Hallo Leute,

ich habe am Wochenende meinen PC formatiert, weil ich davor einige Probleme mit Viren hatte und es sowieso mal wieder nötig war. Also, neues Windows drauf und alle wichtigen Programme, wie Kaspersky Internet Security 7.0, installiert. Bei einem Scan fiel mir der Ordner D:\System Volume Information\ auf. Ich hielt ihn für eine Art Registry auf D:\ (wurde aber mittlerweile von Google eines besseren belehrt) und dachte mir, dass diese ziemlich vollgemüllt sein müsste, da ich immer nur C: formatiere, wenn ich ein neues Windows aufsetze. Mir fiel ein, dass ESCAN auch verwaiste Registry-Einträge findet und deshalb machte ich einen Scan (ich wusste da noch nicht, dass der Scanner nur C: scannt ohne die Einstellung "alle Festplatten scannen" ). Leider kam dabei mehr zum Vorschein als mir lieb war. 33 verwaiste Registry Einträge wurden angezeigt (bei einem höchstens einen Tag alten Windows?!) und 6 Viren. Darunter 4 Einträge für whenu.savenow Ad-/Spyware, ein Einträg der "Possible Fujacks-type Worm" lautete (diese 5 Einträge hatte ESCAN auch schon vor der Neuinstallation von Windows gefunden) und ein (mir neuer) Eintrag "smitfraud browser hijacker". Auch tauchte nach dem Scan das Problem wieder auf, dass ich bei jedem Neustart diese Fehlermeldung bekomme (die gleiche Fehlermeldung, die auch schon vor der Neuinstallation von Windows bei jedem Neustart kam).
Da es schon spät abends war an diesem Tag, beschloss ich erst einmal schlafen zu gehen und mich am nächsten Tag um die Probleme zu kümmern. Am nächsten tag war aber zu meinem Erstaunen der worm-Eintrag verschwunden. Also kümmerte ich mich als nächstes um den smitfraud browser hijacker und fand mit Hilfe von Google dieses Tool zum Entfernen. Also runtergeladen, laufen gelassen und erneut ESCAN. Diesmal waren die whenu.savenow-Einträge verschwunden (mysteriös?), nicht aber der smitfraud-Eintrag. Dafür sind aber 10 neue "trojan-downloader.bat.ftp.ab Trojan-Downloader"-Einträge. Ich dachte mir, dass vielleicht das Programm zum Entfernen des smitfraud-Eintrags fälschlich als Virus erkannt wird, also Neustart, das Tool gelöscht und erneuter Scan. Diesmal fand ESCAN nurnoch 4 Einträge zu diesem trojan-downloader. Dann hatte ich keine Lust mehr und beschloss am nächsten Tag hier Hilfe zu erfragen.
Tja, und als ich gerade noch einmal einen ESCAN machte, spuckte der Scanner doch tatsächlich jetzt nurnoch 3 Einträge zu dem Downloader und den einen smitfraud-Eintrag aus. Aber das kuriose an der Sache ist, dass jetzt auch der "Possible Fujacks-type Worm"-Eintrag wieder gefunden wird und 2 Einträge zur whenu.save Ad-/Spyware, von denen alle 4 schon einmal verschwunden waren. Tja, und die Fehlermeldung bekomme ich bei jedem Neustart immer noch.
Ich hoffe ihr könnt mir helfen.

ESCAN log nach FAQ Anleitung: http://rapidshare.com/files/46100054/eScan_neu.txt.html
Wenn ihr weitere logs benötigt, einfach schreiben.

mfg
Torlof

PS: Ich hab während der ganzen Geschichte immer mal wieder einen Kaspersky-Scan gemacht. Dieser hat aber nie etwas angezeigt.
Und noch etwas: Bei jedem Neustart werden meine Ordneroptionen resetted. Also versteckte Dateien werden nichtmehr angezeigt etc... Ob das für euch wichtig ist, weiß ich jedoch nicht.

