|
ESCAN zeigt Viren trotz frisch installiertem Windows Hallo Leute, ich habe am Wochenende meinen PC formatiert, weil ich davor einige Probleme mit Viren hatte und es sowieso mal wieder nötig war. Also, neues Windows drauf und alle wichtigen Programme, wie Kaspersky Internet Security 7.0, installiert. Bei einem Scan fiel mir der Ordner D:\System Volume Information\ auf. Ich hielt ihn für eine Art Registry auf D:\ (wurde aber mittlerweile von Google eines besseren belehrt) und dachte mir, dass diese ziemlich vollgemüllt sein müsste, da ich immer nur C: formatiere, wenn ich ein neues Windows aufsetze. Mir fiel ein, dass ESCAN auch verwaiste Registry-Einträge findet und deshalb machte ich einen Scan (ich wusste da noch nicht, dass der Scanner nur C: scannt ohne die Einstellung "alle Festplatten scannen" :rolleyes:). Leider kam dabei mehr zum Vorschein als mir lieb war. 33 verwaiste Registry Einträge wurden angezeigt (bei einem höchstens einen Tag alten Windows?!) und 6 Viren. Darunter 4 Einträge für whenu.savenow Ad-/Spyware, ein Einträg der "Possible Fujacks-type Worm" lautete (diese 5 Einträge hatte ESCAN auch schon vor der Neuinstallation von Windows gefunden) und ein (mir neuer) Eintrag "smitfraud browser hijacker". Auch tauchte nach dem Scan das Problem wieder auf, dass ich bei jedem Neustart diese Fehlermeldung bekomme (die gleiche Fehlermeldung, die auch schon vor der Neuinstallation von Windows bei jedem Neustart kam). Da es schon spät abends war an diesem Tag, beschloss ich erst einmal schlafen zu gehen und mich am nächsten Tag um die Probleme zu kümmern. Am nächsten tag war aber zu meinem Erstaunen der worm-Eintrag verschwunden. Also kümmerte ich mich als nächstes um den smitfraud browser hijacker und fand mit Hilfe von Google dieses Tool zum Entfernen. Also runtergeladen, laufen gelassen und erneut ESCAN. Diesmal waren die whenu.savenow-Einträge verschwunden (mysteriös?), nicht aber der smitfraud-Eintrag. Dafür sind aber 10 neue "trojan-downloader.bat.ftp.ab Trojan-Downloader"-Einträge. Ich dachte mir, dass vielleicht das Programm zum Entfernen des smitfraud-Eintrags fälschlich als Virus erkannt wird, also Neustart, das Tool gelöscht und erneuter Scan. Diesmal fand ESCAN nurnoch 4 Einträge zu diesem trojan-downloader. Dann hatte ich keine Lust mehr und beschloss am nächsten Tag hier Hilfe zu erfragen. Tja, und als ich gerade noch einmal einen ESCAN machte, spuckte der Scanner doch tatsächlich jetzt nurnoch 3 Einträge zu dem Downloader und den einen smitfraud-Eintrag aus. Aber das kuriose an der Sache ist, dass jetzt auch der "Possible Fujacks-type Worm"-Eintrag wieder gefunden wird und 2 Einträge zur whenu.save Ad-/Spyware, von denen alle 4 schon einmal verschwunden waren. Tja, und die Fehlermeldung bekomme ich bei jedem Neustart immer noch. Ich hoffe ihr könnt mir helfen. ESCAN log nach FAQ Anleitung: http://rapidshare.com/files/46100054/eScan_neu.txt.html Wenn ihr weitere logs benötigt, einfach schreiben. :) mfg Torlof PS: Ich hab während der ganzen Geschichte immer mal wieder einen Kaspersky-Scan gemacht. Dieser hat aber nie etwas angezeigt. Und noch etwas: Bei jedem Neustart werden meine Ordneroptionen resetted. Also versteckte Dateien werden nichtmehr angezeigt etc... Ob das für euch wichtig ist, weiß ich jedoch nicht. |
