scheinbar gar nicht existiert! Wenn ich mit Regedit diesen Schlüssel SPTD löschen will, bekomme ich die Meldung, daß dies nicht möglich ist, bei allen 3 CurrentControlSets. Auch im abgesicherten Modus kann ich ihn nicht löschen. Wie ich oben schon erwähnte, ist Alcohol 120 nicht mehr installiert, ich habe es schon mehrmals installiert und deinstalliert, der Schlüssel bleibt. Auch den SPTD-Treiber von Duplex-Secure habe ich installiert und deinstalliert, bin auch nach deren Deinstall-Anleitung vorgegangen, der Schlüssel läßt sich nicht mehr löschen. Ich habe auch das Device SPTD im Gerätemanager deinstalliert und natürlich alle Dateien gelöscht, welche irgendwie sptd*.* und dtscsi*.* heißen, sogar die Dateien gelöscht, in denen diese Worte auch nur vorkommen, trotzdem läßt sich dieser klebrige Schlüssel nicht löschen. Auch der Registry-Cleaner oder der CC-Cleaner löschen diese Schlüssel nicht. Ich bereue zutiefst die Installation von Alcohol und fühle mich wie der Zauberlehrling... Die Geister, die ich rief, werd ich nun nicht wieder los face-sad
Aber das seltsamste: Das Problem tritt nur dann auf, wenn die Suche per Planer gestartet wurde. Wenn ich einen Scan manuell anstoße per Antivir-GUI, läuft es ohne Probleme durch.
Also, wer kann mir einen Tip geben, wie ich diesen Registry-Schlüssel ohne Neuinstallation loswerde?
Wünsche einen schönen Ersten Advent!
Radio Fun

Content-ID: 102950

Url: https://administrator.de/contentid/102950

Ausgedruckt am: 24.11.2024 um 22:11 Uhr

education
education 29.11.2008 um 17:53:51 Uhr
Goto Top
ist ein systemdienst, was du probieren kannst:
cmd:
net stop sptd
20580
20580 29.11.2008 um 19:24:10 Uhr
Goto Top
Hallo,

Antivir hängt sich meistens auf , bei Updates der Software. Dieses hängt meistens mit dem UMB Bereich der Grafikkarte zusammen.Durch einen Exclude Befehl kannst Du da etwas bewegen.

Das löschen der Datei ist am einfachsten mit einer Boot CD von Linux.
Oder für nur XP User gibt es im Netz eine XP Boot CD , die ohne HDD nur von der XP CD ein voll lauffähiges XP installiert.

Da kann man alles was man will vom Original System löschen.

Mfg
SpotZwei
SpotZwei 29.11.2008 um 21:36:08 Uhr
Goto Top
Danke für die schnelle Antwort.
Es gibt keinen Dienst namens sptd (Systemfehler 1060: Der angegebene Dienst ist kein installierter Dienst). Die Datei sptd.sys habe ich ja auch schon gelöscht, bei den Diensten wird mir kein solcher Dienst angezeigt. Auch zeigt z.B. der Security Task Manager keinen Prozess an, der damit in Zusammenhang stehen könnte, zumindest sehe ich keinen.
Vielleicht kennt sich hier einer mit dem SCSI Pass Thru Driver aus und kann mir sagen, welcher Prozess da noch mitspielt.
SpotZwei
SpotZwei 29.11.2008 um 21:41:18 Uhr
Goto Top
Danke für die schnelle Antwort.
Der Fehler tritt nicht im Zusammenhang mit einem Update auf, sondern bei einem Suchlauf. Das Update führe ich separat aus, eine halbe Stunde vor dem Suchlauf, damit es da keine Konflikte gibt, gebe ich dem Update genügend Zeit sich sauber zu installieren.
Aber woher bekomme ich diese CD, ich kenne nur die Hirens Boot CD, die bietet nur Win98
Und kann ich mit dieser CD wirklich in der Registry einer nicht laufenden Windows-Installation rumschmieren? Das hört sich für mich unmöglich an.
education
education 30.11.2008 um 08:35:24 Uhr
Goto Top
Zitat von @SpotZwei:
Danke für die schnelle Antwort.
Es gibt keinen Dienst namens sptd (Systemfehler 1060: Der angegebene
Dienst ist kein installierter Dienst). Die Datei sptd.sys habe ich ja
auch schon gelöscht, bei den Diensten wird mir kein solcher
Dienst angezeigt. Auch zeigt z.B. der Security Task Manager keinen
Prozess an, der damit in Zusammenhang stehen könnte, zumindest
sehe ich keinen.
Vielleicht kennt sich hier einer mit dem SCSI Pass Thru Driver aus
und kann mir sagen, welcher Prozess da noch mitspielt.

dann solltest du das machen was otto12 dir geraten hat.
cykes
cykes 30.11.2008 um 09:44:34 Uhr
Goto Top
Der SCSI Passthrough Driver wird auch von anderen Applikationen, die im weitesten Sinne was mit CD/DVD zu tun haben, installiert.