Hallo Torlof,


Gehe einmal so vor: Systemwiederherstellung deaktivieren > In den abgesicherten Modus Booten > Systemscan durchführen und evtl. Funde löschen > Wieder normal booten >Systemwiederherstellung wieder aktivieren. Dann kannst du noch dannach mit diesem tool >>>>Blacklight<<<< Scannen und Funde löschen.
Dannach kannst du einmal ein HJT - Logfile erstellen und hierher posten, Danke.



LG

Hallo terayaki,

Meinst du mit Systemscan einen Scan mit ESCAN? Denn ich habe nur die Download-Version von ESCAN und die kann bekanntlich nichts löschen.

mfg

Nein, mit deinem -aktuellen- AV - Programm. Vielleicht von Avira ?

Torlof, poste das eScan log bitte noch.

Bata

Also, habe im abgesicherten Modus mit Kaspersky gescannt, aber nichts wurde gefunden.
Ich versuchs jetzt mal mit Blacklight, danach poste ich den HJT-log

@BataAlexander
Ich habe den log zwar auf Rapidshare upgeloadet (link oben), aber für alle Download-Faulen gibts den log hier zum lesen ^^:

Zitat:

Zitat von eScan-log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\save\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{449C8987-E159-492D-9CF0-ABF3B35EEB12}\RP20\A0013867.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\Install\GIRC Install\girc32.exe//data0082 markiert als not-a-virus:Client-IRC.Win32.mIRC.601. Keine Aktion vorgenommen.
Datei D:\Install\GIRC Install\girc421_430.exe//stream//data0008 markiert als not-a-virus:Client-IRC.Win32.mIRC.614. Keine Aktion vorgenommen.
Datei D:\Install\GIRC Install\girc442.exe//stream//data0009 markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Desktop\smitfraudfix\smitfraudfix\swsc.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\cmdlineext02.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fca66222-3c4a-11dc-b339-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {fca66222-3c4a-11dc-b339-806d6172696f}\Shell\AutoRun\command: F:\autoplay.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 28165
Gescannte Dateien: 28147
Gescannte Dateien: 28145
Gescannte Dateien: 28192
Gescannte Dateien: 28188
Gescannte Dateien: 28088
Gescannte Dateien: 54113
Gefundene Viren: 10
Gefundene Viren: 4
Gefundene Viren: 4
Gefundene Viren: 6
Gefundene Viren: 6
Gefundene Viren: 7
Gefundene Viren: 11
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 33
Anzahl Fehler: 33
Anzahl Fehler: 33
Anzahl Fehler: 33
Anzahl Fehler: 27
Anzahl Fehler: 27
Anzahl Fehler: 27
Dauer des Scans bisher: 00:02:45
Dauer des Scans bisher: 00:02:16
Dauer des Scans bisher: 00:02:20
Dauer des Scans bisher: 00:02:17
Dauer des Scans bisher: 00:01:43
Dauer des Scans bisher: 00:01:36
Dauer des Scans bisher: 00:22:05
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 12:24:50,43
Batchende: 12:25:06,39

So, Blacklight fand auch nichts.

Hier ist mein HJT-log:

Zitat:

Zitat von HiJackThis-log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:49:20, on 31.7.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\HijackThis\HijackThis.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Verlängern Sie Ihre Lizenz
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Programme\FlashGet\jccatch.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Programme\FlashGet\getflash.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1185560619312
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

--
End of file - 5205 bytes

Das eScanlog wurde bereits gepostet, darin findet man:
-Einträge von Smitfraudfix die als schädlich erkannt werden (SMF kopiert sich auch in den system32-ordner, daher wurde evtl weiterhin Dateien gefunden. ) Im System32-Ordner und in der Systemwiederherstellung)
-die cmdlineext02.dll, die wie der Link zeigt ebenfalls ein False-positive ist. Also kein Virus
-der übliche ICQ-Ordner, der fälschkicher Weise als "offending file" erkannt wird.

Und einen Eintrag den ich nicht kenne. Werte daher bitte folgende Datei mal bei virustotal aus.

Zitat:

D:\save\Eigene Dateien\desktop.ini

Wenn die Datei sauber ist, dürfte auch der ganze Rechner sauber sein.
lg myrtille

desktop.ini ist eine 0 byte Datei, die in dem Eigenen Datei Ordner vor der Windows Neuinstallation lag. Da ich ja C: formatiert habe, habe ich den Ordner Eigene Dateien unter D: gesavt.

