|
ESCAN zeigt Viren trotz frisch installiertem Windows Hallo Leute, ich habe am Wochenende meinen PC formatiert, weil ich davor einige Probleme mit Viren hatte und es sowieso mal wieder nötig war. Also, neues Windows drauf und alle wichtigen Programme, wie Kaspersky Internet Security 7.0, installiert. Bei einem Scan fiel mir der Ordner D:\System Volume Information\ auf. Ich hielt ihn für eine Art Registry auf D:\ (wurde aber mittlerweile von Google eines besseren belehrt) und dachte mir, dass diese ziemlich vollgemüllt sein müsste, da ich immer nur C: formatiere, wenn ich ein neues Windows aufsetze. Mir fiel ein, dass ESCAN auch verwaiste Registry-Einträge findet und deshalb machte ich einen Scan (ich wusste da noch nicht, dass der Scanner nur C: scannt ohne die Einstellung "alle Festplatten scannen" :rolleyes:). Leider kam dabei mehr zum Vorschein als mir lieb war. 33 verwaiste Registry Einträge wurden angezeigt (bei einem höchstens einen Tag alten Windows?!) und 6 Viren. Darunter 4 Einträge für whenu.savenow Ad-/Spyware, ein Einträg der "Possible Fujacks-type Worm" lautete (diese 5 Einträge hatte ESCAN auch schon vor der Neuinstallation von Windows gefunden) und ein (mir neuer) Eintrag "smitfraud browser hijacker". Auch tauchte nach dem Scan das Problem wieder auf, dass ich bei jedem Neustart diese Fehlermeldung bekomme (die gleiche Fehlermeldung, die auch schon vor der Neuinstallation von Windows bei jedem Neustart kam). Da es schon spät abends war an diesem Tag, beschloss ich erst einmal schlafen zu gehen und mich am nächsten Tag um die Probleme zu kümmern. Am nächsten tag war aber zu meinem Erstaunen der worm-Eintrag verschwunden. Also kümmerte ich mich als nächstes um den smitfraud browser hijacker und fand mit Hilfe von Google dieses Tool zum Entfernen. Also runtergeladen, laufen gelassen und erneut ESCAN. Diesmal waren die whenu.savenow-Einträge verschwunden (mysteriös?), nicht aber der smitfraud-Eintrag. Dafür sind aber 10 neue "trojan-downloader.bat.ftp.ab Trojan-Downloader"-Einträge. Ich dachte mir, dass vielleicht das Programm zum Entfernen des smitfraud-Eintrags fälschlich als Virus erkannt wird, also Neustart, das Tool gelöscht und erneuter Scan. Diesmal fand ESCAN nurnoch 4 Einträge zu diesem trojan-downloader. Dann hatte ich keine Lust mehr und beschloss am nächsten Tag hier Hilfe zu erfragen. Tja, und als ich gerade noch einmal einen ESCAN machte, spuckte der Scanner doch tatsächlich jetzt nurnoch 3 Einträge zu dem Downloader und den einen smitfraud-Eintrag aus. Aber das kuriose an der Sache ist, dass jetzt auch der "Possible Fujacks-type Worm"-Eintrag wieder gefunden wird und 2 Einträge zur whenu.save Ad-/Spyware, von denen alle 4 schon einmal verschwunden waren. Tja, und die Fehlermeldung bekomme ich bei jedem Neustart immer noch. Ich hoffe ihr könnt mir helfen. ESCAN log nach FAQ Anleitung: http://rapidshare.com/files/46100054/eScan_neu.txt.html Wenn ihr weitere logs benötigt, einfach schreiben. :) mfg Torlof PS: Ich hab während der ganzen Geschichte immer mal wieder einen Kaspersky-Scan gemacht. Dieser hat aber nie etwas angezeigt. Und noch etwas: Bei jedem Neustart werden meine Ordneroptionen resetted. Also versteckte Dateien werden nichtmehr angezeigt etc... Ob das für euch wichtig ist, weiß ich jedoch nicht. |
Hallo Torlof, Gehe einmal so vor: Systemwiederherstellung deaktivieren > In den abgesicherten Modus Booten > Systemscan durchführen und evtl. Funde löschen > Wieder normal booten >Systemwiederherstellung wieder aktivieren. Dann kannst du noch dannach mit diesem tool >>>>Blacklight<<<< Scannen und Funde löschen. Dannach kannst du einmal ein HJT - Logfile erstellen und hierher posten, Danke. LG |
Hallo terayaki, Meinst du mit Systemscan einen Scan mit ESCAN? Denn ich habe nur die Download-Version von ESCAN und die kann bekanntlich nichts löschen. mfg |
