Hallo, Hab den "virusHeast" Virus/Trojaner....was auch immer das ist, hab jetzt nachgelesen und das so verstanden, dass ich euch folgendes posten kann und iirgendwer sagt mir (wenn er so nett ist) was ich davon löschen kann?! Hoff das stimmt. Achja, hab windows XP und als Fehlermeldung kommt immer dass ich nen Trojaner hab, und wenn ich auf die Meldung klcike komm ich auf die HP von VirusHeat, wo ich ein Antuvirus programm kaufen kann/soll.

Also:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 02:14:12, on 01.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\sbmntr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programme\NetProject\scm.exe
C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\NetProject\sbsm.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\45Y381I3\HiJackThis_v2[1].exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O2 - BHO: 375013 helper - {74F7DB6B-86E9-4B91-9D9F-B0D954D7AA5B} - C:\WINDOWS\system32\375013\375013.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Programme\NetProject\sbmdl.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Internet Service - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - C:\Programme\NetProject\wamdl.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [pviever] "C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe" hide
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\daemon.exe -autorun
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h*p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206893029328
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h*p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: enviva - {f43bfc6c-47cc-4798-8798-a0721b8ed7ab} - C:\WINDOWS\system32\baoohy.dll

--
End of file - 6398 bytes

DANKE erstmal

Lade folgende Dateien bei www.virustotal.com hoch und poste das Ergebnis:

C:\Programme\NetProject\scit.exe

C:\Programme\NetProject\sbmntr.exe

C:\WINDOWS\ALCMTR.EXE

C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe [no comment!!!]

C:\Programme\NetProject\sbsm.exe

C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingRepo rt.dll

C:\Programme\NetProject\sbmdl.dll

C:\Programme\NetProject\wamdl.dll


Fixen mit Hijackthis:

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing)

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing)

Danke.
Diese Datei hab ich nicht gefunden bzw. stimmt der name mit der nummer in der klammer bei mir nicht überein??
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing)


C:\Programme\NetProject\scit.exe
Ergebnis: 11/32 (34.38%)

C:\Programme\NetProject\sbmntr.exe
Ergebnis: 10/32 (31.25%)

C:\WINDOWS\ALCMTR.EXE
Ergebnis: 0/32 (0%)

C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe
Ergebnis: 16/32 (50%)

C:\Programme\NetProject\sbsm.exe
Ergebnis: 7/32 (21.88%)

C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingRepo rt.dll
0 bytes size received / Se ha recibido un archivo vacio

C:\Programme\NetProject\sbmdl.dll
Ergebnis: 8/32 (25%)

C:\Programme\NetProject\wamdl.dll
Ergebnis: 15/31 (48.39%)

hallo,
mal wieder zlob.

Zitat:

C:\Programme\NetProject\scit.exe

etc.
wo kommt der nur immer her?
die komplette auswertung (bitte das vt-ergebnis kopieren/einfügen) von

Zitat:

C:\Program Files\Gay-Lesbian-Photo\Gay-Lesbian-Photo.exe

wäre von interesse. sollte es sich, wie hier
Troj/Delf-EYW Trojan (Generic, Downloader.d, Backdoor.Win32.Delf.cav), Generic, Downloader.d, Backdoor.Win32.Delf.cav - Sophos security analysis
beschrieben, um backdoor-malware handeln, wäre Neuaufsetzen die beste lösung.

Wär super wenns ne andere Möglichkeit gibt als neu aufsetzen, bring das nämlich sicher nicht allein zusammen.

Warum eigentlich letztens "no comment" ? So ein Zeug lad ich ja nicht runter, zumindest nicht absichtlich :-), und selbst wenn .... ?!

hoff du kannst mir helfen, danke nochmal!

Datei Gay-Lesbian-Photo.exe_ empfangen 2008.04.07 02:37:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 18/32 (56.25%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 45 und 65 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.4.1 2008.04.04 -
AntiVir 7.6.0.81 2008.04.05 TR/Click.Delf.UI
Authentium 4.93.8 2008.04.05 -
Avast 4.7.1098.0 2008.04.06 Win32elf-FIZ
AVG 7.5.0.516 2008.04.06 Clicker.MLG
BitDefender 7.2 2008.04.07 -
CAT-QuickHeal 9.50 2008.04.05 TrojanClicker.Delf.ui
ClamAV 0.92.1 2008.04.07 Trojan.Clicker-548
DrWeb 4.44.0.09170 2008.04.06 Trojan.Click.origin
eSafe 7.0.15.0 2008.04.01 suspicious Trojan/Worm
eTrust-Vet 31.3.5672 2008.04.04 -
Ewido 4.0 2008.04.06 -
F-Prot 4.4.2.54 2008.04.06 W32/Banload.E.gen!Eldorado
F-Secure 6.70.13260.0 2008.04.07 Trojan-Clicker.Win32.Delf.ui
FileAdvisor 1 2008.04.07 -
Fortinet 3.14.0.0 2008.04.06 Adware/Uddo
Ikarus T3.1.1.20 2008.04.07 Virus.Win32.Trojan
Kaspersky 7.0.0.125 2008.04.07 Trojan-Clicker.Win32.Delf.ui
McAfee 5267 2008.04.04 -
Microsoft 1.3408 2008.04.06 -
NOD32v2 3005 2008.04.06 -
Norman 5.80.02 2008.04.04 -
Panda 9.0.0.4 2008.04.06 Suspicious file
Prevx1 V2 2008.04.07 Heuristic: Suspicious File With Persistence
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.07 Mal/Uddo-A
Sunbelt 3.0.1032.0 2008.04.07 -
Symantec 10 2008.04.07 -
TheHacker 6.2.92.266 2008.04.05 Trojan/Clicker.Delf.ui
VBA32 3.12.6.4 2008.04.06 Trojan.Win32.Clicker
VirusBuster 4.3.26:9 2008.04.06 -
Webwasher-Gateway 6.6.2 2008.04.05 Trojan.Click.Delf.UI
weitere Informationen
File size: 325120 bytes
MD5...: f7fbd8737bd47a15e3e82d368a4c17da
SHA1..: 798c351e352899655a95edb4e54d55642761d3c6
SHA256: f77f93013b184f1ce67c2df7b5f54983e288bd7364a2e956ece0ef08cac50be9
SHA512: 95838f2d1d4c29109b40cc00880701234e6ce92ef831a832ffd70002149d1ca5
ec239e7ea1fe4de51ae3384c9fa07b9ab02967db7c4318a6b3cd3680c0b2ab9a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4d88a0
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x8a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8b000 0x4e000 0x4dc00 7.92 daf44244a57e45718eb97ac25c1f6d29
.rsrc 0xd9000 0x2000 0x1600 3.21 e2d62fe738317cb5db4ef924ba20e418

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> advapi32.dll: RegFlushKey
> comctl32.dll: ImageList_Add
> gdi32.dll: SaveDC
> ole32.dll: OleDraw
> oleaut32.dll: VariantCopy
> shell32.dll: SHGetMalloc
> URLMON.DLL: URLDownloadToFileA
> user32.dll: GetDC

( 0 exports )

packers: UPX
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4EC55727006C30AEF6F904E0BC8B42008659E2C4

hallo, Cherry123456,

neuaufsetzen ist nicht schwierig und der einzig sichere weg,
deinen rechner wieder in einen vertrauenswürdigen zustand zu versetzen.
http://www.trojaner-board.de/51262-n...sicherung.html

eine bereinigung kann u.u. deutlich länger dauern.
wenn du es trotzdem machen willst:

wende smitfraudfix nach dieser anleitung
SmitFraudFix
an.

dann lade dir hier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
combofix auf den desktop herunter,
alle programme, guards, firewall etc. schliessen.
combofix ausführen,
drücke die 1 und lass das programm durchlaufen.
währenddessen nichts am computer machen.

dann bitte das anwenden
http://www.trojaner-board.de/51187-m...i-malware.html

dann lade dir hier
http://www.trendsecure.com/portal/en...HiJackThis.exe
die aktuelle version von HijackThis herunter, nenne die hijackthis.exe in abc.exe um,
dann
- do a system scan and save a logfile

und dann poste bitte die logs rapport.txt, combofix.txt und die von Anti-Malware und
hijackthis.