Hallo Torlof, Gehe einmal so vor: Systemwiederherstellung deaktivieren > In den abgesicherten Modus Booten > Systemscan durchführen und evtl. Funde löschen > Wieder normal booten >Systemwiederherstellung wieder aktivieren. Dann kannst du noch dannach mit diesem tool >>>>Blacklight<<<< Scannen und Funde löschen. Dannach kannst du einmal ein HJT - Logfile erstellen und hierher posten, Danke. LG |
Hallo terayaki, Meinst du mit Systemscan einen Scan mit ESCAN? Denn ich habe nur die Download-Version von ESCAN und die kann bekanntlich nichts löschen. mfg |
Nein, mit deinem -aktuellen- AV - Programm. Vielleicht von Avira ? ;) |
Torlof, poste das eScan log bitte noch. Bata |
Also, habe im abgesicherten Modus mit Kaspersky gescannt, aber nichts wurde gefunden. Ich versuchs jetzt mal mit Blacklight, danach poste ich den HJT-log @BataAlexander Ich habe den log zwar auf Rapidshare upgeloadet (link oben), aber für alle Download-Faulen gibts den log hier zum lesen ^^: Zitat:
|
So, Blacklight fand auch nichts. Hier ist mein HJT-log: Zitat:
|
Das eScanlog wurde bereits gepostet, darin findet man: -Einträge von Smitfraudfix die als schädlich erkannt werden (SMF kopiert sich auch in den system32-ordner, daher wurde evtl weiterhin Dateien gefunden. ) Im System32-Ordner und in der Systemwiederherstellung) -die cmdlineext02.dll, die wie der Link zeigt ebenfalls ein False-positive ist. Also kein Virus -der übliche ICQ-Ordner, der fälschkicher Weise als "offending file" erkannt wird. Und einen Eintrag den ich nicht kenne. Werte daher bitte folgende Datei mal bei virustotal aus. Zitat:
lg myrtille |
desktop.ini ist eine 0 byte Datei, die in dem Eigenen Datei Ordner vor der Windows Neuinstallation lag. Da ich ja C: formatiert habe, habe ich den Ordner Eigene Dateien unter D: gesavt. Aber 2 Fragen bleiben, wenn mein PC clean ist: 1. Warum kommt bei jedem Boot die Meldung vom IE bzw. activex (siehe 1. post) 2. Warum werden bei jedem Neustart meine Ordneroptionen resetted? (ziemlich nervig jedesmal erneut einstellen zu müssen, dass versteckte Dateien angezeigt werden) |
Zitat:
Zitat:
Könntest du inzwischen mal folgende Datein suchen und bei virustotal auswerten lassen: Zitat:
EDIT: Dein Problem liest sich so, als ob du ein Problem mit der Registry hast. Kann es sein, dass du nen Wächter am laufen hast, der automatisch alle Änderungen in der Registry zurücksetzt. (Der Spybotwächter macht sowas zb) Was für Wächter hast du denn am laufen, wie sind sie konfiguriert? |
desktop.ini gecheckt, is komplett leer advpack.dll wird gerade gecheckt, ich editier dann rein, was dabei rausgekommen ist edit: datei ist clean, also keine ergebnisse nLite.inf hab ich nicht gefunden... wo soll diese datei stecken? @registry-problem: ich hab kaspersky internet security am laufen, aber die überwachung der systemregistrierung ist dabei (standartmäßig) ausgeschaltet mfg |
Ich habe noch eine weitere Frage. Die Dateien process.exe, swreg.exe und swsc.exe scheinen ja keine Systemdateien zu sein. Kann ich sie mit Killbox einfach löschen? mfg |
Ja, du solltest die Dateien aber auch einfach so löschen können. Die Dateien gehören zu Smitfraudfix. (Zu deinem anderen Problem finde ich leider nichts. :( Du kannst einfach mal Probieren die Wächter deiner Antivirenprogramme zu deaktivieren und neu zu starten. Vielleicht löst sich dein Problem dann. Danach kannst du die Wächter wieder aktivieren. ;)) lg myrtille |