Nein, mit deinem -aktuellen- AV - Programm. Vielleicht von Avira ? ;) |
Torlof, poste das eScan log bitte noch. Bata |
Also, habe im abgesicherten Modus mit Kaspersky gescannt, aber nichts wurde gefunden. Ich versuchs jetzt mal mit Blacklight, danach poste ich den HJT-log @BataAlexander Ich habe den log zwar auf Rapidshare upgeloadet (link oben), aber für alle Download-Faulen gibts den log hier zum lesen ^^: Zitat:
|
So, Blacklight fand auch nichts. Hier ist mein HJT-log: Zitat:
|
Das eScanlog wurde bereits gepostet, darin findet man: -Einträge von Smitfraudfix die als schädlich erkannt werden (SMF kopiert sich auch in den system32-ordner, daher wurde evtl weiterhin Dateien gefunden. ) Im System32-Ordner und in der Systemwiederherstellung) -die cmdlineext02.dll, die wie der Link zeigt ebenfalls ein False-positive ist. Also kein Virus -der übliche ICQ-Ordner, der fälschkicher Weise als "offending file" erkannt wird. Und einen Eintrag den ich nicht kenne. Werte daher bitte folgende Datei mal bei virustotal aus. Zitat:
lg myrtille |
desktop.ini ist eine 0 byte Datei, die in dem Eigenen Datei Ordner vor der Windows Neuinstallation lag. Da ich ja C: formatiert habe, habe ich den Ordner Eigene Dateien unter D: gesavt. Aber 2 Fragen bleiben, wenn mein PC clean ist: 1. Warum kommt bei jedem Boot die Meldung vom IE bzw. activex (siehe 1. post) 2. Warum werden bei jedem Neustart meine Ordneroptionen resetted? (ziemlich nervig jedesmal erneut einstellen zu müssen, dass versteckte Dateien angezeigt werden) |
Zitat:
Zitat:
Könntest du inzwischen mal folgende Datein suchen und bei virustotal auswerten lassen: Zitat:
EDIT: Dein Problem liest sich so, als ob du ein Problem mit der Registry hast. Kann es sein, dass du nen Wächter am laufen hast, der automatisch alle Änderungen in der Registry zurücksetzt. (Der Spybotwächter macht sowas zb) Was für Wächter hast du denn am laufen, wie sind sie konfiguriert? |
desktop.ini gecheckt, is komplett leer advpack.dll wird gerade gecheckt, ich editier dann rein, was dabei rausgekommen ist edit: datei ist clean, also keine ergebnisse nLite.inf hab ich nicht gefunden... wo soll diese datei stecken? @registry-problem: ich hab kaspersky internet security am laufen, aber die überwachung der systemregistrierung ist dabei (standartmäßig) ausgeschaltet mfg |
Ich habe noch eine weitere Frage. Die Dateien process.exe, swreg.exe und swsc.exe scheinen ja keine Systemdateien zu sein. Kann ich sie mit Killbox einfach löschen? mfg |
Ja, du solltest die Dateien aber auch einfach so löschen können. Die Dateien gehören zu Smitfraudfix. (Zu deinem anderen Problem finde ich leider nichts. :( Du kannst einfach mal Probieren die Wächter deiner Antivirenprogramme zu deaktivieren und neu zu starten. Vielleicht löst sich dein Problem dann. Danach kannst du die Wächter wieder aktivieren. ;)) lg myrtille |
Habe jetzt gerade mal nen Scan mit RegSeeker durchgeführt, um verwaiste Registry Einträge zu finden. 346 Treffer empfinde ich dabei aber als etwas dubios. :eek: Ich werde wohl nichts davon löschen. Lieber ne vollgemüllte Registry, als 3 Jahre testen, welche EInträge gebraucht werden und welche nicht. :) Naja, ich habe aber dabei aber etwas interessantes gefunden. Bei vielen Einträgen steht nämlich die Bemerkung "Invalid ActiveX/COM entry (CLSID)" Könnte das was mit meiner Fehlermeldung beim Startup zu tun haben? |
Jein, eigentlich nicht wirklich. Die Meldung sagt ja ausdrücklich, dass dem Active-X Element die Rechte fehlen um ausgeführt zu werden. Du kannst natürlich auch mal alle installierten Active-X-Elemente entfernen. Das sind die O16-Einträge bei Hijackthis. :) Hat der Neustart irgendwie geholfen? lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board