Possible Fujack-type worm
 

Hi , habe eScan laufen lassen und das is der Fund gewesen
Sat Mar 17 14:23:58 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90d51f1f-d419-11db-8b46-806d6172696f}
Sat Mar 17 14:23:58 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.

hab gedacht damit hätt sichs, kommt aber bei jedem neustart wieder auch nachdem ichs mit regedit gelöscht hatte

hier noch das eScan Logfile und mein HJT-Log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sat Mar 17 14:55:18 2007 => Version 9.1.7
Sat Mar 17 14:44:51 2007 => Virus-Datenbank Datum: 3/16/2007
Sat Mar 17 14:44:54 2007 => Virus-Datenbank Datum: 3/16/2007
Sat Mar 17 14:55:22 2007 => Virus-Datenbank Datum: 3/16/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sat Mar 17 14:23:58 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{90d51f1f-d419-11db-8b46-806d6172696f} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Mar 17 14:44:51 2007 => Gefundene Viren: 1
Sat Mar 17 14:44:51 2007 => Anzahl Fehler: 1
Sat Mar 17 14:44:51 2007 => Dauer des Scans bisher: 00:21:23
Sat Mar 17 14:44:51 2007 => Gescannte Dateien: 48921
Sat Mar 17 14:23:26 2007 => Specherüberprüfung: Aktiviert
Sat Mar 17 14:23:26 2007 => Registry Überprüfung: Aktiviert
Sat Mar 17 14:23:26 2007 => System-Ordner Überprüfung: Aktiviert
Sat Mar 17 14:23:26 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Mar 17 14:23:26 2007 => Überprüfung der Dienste: Aktiviert
Sat Mar 17 14:23:26 2007 => Überprüfung der Festplatten: Deaktiviert
Sat Mar 17 14:23:26 2007 => Überprüfung aller Festplatten :Aktiviert

HJT LOG
Logfile of HijackThis v1.99.1
Scan saved at 14:27:11, on 17.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
E:\iTunes\iTunesHelper.exe
E:\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Steam\Steam.exe
E:\AntiVir PersonalEdition Classic\sched.exe
E:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Miranda IM\miranda32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Bases_X\mwavscan.com
C:\WINDOWS\system32\wuauclt.exe
C:\Bases_X\ScanningProcess.exe
E:\Mozilla Firefox\firefox.exe
C:\Bases_X\ScanningProcess.exe
E:\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=22028
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "E:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "E:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1F596F0-B079-4003-B3BC-F7D54696C34B}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - E:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Ich denke, das ist ein false positiv.
Der Schlüssel gehört zu deinen Netzlaufwerken und wird d.h. wahrscheinlich bei jedem Neustart auftauchen..

mfg

Undoreal

erstmal danke für deine schnelle antwort
heisst also das es wahrscheinlich kein virus ist oder??

mfg max

Jop, höchst wahrscheinlich.

Hallo,
... erst Oh Gott - doch dann oh Gut.
Warum? Weil ich heute eine sms von einem Freund bekam, der mir da schrieb,
ich hätte ihm einen Virus verpasst. :eek:

Ich dachte natürlich gleich - kann nicht sein, aber Kontrolle ist besser:

Ich habe genau die gleiche Meldung (Possible Fujacks-type Worm) beim Escan bekommen.
Da war ich platt. Aber da ich hier entwarnung bekomme :dummguck:,
ist ja alles in Butter.

Was ich nicht verstehe: Ist der False Positiv "neu"? Muss wohl, denn nirgents taucht ein "Google" dafür auf.

100% bin ich mir aber noch nicht sicher, denn ich hatte es ab und zu, dass, wenn ich eine Minute nichts am PC getan hab, er von allein auf den Desktop wechselte.
Kann ja zufall sein, da dieser PC, um den es sich hier handelt der "Spiele-PC" ist, und es ja möglicherweise auch am Spiel liegen kann.
Kann ich da aber noch in irgenteine Richtung etwas tun, um eventuelles Unheil zu finden?

- Keine mir sinvollen Zusammenhänge per Google gefunden.
-------------------------------------------------------------------------
Meldung beim PC des Freundes: torpig.zip; sobert . exe

Ich sagte ihm schon, er solle sein System neu aufsetzen, hat er aber noch nicht getan.

Nun auch meine Vermutung: Es soll ja möglich sein, dass sich ein Schädling an den normalen Traffic anhängt, und somit eingeschleust wird.
Kann es sein, dass dadurch ein "Virus" auf den PC meines Freundes gekommen ist?
Ich bin mir sicher, dass sein PC selbst dafür sorgt, "Nachschub" zu bekommen, er denkt jetz wohl nur, dass ich ihm das schickte.

->Dateiversand per "Skype": ich solle ihm 2 Dateien geschickt haben.
Kann auch gut sein, dass er 2 bekam, aber bestimmt durch diese o.g. Methode, oder?

Danke,
Cotton