Habe jetzt gerade mal nen Scan mit RegSeeker durchgeführt, um verwaiste Registry Einträge zu finden. 346 Treffer empfinde ich dabei aber als etwas dubios. :eek: Ich werde wohl nichts davon löschen. Lieber ne vollgemüllte Registry, als 3 Jahre testen, welche EInträge gebraucht werden und welche nicht. :) Naja, ich habe aber dabei aber etwas interessantes gefunden. Bei vielen Einträgen steht nämlich die Bemerkung "Invalid ActiveX/COM entry (CLSID)" Könnte das was mit meiner Fehlermeldung beim Startup zu tun haben? |
Jein, eigentlich nicht wirklich. Die Meldung sagt ja ausdrücklich, dass dem Active-X Element die Rechte fehlen um ausgeführt zu werden. Du kannst natürlich auch mal alle installierten Active-X-Elemente entfernen. Das sind die O16-Einträge bei Hijackthis. :) Hat der Neustart irgendwie geholfen? lg myrtille |
Hm, also die Fehlermeldung kommt nach Neustart immer noch. Aber die Ordneroptionen sind diesmal geblieben. Ich frage mich woran das lag, dass sie resetted wurden :confused: edit: Hab den O16 Eintrag gefixt und neugestartet. Die Fehlermeldung kommt aber immernoch. |
Zitat:
Ich kenne mich mit Kaspersky nicht aus, kann daher auch nicht genau sagen, was der Wächter so tut. :) Zitat:
lg myrtille |
Zitat:
|
Falls das edit nicht gelesen wird: Hab den O16 Eintrag gefixt, aber Fehlermeldung ist nicht verschwunden. @Ordell Danke für die Info, jetzt weiß ich endlich wo das herkommt. ^^ |
Ok, ich bin gerade einem Verdacht nachgegangen und der hat sich bestätigt. Die Fehlermeldung wird von ICQ verursacht (ich habe den Autostart von ICQ deaktiviert und siehe da: keine Fehlermeldung mehr) Als ich dann ICQ manuell gestartet habe, kam die Fehlermeldung. Die Frage ist, warum ICQ diese Fehlermeldung verursacht wird (vor allem: was hat ICQ mit IE zu tun?!) und wie ich sie beheben kann. mfg |
Hi, ich kann mir gut vorstellen, dass ICQlite auch ActiveX-Elemente benutzt. (und eigentlich hätte ich das, genauso wie das eScanphenomen auch wissen können.:headbang: Alles Probleme die in letzter Zeit hier im Board besprochen wurden. :headbang:) Wie du das Problem am besten löst, kann ich dir leider nicht sagen. Mein Tip wäre daher einfach einmal deinstallieren und neuinstallieren. Active-X wird im übrigen nicht nur beim IE benutzt (In der englischen Wikipedia ist zb ne Aufzählung welche Microsoftprogramme noch mit ActiveX-Elementen arbeiten: klick lg myrtille |
ActiveX im ICQ wird im Welcome Fenster benutzt... |
De- und Reinstall hab ich schon ausprobiert. Hat leider nichts geholfen. Auf Rat von nem Freund hab ich auch im IE mit ner Anleitung alles ActiveX-betreffende deaktiviert (surfe ja eh mit firefox) aber das half leider auch nichts. Naja, wenn noch jemand ne Idee hat, wie man diese Fehlermeldung loswird, wär ich happy und könnte mich endlich an nem cleanen Windows erfreuen. :daumenhoc mfg edit: Hab infinitys Post nich gesehen, da ich gerade meinen geschrieben habe. Aber, das Welcome Fenster ist deaktiviert. |
Active X wird definitiv von ICQ benutzt. Die Fehlermeldung ist bei deaktvierten Active X bei ICQ "normal". Hier ist mir keine Lösung bekannt. Versuche mal das abgespeckte icq 2 go zu benutzen. ICQ2Go! - ICQ Downloads - ICQ.com Gruss :party: |
