ComputerBase Menü
Aktuelles

Malware? Indiz durch SPTD.

B

bully1981

Gast
Hallo Zusammen

Hierbei gehts um die Identifikaiton, ob mein Befund eine Maleware ist oder einfach ein schlechtes Beispiel für Einnistung von RegKeys durch Programme (auch trotz Entferung mit Duplex Secure)

Ich habe seit längerem meine Kiste nicht nach Viren gecheckt und so tat ich das. Mein Antivirus Programm Avira (Premium) blieb an folgender Stelle stehen:

hkey_local_machine\System\controlset001\services\sptd\cfg\...\

Wie man sieht, konnte ich nicht genau lokalisieren, was genau das Problem war, nur der angebrochene Pfad war zu sehen. Nach einer Internetrecherche habe ich gelesen, dass der RegEintrag von Daemon Tools verursacht wird. Ich stutzte, da ich das Programm schon gar nicht mehr auf der Platte habe. Dann sah ich auf der Webseite von Daemon Tools, dass das SPTD verwendet wird und bei einer Deinstallation des Daemon Tools nicht MITgelöschtwird. Auf der selben Seite wurde auf Duplex Secrure verwiesen, der einen Tool zum Entfernen des SPTD zum download bereit gestellt hatte.

Die Freude war von kurzer Dauer, als ich nochmals scannte stand ich plötzlich auf folgedem Pfand fest:


hkey_local_machine\System\controlset002\services\sptd\cfg\...\

Und da fragte ich mich, was geht denn hier ab? Ist es Malware, dass sich vervielfacht? Ist es doch noch SPTD?

Bevor ich mit dem Duplex Secure Removal Tool hantiert habe, hatte ich vorher im abgeschirmten Modus (mit und ohne Netzwerktreiber) die Kiste hochgefahren. Da kam die Meldung ob sptd.sys aktiviert werden sollte, da habe ich einmal mit NEIN und einmal mit JA beantwortet und einen Rootkit-Scan mit Avira durchgeführt. Dabei ist nix herausgekommen. Erstaunlich war, dass der Scan innerhalb von 2 Sekunden abgeschlossen wurde.

Also ich bin offensichtlich am Ende meines Lateins. Und kann hier nur mit voller Hoffunung an euch wenden.

€ spybot und blacklight melden keine malware/rootkit
 
Zuletzt bearbeitet:
Es ist keine Malware. Wie du schon richtig erkannt hast, ist SPTD ein Treiber von DuplexSecure, der u.a. von diversen Programmen zum Simulieren von optischen Laufwerken benutzt wird.


SPTD wurde korrekt deinstalliert. Offensichtlich ist bei dir das Controlset 1 aktiv. Dass sind ganz einfach Profile mit Hardwareeinstellungen und/oder Treiber.


Es werden unterschiedliche Profile angelegt, manche davon sind aktiv, manche werden als 'LastGood' markiert usw...


Du kannst unter hkey_local_machine\System\Select nachschauen, welches Profil gerade aktiv ist (oder einfach CurrentControlSet benutzen).



Mach dir keine Gedanken, dass hat alles seine Ordnung.
 
Wie bekomme ich SPDT für immer weg?

Hallo luky37

Danke für deine Antwort, dass es keine Malware ist, ist schon eine gute Nachricht! Hm, wenn Daemon Tool deinstalliert ist, sowie mit Hilfe des Duplex Secure mitgelieferten Uninstaller, frage ich mich einfach, welches Programm auf der Platte sonst diesen RegEintrag braucht. Ich habe keine Emulatoren auf der Kiste, bis auf Nero, der nie in Sachen virtuellen Laufwerk aktiviert wurde.

Denn wenn es nicht benötigt wird, könnte man ja das irgendwie löschen? Wie oben gesagt macht mein Antivir immer einen Halt auf dieser Stelle. Ein Fullscan ist somit unmöglich :(
 
Geh ich da keine Risiken ein?
Wäre schon interessant zu wissen, weshalb grad bei einem inaktiven RegEintrag Avira einen Stopp macht? Im selben Forum habe ich die Frage gestellt, kommt bis heute noch keine Antwort. Falls jemand selbe Erfahrungen gemacht hat, würde ich dessen Meinung gerne hören. thx
 
Warum sollte es nicht bei einem inaktiven Eintrag stoppen? Es ist ein Virenscanner...
 
Ich verstehe deine Andeutung nicht ganz... Dieser Virenscanner scannt halt RegEinträge und Rootskits, deshalb stellte ich diesen Eintrag rein. Wenns keine Malware ist, nimmt es mich schon wunder warum Avira dort einen Halt macht und dass nicht mehr reagiert.
 
Was heißt es reagiert nicht mehr? Erkennt es Malware oder bleibt es stecken?
 
Es bleibt stehen. Ich hab über eine Stunde gewartet, es bleibt definitiv stehen.
 
Mir geht´s genauso :(

hab auch schon den thread im antivir forum gelesen (was einem ja auch nicht gerde viel weiterhilft) ..


