Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verseuchter WinRar DL bei chip.de?!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.03.2009, 02:58   #1
krasno
 
Verseuchter WinRar DL bei chip.de?! - Ausrufezeichen

Verseuchter WinRar DL bei chip.de?!



hey folks,

habe grade mein system neu aufgesetzt (xp) und mir das neue sicherheits-rundum-sorglos-paket ;) von comodo runtergeladen. dieses führt automatisch einen scan nach der installation durch. so weit so gut. da ich windows erst fünf minuten vorher neu aufgebrüht hatte, erwartete ich jetzt also nicht allzu viel neues. umso mehr war ich über folgende meldung erstaunt:

infected file found!
Backdoor.Win32.Hupigon.~DRNG(ID = 0xa4050a) C:\Programme\WinRAR\Default.SFX

..hmm, wo kam das denn jetzt her?? ist das etwa der (kaspersky proofed:) WinRar DL von chip gewesen, der mir diese sympatische backdoor vermacht hat? oder könnte es sein, das die comodo-sicherheitssuite da etwas reininterpretiert hat, was eigentlich gar nicht stimmt??

was meint ihr dazu?
werde mich jetzt auch mal auf spurensuche begeben und hier posten was ich gefunden hab..


ps: hier der dl-link von chip
h**p://www.chip.de/downloads/WinRAR_12994655.html
be careful ;)


##
thx4reading/sry4schreibing_alles_klein
krasno

Geändert von krasno (25.03.2009 um 03:02 Uhr) Grund: text edit

Alt 25.03.2009, 05:15   #2
krasno
 
Verseuchter WinRar DL bei chip.de?! - Standard

Verseuchter WinRar DL bei chip.de?!



hm, also winrar von gleicher quelle nochmal runtergeladen und installiert. nix. also werde ich mir das irgendwie anders eingefangen haben. checke jetzt mal alle DL seit neuinstallation..
diese wären:

- h**p://download.mozilla.org/?product=firefox-3.0.7&os=win&lang=de
- h**p://download.comodo.com/cis/download/setups/CIS_Setup_3.8.65951.477_XP_Vista_x32.exe
- h**ps://addons.mozilla.org/de/firefox/downloads/latest/1865
- h**ps://addons.mozilla.org/de/firefox/addon/6521
- h**ps://addons.mozilla.org/de/firefox/addons/policy/0/8758/47660
- h**p://www.downloadhelper.net/welcome.php?version=4.2
- h**p://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe
- h**p://dl24.chip.de/download/656242a6f9598ffbc42edfdc249a91e2/49c96811/4116616/CIS_Setup_3.8.65951.477_XP_Vista_x32.exe
- h**p://download.divx.com/divx/DivXInstaller.exe
- h**p://fc09.deviantart.com/fs18/f/2007/179/f/8/Luna_Element_v5_1_Black_by_Gelosea.rar
- h**p://uploads.neowin.net/download.php?file=post-1-1161291464.ipb&name=UXTheme_Multi_Patcher_4.0.zip
- h**p://dl28.chip.de/download/4df1bfd56e202801a6658580f1ee43d7/49c96c68/29890/wrar380d.exe (nur zur vollständigkeit)
- h**p://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jxpiinstall-6u13-fcs-bin-b03-windows-i586-09_mar_2009.exe?e=1237939198090&h=ec810f67ac63d7a0f0aa40baa4014c50/&filename=jxpiinstall-6u13-fcs-bin-b03-windows-i586-09_mar_2009.exe
- h**p://fpdownload.macromedia.com/get/shockwave/default/english/win95nt/latest/Shockwave_Installer_Slim.exe

bin gespannt!
...könnte er auch von der 2. (nicht formatierten) partition gekommen sein und sich auf c:\ neu eingenistet haben - ich meine, ist sowas generell möglich?