Aber 2 Fragen bleiben, wenn mein PC clean ist:
1. Warum kommt bei jedem Boot die Meldung vom IE bzw. activex (siehe 1. post)
2. Warum werden bei jedem Neustart meine Ordneroptionen resetted? (ziemlich nervig jedesmal erneut einstellen zu müssen, dass versteckte Dateien angezeigt werden)

Zitat:

Zitat von Torlof

desktop.ini ist eine 0 byte Datei, die in dem Eigenen Datei Ordner vor der Windows Neuinstallation lag. Da ich ja C: formatiert habe, habe ich den Ordner Eigene Dateien unter D: gesavt.

Öffne die Datei mal mit einem Texteditor und poste was in ihr steht. Eigentlich ist "desktop.ini" ne Systemdatei, allerdings schreiben sich einige Viren auch in dieses Dateien. Wenn die Datei leer ist, kannst du sie auch einfach löschen.

Zitat:

Aber 2 Fragen bleiben, wenn mein PC clean ist:
1. Warum kommt bei jedem Boot die Meldung vom IE bzw. activex (siehe 1. post)
2. Warum werden bei jedem Neustart meine Ordneroptionen resetted? (ziemlich nervig jedesmal erneut einstellen zu müssen, dass versteckte Dateien angezeigt werden)

Ich guck mal, was ich rausfinden kann.
Könntest du inzwischen mal folgende Datein suchen und bei virustotal auswerten lassen:

Zitat:

advpack.dll
nLite.inf

lg myrtille

EDIT:
Dein Problem liest sich so, als ob du ein Problem mit der Registry hast. Kann es sein, dass du nen Wächter am laufen hast, der automatisch alle Änderungen in der Registry zurücksetzt. (Der Spybotwächter macht sowas zb)
Was für Wächter hast du denn am laufen, wie sind sie konfiguriert?

desktop.ini gecheckt, is komplett leer

advpack.dll wird gerade gecheckt, ich editier dann rein, was dabei rausgekommen ist
edit: datei ist clean, also keine ergebnisse
nLite.inf hab ich nicht gefunden... wo soll diese datei stecken?

@registry-problem:
ich hab kaspersky internet security am laufen, aber die überwachung der systemregistrierung ist dabei (standartmäßig) ausgeschaltet

mfg

Ich habe noch eine weitere Frage. Die Dateien process.exe, swreg.exe und swsc.exe scheinen ja keine Systemdateien zu sein. Kann ich sie mit Killbox einfach löschen?

mfg

Ja, du solltest die Dateien aber auch einfach so löschen können.
Die Dateien gehören zu Smitfraudfix.

(Zu deinem anderen Problem finde ich leider nichts. Du kannst einfach mal Probieren die Wächter deiner Antivirenprogramme zu deaktivieren und neu zu starten. Vielleicht löst sich dein Problem dann. Danach kannst du die Wächter wieder aktivieren. )

lg myrtille

Habe jetzt gerade mal nen Scan mit RegSeeker durchgeführt, um verwaiste Registry Einträge zu finden. 346 Treffer empfinde ich dabei aber als etwas dubios. Ich werde wohl nichts davon löschen. Lieber ne vollgemüllte Registry, als 3 Jahre testen, welche EInträge gebraucht werden und welche nicht.
Naja, ich habe aber dabei aber etwas interessantes gefunden. Bei vielen Einträgen steht nämlich die Bemerkung "Invalid ActiveX/COM entry (CLSID)"
Könnte das was mit meiner Fehlermeldung beim Startup zu tun haben?

Jein, eigentlich nicht wirklich. Die Meldung sagt ja ausdrücklich, dass dem Active-X Element die Rechte fehlen um ausgeführt zu werden.
Du kannst natürlich auch mal alle installierten Active-X-Elemente entfernen. Das sind die O16-Einträge bei Hijackthis.

Hat der Neustart irgendwie geholfen?

lg myrtille