Trojaner-Board - Win32:Alman-G Problem

Guten Abend,

G data hat so eben den wöchentlichen Suchlauf beendet, da kam die Meldung:

Code:

Virenprüfung mit G Data AntiVirus

Version 20.0.2.0 (16.03.2009)

Virensignaturen vom 10.04.2009

Startzeit: 10.04.2009 22:30

Engine(s): Engine A (AVA 19.4772), Engine B (AVB 19.295)

Heuristik: Ein

Archive: Ein

Systembereiche: Ein

RootKits prüfen: Aus
 

Prüfung der Systembereiche...

Prüfung folgender Verzeichnisse und Dateien:

  C:\Users\Admin\AppData\Local\Downloaded Installations\{C7E4A07E-B35E-4CF4-8CEB-3231EED1E0E0}\
 

Objekt: Data1.cab\avkims.exe.08A0A846_3415_46BF_A61E_C08BE3B7CB32

        In Archiv: C:\Users\Admin\AppData\Local\Downloaded Installations\{C7E4A07E-B35E-4CF4-8CEB-3231EED1E0E0}\setup.msi

        Status: Virus gefunden

        Virus: Win32:Alman-G (Engine B)

Objekt: setup.msi

        Pfad: C:\Users\Admin\AppData\Local\Downloaded Installations\{C7E4A07E-B35E-4CF4-8CEB-3231EED1E0E0}

        Status: Datei in Quarantäne verschoben

        Virus: Win32:Alman-G (Engine B)
 

Analyse vollständig durchgeführt: 10.04.2009 22:31

    1 Dateien überprüft

    1 infizierte Dateien gefunden

    0 verdächtige Dateien gefunden

Hab mich ertsmal gewundert, da ich keine Ahnung habe, wie das Ding auf mein Pc gekommen sein könnte.
Meine erste Vermutung war Fehlalarm. Hab die Datei dann bei virustotal.com hochladen wollen, bloß ist sie zu groß dafür (um die 230mb, meiner Meinung nach etwas Groß für einen Virus :crazy: )
Dann hab ich mal mal gegoogelt. Da kam dann das hier: hijackthisforum: Win32:Alman-g
Bei diesem Fall wurde der Virus auch von Gdata im selben Ordner in der selben Datei gefunden. Dies verstärkte meine Vermutung auf einen Fehlalarm, zumal die Datei auch noch, wenn man dem Eigenschaftenfenster glauben schenken darf, vom 13. Januar 2009 ist. Ich hab die Datei trotzdem mal in die Quarantäne von Gdata verschoben. Davor hab ich allerdings mit Superantispyware das Verzeichnis scannen lassen, aber es fand nix schädliches in der Datei.
Jetzt hab ich aber in dem Thread (Win32.Alman.G - HijackThis.de Support Board) gelesen, dass der jenige dort ein Problem mit dem Port 445 hat. Dieses Problem konnte ich bei mir zwar nicht feststellen, aber ich bin mir nun unsicher, ob das wirklich nur ein fehlalarm war oder ich vielleicht doch diesen Virus hab.

Hier mal ein HJT Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:33:28, on 10.04.2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal
 

Running processes:

E:\Program Files (x86)\Tobit ClipInc\Player\ClipIncTray.exe

E:\Program Files (x86)\RocketDock\RocketDock.exe

C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe

C:\Program Files (x86)\G DATA\InternetSecurity\AVKTray\AVKTray.exe

E:\Program Files (x86)\ICQ6.5\ICQ.exe

E:\Program Files (x86)\Xfire\Xfire.exe

E:\Program Files (x86)\Tobit ClipInc\Player\clipinc-player.exe

C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

c:\Users\Dominik\Downloads\HiJackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

F2 - REG:system.ini: UserInit=userinit.exe

O1 - Hosts: ::1 localhost

O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files (x86)\G DATA\InternetSecurity\Webfilter\AVKWebIE.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll

O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files (x86)\G DATA\InternetSecurity\Webfilter\AVKWebIE.dll

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\JM\JMInsIDE.exe

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [WorksFUD] "C:\Program Files (x86)\Microsoft Works\wkfud.exe"

O4 - HKLM\..\Run: [GDFirewallTray] C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFirewallTray.exe

O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Program Files (x86)\G DATA\InternetSecurity\AVKTray\AVKTray.exe

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-21-1715595814-1856762126-913072099-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'username')

O4 - HKUS\S-1-5-21-1715595814-1856762126-913072099-1001\..\Run: [ClipIncSrvTray] "E:\Program Files (x86)\Tobit ClipInc\Player\ClipIncTray.exe" (User 'username')

O4 - HKUS\S-1-5-21-1715595814-1856762126-913072099-1001\..\Run: [RocketDock] "E:\Program Files (x86)\RocketDock\RocketDock.exe" (User 'username')

O4 - HKUS\S-1-5-21-1715595814-1856762126-913072099-1001\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe (User 'username')

O4 - Global Startup: AutorunsDisabled

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Program Files (x86)\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Program Files (x86)\ICQ6.5\ICQ.exe

O13 - Gopher Prefix: 

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll

O20 - Winlogon Notify: !SASWinLogon - E:\Program Files (x86)\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files (x86)\Common Files\G DATA\AVKProxy\AVKProxy.exe

O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Program Files (x86)\G DATA\InternetSecurity\AVK\AVKService.exe

O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Program Files (x86)\G DATA\InternetSecurity\AVK\AVKWCtlX64.exe

O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - e:\Program Files (x86)\Tobit ClipInc\Server\ClipInc-Server.exe

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Program Files (x86)\G DATA\InternetSecurity\Firewall\GDFwSvcx64.exe

O23 - Service: G Data Scanner (GDScan) - G DATA Software AG - C:\Program Files (x86)\Common Files\G DATA\GDScan\GDScan.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe

O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - E:\Program Files\SiSoftware\SiSoftware Sandra Lite 2009.SP1\RpcAgentSrv.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
 

--

End of file - 8690 bytes

Betriebssystem: Microsoft Windows Vista Home Premium 64 bit
Security Suite: Gdata Internet Security 2010

Würd mich freuen wenn mir jemand Klarheit verschaffen könnte.

Frohe Ostern
Damnek