hm, eigentlich würde ich gern bei meinem icq 5.1 bleiben... ich glaube, ich werde die meldung jetzt einfach ignorieren und wegklicken, schließlich stellt sie kein sicherheitsrisiko dar und ich glaube sie verhindert, dass in meinem icq werbung angezeigt wird :rolleyes: mfg PS: mein activex wurde ja garnicht deaktiviert... die meldung kam von einem neustart auf den anderen aus dem nichts... (bzw. sie kam direkt nach dem ersten escan, wenn ich mich recht erinnere... ändert das programm irgendwelche activex-einstellungen?!) |
Hol dir am besten QIP, dass ist sicherer und hat mehr Funktionen also das "normale" ICQ...du kannst dich dort mit deiner alten UIN auch anmelden... |
Zitat:
Wenn du die Systemwiederherstellung aktiviert hast, kannst du ja mal einen Punkt vor dem EScan auswählen und schauen ob du so die Einstellungen zurückstellen kannst!? EDIT: Oder hol dir ein Programm wie QIP, Miranda, Trillian. Die funktionieren im Endeffekt genau gleich, nur ein bisschen anders. ;) lg myrtille |
hm, ne, hab keinen systemwiederherstellungspunkt... der letzte stammt von gestern... samstag und sonntag wurden anscheinend keine gemacht (kann es sein, dass die punkte gelöscht werden wenn man die wiederherstellung zwischendurch kurz deaktiviert? wurde mir hier ja empfohlen) der letzte punkt stammt von gestern... |
Ja, beim deaktivieren werden alle Wiederherstellungspunkte deaktiviert. Das ist bei Befall sinnvoll, weil man ja verhindern, will das sich der Trojaner aus solch einem Punkt selbst neu erzeugt. In deinem Fall war es vollkommen unnötig. :( :headbang: Ich habe allerdings ehrlich gesagt, nicht die Zeit das Problem weiter zu googlen. Solltest du das Problem weiterhin haben, würde ich dir empfehlen nach der Fehlermeldung und ICQ zu googlen, evtl noch "starten" oder sowas hinzufügen. Das Problem war schon da, da muss es auch Lösungen zu geben. (Dürfte wie gesagt ein Registrykey sein) lg myrtille |
Sorry, dass ich mich hier jetzt einklink :heilig: aber in meinen Augen taugt die SWH wenig bis garnichts. Das ist meist die erste Option die ich auf einem frischen Windows XP deaktiviere. Allein schon deswegen weil sie keine vernünftige Restore-Lösung ist, sie kann zu einfach manipuliert werden (ok, wenn man nur als Admin surft ;) ). Sie ist aber deswegen schon unvernünftig weil das "Backup" auf der lokalen Festplatte gepeichert wird, beim Plattentod ist somit auch die SWH futsch. Des Weiteren frisst sie im Laufe eines "Windows-Lebens" locker einige Gigabyte auf der Systempartition, die ich besser für woanders gebrauchen könnte. Kosten und Nutzen stehen für mich somit in keinem Verhältnis. Ich tendiere zu Imaging-Tools, die von einem Fremdsystem (z.B. BartPE) gestartet werden, um ein Image zu erstellen oder wiederherzustellen. aus BartPE heraus kann man sogar noch unnötig große Dateien (pagefile.sys, hiberfile.sys) vor der Erstellung des Images löschen um somit die Imagedatei klein zu halten! :daumenhoc |
@cosinus Full ACK! Bin auch kein Freund der SWH und habe noch nicht erlebt, dass sie jemandem genutzt hat. :blabla: Hatte nur gehofft, dass sie, da es sich hier mE nur um ein Umkonfigurierung bzgl ICQ handelt (und bisher kein Befall vorlag) vielleicht dochmal von Nutzen sein könnte. lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board