Hi,

habe ein Programm installiert, leider habe ich erst nacher die Datei bei Virustotal getestet (kenn die Seit erst seit 5min).
Virustotal zeigt mir Trojaner... an, wobei ich mein System immer auf dem neusten Stand halte...
Kann mir jemand sagen ob ich befallen bin?
Hier meine Virustotal auswertung und mein HikackThis Logfile:
(Habe seit der Installation des Programms noch nicht neu gestartet)

Dankeschön im Vorraus!!


Virustotal:
Antivirus Version Update Result
AntiVir 7.3.1.34 02.08.2007 no virus found
Authentium 4.93.8 02.08.2007 W32/Trojan.IHS
Avast 4.7.936.0 02.08.2007 Win32:Trojan-gen. {UPX!}
AVG 386 02.08.2007 Dropper.Generic.FTJ
BitDefender 7.2 02.08.2007 Trojan.Dropper.Delf.YB
CAT-QuickHeal 9.00 02.08.2007 no virus found
ClamAV devel-20060426 02.08.2007 Trojan.Dropper.Delf-153
DrWeb 4.33 02.08.2007 Trojan.MulDrop.4303
eSafe 7.0.14.0 02.08.2007 suspicious Trojan/Worm
eTrust-InoculateIT 30.4.3378 02.08.2007 no virus found
eTrust-Vet 30.4.3378 02.08.2007 no virus found
Ewido 4.0 02.08.2007 Dropper.Delf.yb
Fortinet 2.85.0.0 02.08.2007 no virus found
F-Prot 4.2.1.29 02.08.2007 W32/Trojan.IHS
F-Secure 6.70.13030.0 02.08.2007 Trojan-Dropper.Win32.Delf.yb
Ikarus T3.1.0.31 02.08.2007 Trojan-Dropper.Win32.Delf.yb
Kaspersky 4.0.2.24 02.08.2007 Trojan-Dropper.Win32.Delf.yb
McAfee 4959 02.08.2007 Generic Dropper.l
Microsoft 1.2101 02.08.2007 no virus found
NOD32v2 2046 02.08.2007 no virus found
Norman 5.80.02 02.08.2007 W32/Delf.NMN
Panda 9.0.0.4 02.08.2007 no virus found
Prevx1 V2 02.08.2007 no virus found
Sophos 4.13.0 02.08.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.08.2007 no virus found
TheHacker 6.1.6.053 02.07.2007 Trojan/Dropper.Delf.yb
UNA 1.83 02.08.2007 TrojanDropper.Win32.Delf.B476
VBA32 3.11.2 02.08.2007 Trojan-Dropper.Win32.Delf.yb
VirusBuster 4.3.19:9 02.08.2007 no virus found


HijackThis:


Logfile of HijackThis v1.99.1
Scan saved at 23:14:38, on 08.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Browser Mouse 1.0\LwbWheel.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\OpenOffice.org 2.0\program\soffice.exe
D:\Programme\OpenOffice.org 2.0\program\soffice.BIN
D:\Programme\QIP\qip.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\...\Desktop\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] D:\Programme\Mozilla Firefox\plugins\GetFlash.exe -p
O4 - Startup: LwbWheel.lnk = D:\Programme\Browser Mouse 1.0\LwbWheel.exe
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168375113171
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hallo.

-Würdest du uns auch gemäß den Nutzungsbedingungen des Boardes sagen wo und welche Datei ausgewertet wurde?

Dein Logfile zumindest ist unauffällig.

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Sunny

Zitat:

-Würdest du uns auch gemäß den Nutzungsbedingungen des Boardes sagen wo und welche Datei ausgewertet wurde?

Die Datei war eine angelbliche Setup.exe des Programms AKVIS Coloriage und
ich habe sie auf www.virustotal.com getestet.

Habe mein System mit Blcklight gescannt, ein logfile... hab ich nicht erhalten was ich hier posten könnte, nach dem Scan steht nur:

Status:
Scan complete.
No hidden item found.


