Hallo Leute,

ich habe am Wochenende meinen PC formatiert, weil ich davor einige Probleme mit Viren hatte und es sowieso mal wieder nötig war. Also, neues Windows drauf und alle wichtigen Programme, wie Kaspersky Internet Security 7.0, installiert. Bei einem Scan fiel mir der Ordner D:\System Volume Information\ auf. Ich hielt ihn für eine Art Registry auf D:\ (wurde aber mittlerweile von Google eines besseren belehrt) und dachte mir, dass diese ziemlich vollgemüllt sein müsste, da ich immer nur C: formatiere, wenn ich ein neues Windows aufsetze. Mir fiel ein, dass ESCAN auch verwaiste Registry-Einträge findet und deshalb machte ich einen Scan (ich wusste da noch nicht, dass der Scanner nur C: scannt ohne die Einstellung "alle Festplatten scannen" ). Leider kam dabei mehr zum Vorschein als mir lieb war. 33 verwaiste Registry Einträge wurden angezeigt (bei einem höchstens einen Tag alten Windows?!) und 6 Viren. Darunter 4 Einträge für whenu.savenow Ad-/Spyware, ein Einträg der "Possible Fujacks-type Worm" lautete (diese 5 Einträge hatte ESCAN auch schon vor der Neuinstallation von Windows gefunden) und ein (mir neuer) Eintrag "smitfraud browser hijacker". Auch tauchte nach dem Scan das Problem wieder auf, dass ich bei jedem Neustart diese Fehlermeldung bekomme (die gleiche Fehlermeldung, die auch schon vor der Neuinstallation von Windows bei jedem Neustart kam).
Da es schon spät abends war an diesem Tag, beschloss ich erst einmal schlafen zu gehen und mich am nächsten Tag um die Probleme zu kümmern. Am nächsten tag war aber zu meinem Erstaunen der worm-Eintrag verschwunden. Also kümmerte ich mich als nächstes um den smitfraud browser hijacker und fand mit Hilfe von Google dieses Tool zum Entfernen. Also runtergeladen, laufen gelassen und erneut ESCAN. Diesmal waren die whenu.savenow-Einträge verschwunden (mysteriös?), nicht aber der smitfraud-Eintrag. Dafür sind aber 10 neue "trojan-downloader.bat.ftp.ab Trojan-Downloader"-Einträge. Ich dachte mir, dass vielleicht das Programm zum Entfernen des smitfraud-Eintrags fälschlich als Virus erkannt wird, also Neustart, das Tool gelöscht und erneuter Scan. Diesmal fand ESCAN nurnoch 4 Einträge zu diesem trojan-downloader. Dann hatte ich keine Lust mehr und beschloss am nächsten Tag hier Hilfe zu erfragen.
Tja, und als ich gerade noch einmal einen ESCAN machte, spuckte der Scanner doch tatsächlich jetzt nurnoch 3 Einträge zu dem Downloader und den einen smitfraud-Eintrag aus. Aber das kuriose an der Sache ist, dass jetzt auch der "Possible Fujacks-type Worm"-Eintrag wieder gefunden wird und 2 Einträge zur whenu.save Ad-/Spyware, von denen alle 4 schon einmal verschwunden waren. Tja, und die Fehlermeldung bekomme ich bei jedem Neustart immer noch.
Ich hoffe ihr könnt mir helfen.

ESCAN log nach FAQ Anleitung: http://rapidshare.com/files/46100054/eScan_neu.txt.html
Wenn ihr weitere logs benötigt, einfach schreiben.

mfg
Torlof

PS: Ich hab während der ganzen Geschichte immer mal wieder einen Kaspersky-Scan gemacht. Dieser hat aber nie etwas angezeigt.
Und noch etwas: Bei jedem Neustart werden meine Ordneroptionen resetted. Also versteckte Dateien werden nichtmehr angezeigt etc... Ob das für euch wichtig ist, weiß ich jedoch nicht.