Antivir bleibt beim scannen gleich am anfang hängen bei :

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sptd\Cfg\...\

da hängt er sich dann auf und es geht nichts mehr. mit anderen scan-programmen gibt es keine probleme.

hätte mir im antivir forum eigentlich schon eine antwort erwartet da es mit diesem problem unmöglich ist den pc zu scannen - antivir weiter zu benutzen .. :mad:

falls jemand also ne lösung weiss - sagt bescheid ..

cu kolege
 
Bei der Nutzung des PCs wird immer das HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet benutzt, die anderen werden als Sicherheit angelegt.
Die beiden Registry-Unterschlüssel ControlSet001 und 002 sind jeweils Sicherungen der Dienste und Einstellungen, damit in einem Fehlerfall mittels "Letzte als funktionierend bekannte Konfiguration" im abgesicherten Modus wieder gestartet werden kann.
Zum Vergrößern anklicken....
Wenn man dann ein Programm (z.B. DämonTools) deinstalliert, wird der Eintrag zur Software nur im HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet gelöscht, in den anderen bleiben sie erhalten. Lösche den Eintrage "SPTD" manuell aus den anderen ControlSet, es ist kein Standardeintrag der fürs System benötigt wird, dann geht es mit dem Scannen auch schneller und bleibt nicht hängen.
Mehr Infos zu ControllSet:
http://www.wintotal.de/Tipps/index.php?id=1178
 
Das ist nicht ganz korrekt, CurrentControlSet ist entweder ControlSet001 oder ControlSet002.

Eines der beide ist das CurrentControlSet und das andere das 'LastKnownGood'.


Was was ist, kann man unter HKEY_LOCAL_MACHINE\SYSTEM\Select nachschauen.
 
CurrentControlSet ist das womit man arbeitet, ControlSet001 oder ControlSet002 sind die Sicherheitskopien vom CurrentControlSet. Was ist daran nicht korrekt?
Current = Der Konfigurationsdatensatz, der für einen Systemstart verwendet und dann nach CurrentControlSet kopiert wird. Änderungen in der Systemsteuerung oder in der Registrierung werden im Zweig "CurrentControlSet" abgespeichert.
 
werkam schrieb:
CurrentControlSet ist das womit man arbeitet, ControlSet001 oder ControlSet002 sind die Sicherheitskopien vom CurrentControlSet. Was ist daran nicht korrekt?
Zum Vergrößern anklicken....


Dass ControlSet001 (in diesem Fall) eine Kopie von CurrentControlSet ist. CurrentControlSet ist lediglich eine transparente Verknüpfung zu (in diesem Fall) ControlSet001.


Auch der Artikel auf Wintotal ist nicht korrekt. Es gibt keine Kopien.


Das kann man ganz leicht nachvollziehen:


Erstelle eine Testschlüssel in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control und du wirst sehen dass dieser sofort auch in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control (bzw das jeweils unter HKEY_LOCAL_MACHINE\SYSTEM\Select als Current selektierte ControlSet) erstellt worden ist.


CurrentControlSet ist also lediglich eine Art virtueller Schlüssel, der auf das aktive ControlSet zeigt.



werkam schrieb:
Current = Der Konfigurationsdatensatz, der für einen Systemstart verwendet und dann nach CurrentControlSet kopiert wird. Änderungen in der Systemsteuerung oder in der Registrierung werden im Zweig "CurrentControlSet" abgespeichert.
Zum Vergrößern anklicken....

Das ist wie oben erklärt falsch.
 
Spielt aber in dem Falle auch keine Rolle, wenn die Schlüssel in allen Controllset gelöscht werden, sollte Antivir kein Probleme mehr machen, da es kein Systemeinstellungen sind die man zum Betrieb von Windows benötigt.
 
vielen Dank @werkam und lucky37
das Löschen von Regeinträgen ist bei mir leider die letzte Option, da ich genug schlechte Erfahrung damit gemacht habe. Temporär mache ich es so: Ich habe das Programm wieder installiert, der mir diesen SPTD Eintrag gemacht hat (s. erster Post) und der Scan von Antivir geht wieder ohne Probs.

Wie ich noch neben wieder feststelle, steckt Antivir wieder irgendwo im System Volume einer Partition. Papierkorb gelöscht und da gehts auch wieder...

Also ganz so zufrieden bin ich mit Antivir gar nicht mehr! In deren Foren wird auch nicht geholfen :(
hier aber schon, thx!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

1lluminate23
  • Gesperrt
CPU-Sicherheitslücke in AMD-Prozessoren ermöglicht Malware-Infektionen
2
Antworten
38
Aufrufe
3.757
Markchen
Markchen
Crizzo
News Minecraft: Mods und Plugins auf CurseForge waren mit Malware infiziert
Antworten
13
Aufrufe
3.827
dev/random
dev/random
J
Internetzugriff von Win10 Malware-Dateien blockieren ?
Antworten
13
Aufrufe
1.480
coasterblog
coasterblog
SVΞN
News AppGallery: Joker-Malware infiziert über 500.000 Huawei-Smartphones
6 7 8
Antworten
146
Aufrufe
39.314
Blutschlumpf
Blutschlumpf
P
Malware über Steam Spiel (Unity Engine)?
Antworten
8
Aufrufe
2.426
Ranayna
Ranayna
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz