Viren/Trojaner GData IS 2011

[Pit_43]

Hallo,

beim automatischen wöchentlichen Virusscan hat GData IS 2011 zwei Viren gefunden und in Quaratäne verschoben.
Siehe Grafik:

Den sTab Launcher habe ich gestern bei Computerbild heruntergeladen und vor der Installation auch auf Viren überprüft, da war alles in Ordnung. Nun meine Frage,kann das ein Fehlverhalten von GData aus sein? Habe leider nichts weiter dazu groß gefunden, außer das man NSIS in Verbindung mit Nullsoft Installer bringt. Wäre über Informationen dankbar.

 

[Norbert]

Ich vermute, dass es sich sich hier um einen Fehlalarm handelt.

Dieses NSIS (Nullsoft Scriptable Install System, Nullsoft ist übrigens auch der Hersteller des bekannten WinAmp) installiert u.a. auch Entpack-Routinen in die ausführbare Setup-Datei, welche bei entsprechenden Manipulationen dann einen Virus/Trojaner enthalten könnte. Soweit ich aber in den vielen Treffern bei Google herauslesen konnte, scheint es sich nur dann um einen Virus bzw. Trojaner zu handeln, wenn Namenszusätze wie ".Ag", ".Agent" oder ähnliche darin enthalten sind.

Kannst du ja mal mit ein oder mehreren der schon oft hier genannten Analyseprogrammen/-dienste prüfen, wie z.B.:

• HiJackThis
• MalwareBytes
• VirusTotal

Vorsicht: Bei meiner Google-Suche bin ich auf eine Seite gestoßen, welche das Tool "PC Safe Doctor" anpreist und den NSIS.Downloader-CO.Drp als potentiell gefährlichen Virus einstuft. WOT warnt allerdings vor dieser Webseite, weshalb ich ihr da nicht vertraue und auch keinen Link zu jener Info hier setze. Seltsam ist auch, dass WOT alle von mir gefundenen Webseiten als nicht vertrauenswürdig einstuft, welche NSIS:Downloader-CO und NSIS:Downloader-BU als von GDATA erkannte Schädlinge ausgeben. Eine diesbezügliche Liste oder Info bei GDATA selbst (SecurityLabs) habe ich jetzt nicht gefunden, da könntest du auch mal nachschauen.

 

[Pit_43]

@Nobert

Danke dir erstmal für deine Informationen.
Da ich die beiden angeblichen schädlichen Datei bei GData nicht einsenden kann, da zu groß, habe ich sie mal auf VirusTotal hochgeladen. und das ist das Ergebnis: VirusTotal - Free Online Virus, Malware and URL Scanner
Anscheind wird das als Malware eingestuft, da bei der Installation des Programms die Babylon Toolbar mitinstalliert werden soll. Dieses habe ich aber nicht installiert. Habe GData mal eine E-mail diesbezüglich geschickt, mal sehen was die antworten.

hier mal der Report von HiJackThis
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:53:08, on 17.02.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
C:\Programme\G Data\InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
C:\Programme\G Data\InternetSecurity\AVK\AVKService.exe
C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\G Data\InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
C:\Programme\Steganos Privacy Suite 11\SteganosHotKeyService.exe
C:\Programme\Steganos Privacy Suite 11\fredirstarter.exe
C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Programme\ASUS\EPU-4 Engine\FourEngine.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\ASUS\Fan Xpert\QFanHelp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos Privacy Suite 11\SteganosBrowserMonitor.exe
C:\Programme\PicPick\picpick.exe
C:\Programme\MKN Software\TaskExplorer\memmon.exe
C:\Programme\USB_video_device\Utility\RemoteTool\BDARemote.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\ArcSoft\TotalMedia 3.5\TMMonitor.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data\internetsecurity\avkkid\avkcks.exe
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: G Data WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O3 - Toolbar: Steganos Password Manager Toolbar - {9C65D12D-CF9D-454D-8049-61965D8C6FFF} - C:\Programme\Steganos Privacy Suite 11\SPMIEToolbar.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G Data\InternetSecurity\WebFilter\AvkWebIE.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NUSB3MON] "C:\Programme\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [SSS2009 HotKeys] "C:\Programme\Steganos Privacy Suite 11\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SSS2009 File Redirection Starter] "C:\Programme\Steganos Privacy Suite 11\fredirstarter.exe"
O4 - HKLM\..\Run: [G Data AntiVirus Tray Application] C:\Programme\G Data\InternetSecurity\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G Data\InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [Six Engine] "C:\Programme\ASUS\EPU-4 Engine\FourEngine.exe" -b
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QFan Help] "C:\Programme\ASUS\Fan Xpert\QFanHelp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SSS2009 Browser Monitor] "C:\Programme\Steganos Privacy Suite 11\SteganosBrowserMonitor.exe"
O4 - HKCU\..\Run: [PicPick Start] C:\Programme\PicPick\picpick.exe
O4 - HKCU\..\Run: [memmon] "C:\Programme\MKN Software\TaskExplorer\memmon.exe" /autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: BDARemote.lnk = ?
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O4 - Global Startup: TMMonitor.lnk = C:\Programme\ArcSoft\TotalMedia 3.5\TMMonitor.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: Steganos Password Manager - {024538B9-3F39-49FF-9503-975F743210FA} - C:\Programme\Steganos Privacy Suite 11\SPMIEToolbar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{778CFBD3-6113-4B93-B1D7-BFBEBF5961C0}: NameServer = 217.0.43.65 217.0.43.81
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G Data\InternetSecurity\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - Unknown owner - C:\Programme\G Data\InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G Data\InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 9240 bytes

 

[Norbert]

Habe GData mal eine E-mail diesbezüglich geschickt, mal sehen was die antworten.

Ja, das war richtig so. Da die Datei selbst zum Einsenden zu groß war, kannst du in der Email außer deren Namen und Quelle auch deren MD5- und/oder SHA-Checksumme angeben, das könnte ebenfalls hilfreich für die Laborfritzen sein.

Kleiner Tipp: Packe so große Listen wie oben immer in Spoiler-Tags ([spoiler=HiJackThis]Liste[/spoiler]), das macht deinen Beitrag übersichtlicher.

 

[Pit_43]

alles klar, Danke dir nochmals.
Das System wird wohl kein Schaden genommen haben oder?

 

[Norbert]

Um sicher zu gehen, kannst ja einfach mal einen Komplettscan über das System laufen lassen, eventuell mit verschiedenen Scannern (kann Stunden dauern).
Falls es sich tatsächlich um einen Download-Trojaner handeln sollte, heißt das aber noch lange nicht, dass inzwischen schon weitere Schadsoftware von ihm aus dem Netz nachgeladen wurde. Falls er überhaupt installiert wurde, was deinem Bild im Startbeitrag nach nicht der Fall zu sein scheint. In deinem HiJackThis-Log habe ich jetzt auch nichts Auffälliges entdecken können.

 

[Pit_43]

Also zum Abschluß noch mal Danke und ich werde GData noch mal drüber laufen lassen und MalwareBytes anschließend hinterher.

 

[Pit_43]

so habe nun nochmal alles gescannt mit GData und MalwareBytes, aber es wurde von beiden nichts mehr gefunden.
Naja dann wird wohl alles sauber sein. Ich hatte vorher auch noch nie irgendwelche Probleme mit Viren oder Ähnliches. Erst seit diesem sTabLauncher.