Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus über Datei: QuickTime_update_KB673901.exe (https://www.trojaner-board.de/81565-virus-datei-quicktime_update_kb673901-exe.html)

Keewee 11.01.2010 12:58
Virus über Datei: QuickTime_update_KB673901.exe
 
Hallo,

ich habe folgendes Problem: Und zwar habe ich vor ein paar Tagen beim Downloaden einer (falschen-) Datei diese Datei (QUICKTIME_UPDATE_KB673901[1].EXE, Prevx - scheint ein ziemlich neues Ding zu sein) mit runtergeladen. Ich war mir nicht sicher, ob diese vom Download stammte, oder ob sich mein Quicktime selbst zum Updaten meldete. Komisch war es schon, weil die .exe-Datei von einem unbekannten Herausgeber stammte; ich habe es trotzdem installiert (schön blöd) - und jetzt habe ich den Salat.

Mein Internet funkionierte auf Modemleistung (Laden von Seiten uÄ) und es ploppten Seiten wie die Suchmaschine bing.com und flirtfever.com auf.
Mein Avira hat allerdings nach 2 Systemdurchläufen im Abstand von einer Stunde nichts finden können. Mit Malwarebytes AM, was ich mit Ach und Krach gerade noch downloaden konnte, wurde ich fündig und konnte die Fehler reparieren.

Mein Log:
Zitat:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3523
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

9.1.2010 02:26:08
mbam-log-2010-01-09 (02-26-03).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 108068
Laufzeit: 6 minute(s), 7 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 21

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Keewee\Anwendungsdaten\SystemProc\lsass.exe (Trojan.Tracur) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\cmutil32.dll (Trojan.Tracur) -> No action taken.
C:\WINDOWS\system32\39.tmp (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03fce0fa-92e7-42e8-acac-6182cdf23da3} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{03fce0fa-92e7-42e8-acac-6182cdf23da3} (Trojan.BHO.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\8cf6d178726 (Trojan.Tracur) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{03fce0fa-92e7-42e8-acac-6182cdf23da3} (Trojan.Tracur) -> No action taken.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rthdbpl (Trojan.Tracur) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: c:\windows\system32\cmutil32.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Tracur) -> Data: system32\cmutil32.dll -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\SysWoW32 (Worm.Archive) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\ciodm32.dll (Trojan.BHO.H) -> No action taken.
C:\WINDOWS\system32\cmutil32.dll (Trojan.Tracur) -> No action taken.
C:\WINDOWS\system32\39.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Amy\Anwendungsdaten\SystemProc\lsass.exe (Trojan.Tracur) -> No action taken.
C:\WINDOWS\system32\danim32.dll (Trojan.Tracur) -> No action taken.
C:\WINDOWS\system32\cnvfat32.dll (Trojan.Tracur) -> No action taken.
C:\WINDOWS\system32\SysWoW32\mi1454148386v4.kwd (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\mi1454148386v6.kwd (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\mi1454148386v7.kwd (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\mu1454148386v5 (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\mu1454148386v5.kwd (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\wu1454148386v0 (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\wu1454148386v0.kwd (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\wu1454148386v1 (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\wu1454148386v1.kwd (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\wu1454148386v2 (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\wu1454148386v2.kwd (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\wu1454148386v3 (Worm.Archive) -> No action taken.
C:\WINDOWS\system32\SysWoW32\wu1454148386v3.kwd (Worm.Archive) -> No action taken.
C:\WINDOWS\GnuHashes.ini (Malware.Trace) -> No action taken.
C:\confin.sys (Malware.Trace) -> No action taken.
Der Browser funktioniert wieder ganz normal und keine Fenster ploppen mehr auf, allerdings bekomm ich dennoch täglich 2-3Mal Warnungen von Avira, dass Trojaner wie TR/dropper.gen, TR/atraps.gen und /trash.gen auf meinem PC gefunden wurden. Stammt das vielleicht noch von der ersten Geschichte? Ich kann nicht sicher gehen, ob das Problem nun wirklich beseitigt wurde oder nicht. Und falls nein, was sollte ich Eurer Meinung nach tun?


Lieben Dank im Voraus.
Keewee

TrojanHunter 11.01.2010 14:05
Hallo,

Der aktive Link in deinem Post führt hoffentlich nicht direkt zur verseuchten Datei!

Lasse CCleaner durchlaufen und anschließend noch einmal Malwarebytes.
Poste danach hier ein Hijackthis Log.

Keewee 11.01.2010 16:44
Hallo.

Zitat:
Der aktive Link in deinem Post führt hoffentlich nicht direkt zur verseuchten Datei!
Nein, tut er nicht, keine Sorge. Das ist das einzig Brauchbare, was ich zu dieser Datei gefunden habe. Für eine Erklärung fande ich es ausreichend.

Ich habe heute Mittag niochmal einen Komplettscan mit Malwarebytes gemacht und bin schon wieder auf eine infizierte Datei gestoßen - dazu bekam ich gleich 3 Trojanermeldungen hintereinander. Wieder entfernt.

Ich habe, wie Du mir geraten hast, den CCleaner und darauf Malwarebytes nochmals drüberlaufen lassen. Diesmal keine Datei gefunden.

Der Log:
Zitat:
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\VT001SNP.exe
C:\WINDOWS\system32\VT001HSN.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Keewee\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [VT001SNP] C:\WINDOWS\system32\VT001SNP.exe
O4 - HKLM\..\Run: [VT001HSN] C:\WINDOWS\system32\VT001HSN.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6503 bytes

Sieht bis dahin gut aus. :) Allerdings würde ich mich nicht wundern, wenn morgen wieder Trojanermeldungen kommen. Ich surfe nicht viel - sie werden automatisch auf meinem Desktop angezeigt. Kein Browser ist geöffnet...

Keewee 12.01.2010 17:43
Heute hatte ich schonwieder eine Warnung von Avira aus heiterem Himmel. Virus gefunden "Trojaner/trash.gen".
Irgendwie scheine ich den nicht los zu kriegen. :twak:

Was kann ich noch tun?


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131