Hallo Torlof,


Gehe einmal so vor: Systemwiederherstellung deaktivieren > In den abgesicherten Modus Booten > Systemscan durchführen und evtl. Funde löschen > Wieder normal booten >Systemwiederherstellung wieder aktivieren. Dann kannst du noch dannach mit diesem tool >>>>Blacklight<<<< Scannen und Funde löschen.
Dannach kannst du einmal ein HJT - Logfile erstellen und hierher posten, Danke.



LG

Hallo terayaki,

Meinst du mit Systemscan einen Scan mit ESCAN? Denn ich habe nur die Download-Version von ESCAN und die kann bekanntlich nichts löschen.

mfg

Nein, mit deinem -aktuellen- AV - Programm. Vielleicht von Avira ?

Torlof, poste das eScan log bitte noch.

Bata

Also, habe im abgesicherten Modus mit Kaspersky gescannt, aber nichts wurde gefunden.
Ich versuchs jetzt mal mit Blacklight, danach poste ich den HJT-log

@BataAlexander
Ich habe den log zwar auf Rapidshare upgeloadet (link oben), aber für alle Download-Faulen gibts den log hier zum lesen ^^:

Zitat:

Zitat von eScan-log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\save\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{449C8987-E159-492D-9CF0-ABF3B35EEB12}\RP20\A0013867.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\Install\GIRC Install\girc32.exe//data0082 markiert als not-a-virus:Client-IRC.Win32.mIRC.601. Keine Aktion vorgenommen.
Datei D:\Install\GIRC Install\girc421_430.exe//stream//data0008 markiert als not-a-virus:Client-IRC.Win32.mIRC.614. Keine Aktion vorgenommen.
Datei D:\Install\GIRC Install\girc442.exe//stream//data0009 markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\smitfraudfix\swsc.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\cmdlineext02.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fca66222-3c4a-11dc-b339-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {fca66222-3c4a-11dc-b339-806d6172696f}\Shell\AutoRun\command: F:\autoplay.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 28165
Gescannte Dateien: 28147
Gescannte Dateien: 28145
Gescannte Dateien: 28192
Gescannte Dateien: 28188
Gescannte Dateien: 28088
Gescannte Dateien: 54113
Gefundene Viren: 10
Gefundene Viren: 4
Gefundene Viren: 4
Gefundene Viren: 6
Gefundene Viren: 6
Gefundene Viren: 7
Gefundene Viren: 11
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 33
Anzahl Fehler: 33
Anzahl Fehler: 33
Anzahl Fehler: 33
Anzahl Fehler: 27
Anzahl Fehler: 27
Anzahl Fehler: 27
Dauer des Scans bisher: 00:02:45
Dauer des Scans bisher: 00:02:16
Dauer des Scans bisher: 00:02:20
Dauer des Scans bisher: 00:02:17
Dauer des Scans bisher: 00:01:43
Dauer des Scans bisher: 00:01:36
Dauer des Scans bisher: 00:22:05
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 12:24:50,43
Batchende: 12:25:06,39

Das eScanlog wurde bereits gepostet, darin findet man:
-Einträge von Smitfraudfix die als schädlich erkannt werden (SMF kopiert sich auch in den system32-ordner, daher wurde evtl weiterhin Dateien gefunden. ) Im System32-Ordner und in der Systemwiederherstellung)
-die cmdlineext02.dll, die wie der Link zeigt ebenfalls ein False-positive ist. Also kein Virus
-der übliche ICQ-Ordner, der fälschkicher Weise als "offending file" erkannt wird.

Und einen Eintrag den ich nicht kenne. Werte daher bitte folgende Datei mal bei virustotal aus.

Zitat:

D:\save\Eigene Dateien\desktop.ini

Wenn die Datei sauber ist, dürfte auch der ganze Rechner sauber sein.
lg myrtille