##
lg.krasno
__________________


Geändert von krasno (25.03.2009 um 05:16 Uhr) Grund: http=>h**p

Alt 25.03.2009, 06:00   #3
krasno
 
Verseuchter WinRar DL bei chip.de?! - Standard

Verseuchter WinRar DL bei chip.de?!



nkay, langsam ärgere ich mich, dass ich den löschen-button gedrückt habe als die meldung von comodo kam.. hätte doch sehr gerne die datei mal mit ein bis zwei vertrauenswürdigen virenscannern, wie z.b. dem kostenlosen opendownload-superscanner gecheckt ;)
ne, spaß bei seite, avast hätte es bestimmt auch getan. na ja, läßt sich nicht mehr ändern..

poste mal den log, der nach entfernen des "schädlings" erstellt wurde:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:46:20, on 25.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mobile Partner\Mobile Partner.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237936336637
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC2B258E-555F-48B2-936D-567A8E95922A}: NameServer = 193.189.244.197 193.189.244.205
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 2674 bytes

##
vielen dank für ihre aufmerksamkeit
krasno
__________________

Antwort

Themen zu Verseuchter WinRar DL bei chip.de?!
aufgesetzt, automatisch, chip, chip.de, comodo, file, folge, folgende, found, führt, gefunde, installation, kaspersky, meldung, minute, minuten, neu, neu aufgesetzt, neue, poste, posten, programme, scan, suche, system, system neu, windows, winrar



Ähnliche Themen: Verseuchter WinRar DL bei chip.de?!


  1. Sicherheitslücke: Gefährliche Archive mit WinRAR erzeugen
    Nachrichten - 28.09.2015 (0)
  2. Winrar Passwort Problem
    Alles rund um Windows - 15.07.2015 (10)
  3. Anti Twin Portable - Chip Installer.exe installiert von www.chip.de - Virenallarm
    Plagegeister aller Art und deren Bekämpfung - 29.06.2014 (5)
  4. avast! Fehlalarm während WinRAR Installation
    Diskussionsforum - 14.06.2014 (1)
  5. Winrar Frage.
    Alles rund um Windows - 04.11.2012 (6)
  6. (2x) Programm aus Winrar entpack und dann sind die 4Gb verschwunden
    Mülltonne - 03.11.2012 (1)
  7. Trojan.Agent/Gen-Yoddos in C:\Programme\WinRar\Default.SFX
    Mülltonne - 01.08.2012 (0)
  8. WinRar und Grafikkarten Traiber update Probleme
    Log-Analyse und Auswertung - 21.09.2011 (42)
  9. Malware.Packer.Gen - Objekt: WinRAR\Zip.SFX
    Log-Analyse und Auswertung - 28.04.2011 (2)
  10. Virus durch das ÖFFNEN einer rar-datei mit Winrar einfangen?
    Plagegeister aller Art und deren Bekämpfung - 26.02.2011 (2)
  11. Backdoor.bot - Objekt: WinRAR\Zip.SFX
    Log-Analyse und Auswertung - 18.09.2010 (9)
  12. Win32.parite. In Winrar. logfile erstellt!
    Log-Analyse und Auswertung - 14.04.2010 (14)
  13. TR/Crypt.XPACK.Gen - Winrar Temp
    Plagegeister aller Art und deren Bekämpfung - 01.06.2009 (0)
  14. Winrar crc fehler + und pc absturz virus??
    Log-Analyse und Auswertung - 17.05.2009 (47)
  15. mit Tenderia infiziert beim winrar runterladen
    Log-Analyse und Auswertung - 27.10.2008 (1)
  16. Selbstentpackendes WinRar-Archiv
    Mülltonne - 04.08.2008 (0)
  17. trojaner durch winrar
    Log-Analyse und Auswertung - 14.05.2007 (10)

Zum Thema Verseuchter WinRar DL bei chip.de?! - hey folks, habe grade mein system neu aufgesetzt (xp) und mir das neue sicherheits-rundum-sorglos-paket ;) von comodo runtergeladen. dieses führt automatisch einen scan nach der installation durch. so weit so - Verseuchter WinRar DL bei chip.de?!...
Archiv
Du betrachtest: Verseuchter WinRar DL bei chip.de?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.