Hier des Ergebnis der des "eScan" das mit dieser "find.bat" ausgwertet wurde:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Fri Feb 09 00:14:47 2007 => Version 9.1.1 (C:\DOKUME~1\***\LOKALE~1\Temp\mexe.com)
Fri Feb 09 00:13:45 2007 => Virus Database Date: 2/8/2007
Fri Feb 09 03:50:38 2007 => Virus Database Date: 2/8/2007
Fri Feb 09 08:06:12 2007 => Virus Database Date: 2/8/2007
Thu Feb 08 23:31:35 2007 => Virus-Datenbank Datum: 2/3/2007
Thu Feb 08 23:32:45 2007 => Virus-Datenbank Datum: 2/8/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 08 23:33:44 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
Fri Feb 09 00:15:32 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Fri Feb 09 00:22:24 2007 => File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\gs5cbvut.andi\Mail\Local Folders\Inbox infected by "Email-Worm.Win32.Zhelatin.t" Virus! Action Taken: No Action Taken.
Fri Feb 09 00:54:18 2007 => File D:\Multimedia\Video.Fixer.v3.23_CRKEXE-FFF.exe infected by "Trojan-Downloader.Win32.Small.ckj" Virus! Action Taken: No Action Taken.
Fri Feb 09 00:57:36 2007 => File D:\My Downloads\fake webcam\fake webcam\Fakewebcam\setupxp.exe infected by "Backdoor.Win32.VB.apv" Virus! Action Taken: No Action Taken.
Fri Feb 09 00:57:48 2007 => File D:\My Downloads\fake webcam.rar infected by "Backdoor.Win32.VB.apv" Virus! Action Taken: No Action Taken.
Fri Feb 09 01:00:45 2007 => File D:\My Downloads\Nero Burning Rom 6.0 Ultra Edition Incl Keygen & Serial updated-fixed 06-2006.zip infected by "P2P-Worm.Win32.SpyBot.gz" Virus! Action Taken: No Action Taken.
Fri Feb 09 02:06:50 2007 => File D:\Setups\GFX-akvis-coloriage_v3.1_Multilingual.WinALL.rar infected by "Trojan-Dropper.Win32.Delf.yb" Virus! Action Taken: No Action Taken.
Fri Feb 09 03:10:47 2007 => File D:\sysneu\Thunderbird\Profiles\ad8np7dq.default\Mail\Local Folders\Inbox infected by "Backdoor.Win32.Agent.akf" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Feb 09 01:53:24 2007 => Scanning File D:\Programme\SWI Prolog\xpce\prolog\lib\pce_tagged_connection.pl
Fri Feb 09 02:05:57 2007 => File D:\Setups\fake.webcam 1.0\Fake.Webcam 1.0\Patch.exe tagged as not-a-virus:Monitor.Win32.Ardamax.20. No Action Taken.
Fri Feb 09 02:05:58 2007 => File D:\Setups\fake.webcam 1.0.zip tagged as not-a-virus:Monitor.Win32.Ardamax.20. No Action Taken.
Fri Feb 09 02:17:27 2007 => File D:\Setups\vnc-4_1_1-x86_win32.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4110. No Action Taken.
Fri Feb 09 03:15:52 2007 => File D:\System Volume Information\_restore{0ACE8324-2962-4FAE-B811-B307A8817F27}\RP54\A0017758.exe tagged as not-a-virus:Monitor.Win32.Ardamax.20. No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Feb 08 23:33:44 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
Fri Feb 09 00:15:32 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu Feb 08 23:33:30 2007 => Offending Key found: HKLM\Software\magnet !!!
Thu Feb 08 23:33:30 2007 => Offending Key found: HKLM\Software\microsoft\mm !!!
Thu Feb 08 23:33:30 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
Thu Feb 08 23:33:31 2007 => Offending Key found: HKCU\\magnet !!!
Fri Feb 09 00:15:17 2007 => Offending Key found: HKLM\Software\magnet !!!
Fri Feb 09 00:15:17 2007 => Offending Key found: HKLM\Software\microsoft\mm !!!
Fri Feb 09 00:15:18 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
Fri Feb 09 00:15:19 2007 => Offending Key found: HKCU\\magnet !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 08 23:32:52 2007 => Specherüberprüfung: Aktiviert
Thu Feb 08 23:32:52 2007 => Registry Überprüfung: Aktiviert
Thu Feb 08 23:32:52 2007 => System-Ordner Überprüfung: Deaktiviert
Thu Feb 08 23:32:52 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu Feb 08 23:32:52 2007 => Überprüfung der Dienste: Aktiviert
Thu Feb 08 23:32:52 2007 => Überprüfung der Festplatten: Deaktiviert
Thu Feb 08 23:32:52 2007 => Überprüfung aller Festplatten :Aktiviert

Kann mir jemand sagen ob ich befallen bin,
oder konnten die Trojaner... vllt garnicht installiert werden?
Muss ich mein System neu aufsetzen oder kriegt mann
das aus so wieder hin?

Dankeschön!

mfg mrdhz