Beim Hersteller DuplexSecure findest Du eine Anleitung zum Deaktivieren bzw. kompletten entfernen des Treibers: http://www.duplexsecure.com/en/faq

Für die, die kein Englisch können:

Deaktivierung:

- Windows im abgesicherten Modus starten
- Wenn am unteren Bildschirmrand beim Start von Windows "Press ESC to cancel loading SPTD.sys" erscheint, ESC-Taste drücken
- Im abgesicherten Modus den Wert des Registry Keys "HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\sptd" den Key "Start" auf (DWORD) Wert 4 setzen
- System neu starten

Deinstallation:

- Den Installer hier: http://www.duplexsecure.com/download/SPTDinst-v156-x86.exe herunterladen
- Die Installation starten und im Dialog "Uninstall" auswählen.

(Tipp von mir, da ich auch schon mal damit gekämpft habe, vor der Deinstallation alle Anwendungen, die SPTD verwenden zunächst deinstallieren und nach der Deinstallation sicherheithalber noch mal nach obenstehendem Registryeintrag im abgesicherten Modus suchen und diesen komplett löschen, falls er noch vorhanden sein sollte)

Gruß

cykes
SpotZwei
SpotZwei 30.11.2008 um 14:09:03 Uhr
Goto Top
Hallo, cykes
genau das habe ich schon getan, nach der Anweisung von Duplex vorgegangen, aber auch im abgesicherten Modus läßt sich der Schlüssel nicht löschen.
Mittlerweile habe ich herausgefunden, daß der Key HKLM\System\CurrentControlSet\Services\sptd versteckte Werte enthält, die mir von Regedit nicht angezeigt werden. Mit dem Registry System Wizard werden diese Unterschlüssel auch angezeigt, aber auch dieser ist nicht in der Lage, die Schlüssel zu löschen.
Mein DVD-Laufwerk ist ganz normal über IDE angeschlossen, sollte ich das vielleicht auch mal entfernen und es dann im abgesicherten Modus versuchen? Ich glaube nicht, daß mein DVD-Laufwerk etwas mit diesem Treiber zu tun hat, es gehte ja schließlich auch schon, bevor ich diesen Treiber auf der Platte hatte.
Ich habe übrigens noch mal Rootkits gesucht, mit dem Rootkit Revealer, der hat auch versteckte Schlüssel in der Registry gefunden. Für diese Sachen mache ich mal später ein neues Thema auf, da ich glaube, daß es mit meinem hiesigen Problem nichts zu tun hat.
Danke für Eure Hilfe.
20580
20580 30.11.2008 um 14:30:43 Uhr
Goto Top
Hallo,

mit dem UMB Bereicht meinte ich den Speicherbereich der Grafikkarte, wo sich oft Viren einnisten und der von jedem Viren Cleaner start durchsucht wird.

Hier eine beschreibung :

http://www.uwe-sieber.de/umbpci.html

Habe damit schon oft Pcs wieder ohne Störungen ans laufen bekommen.

Die Boot CD für XP ist in diversen Tauschbörsen zu bekommen und heißt meistens LKA-Sachsen Bootcd, da Sie auch von der Polizei eingesetz wird.

Mfg
cykes
cykes 30.11.2008 um 15:21:15 Uhr
Goto Top
Zitat von @20580:
Hallo,

[...]
Die Boot CD für XP ist in diversen Tauschbörsen zu bekommen
und heißt meistens LKA-Sachsen Bootcd, da Sie auch von der
Polizei eingesetz wird.

Also mit Dateien aus Tauschbörsen die so oder so einen ähnlichen Namen haben wäre ich persönlich vorsichtig. Auch wenn es sich laut diverser Foreneinträge um eine Urban Legend handelt, dass diese CD irgendwas mit der Polizei zu tun hat face-wink
Mal ganz davon abgesehen, dass Du damit eigentlich Raubkopien anbietest bzw. empfiehlst welche herunterzuladen.
20580
20580 30.11.2008 um 16:36:07 Uhr
Goto Top
Ist keine Raubkopie.Wird überall in unserem Amt eingesetzt.
Natürlich muß jeder eine Lizenz haben.

Gehe davon aus in diesem Blog, das jeder hier viele Betriebsysteme offiziell besitzt.

Ist ja eigentlich nicht für EInsteiger hier.


***
Wußte, daß so etwas kommt.........

Aber trotzdem.......
cykes
cykes 30.11.2008 um 19:43:56 Uhr
Goto Top
Zitat von @20580:
Ist keine Raubkopie.Wird überall in unserem Amt eingesetzt.
Natürlich muß jeder eine Lizenz haben.

Ach und die ganzen Tools, die auf dieser CD enthalten sind hast Du auch gekauft bzw. registriert? Ein Teil davon darf man laut aktueller Gesetzeslage (auch wenn die total bescheuert ist) weder besitzen geschweige denn einsetzen.

Gehe davon aus in diesem Blog, das jeder hier viele Betriebsysteme
offiziell besitzt.

Geht ja nicht nur um Betriebssysteme.

Ist ja eigentlich nicht für EInsteiger hier.

Genau deswegen die Warnung vor Software aus zweifelhaften Quellen, die auch noch solche zweifelhaften Namen hat.

***
Wußte, daß so etwas kommt.........

Aber trotzdem.......
20580
20580 30.11.2008 um 21:37:52 Uhr
Goto Top
Ich wußte es.................