Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Win32Worm.Viking

Win32Worm.Viking


Plagegeister aller Art und deren Bekämpfung: Win32Worm.Viking

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.03.2009, 21:25   #1
locust
 
Win32Worm.Viking - Standard

Win32Worm.Viking


Hallo,

Wollte hier bezüglich eines Verdachts meinerseits um Hilfe bitten.
Mein Ad-Aware (Anniversary Edition) meldet seit heute folgenden Fund:

Win32Worm.Viking

Datei C:/Program Files/WinRAR/WinRAR.exe
Datei C:/Users/***/AppD/./rams/WinRAR/WinRAR.Ink

Das Ganze geschah als ich WinRAR öffnen wollte, als sich plötzlich der "Ad-Watch" von Ad-Aware meldete und mir den Prozess blockierte, dasselbe geschah auch bei dem uninstall.exe Prozess.
Komischerweise findet jedoch Kaspersky (2009) nach einem vollen Scan nichts!
Bin deshalb diesbezüglich ein wenig verwirrt.

Hab hier mal ein hijack.this logfile erstellt:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:20, on 09.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\UMonit.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\Explorer.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files\Hotspot Shield\hssie\HssIE.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe
O4 - HKLM\..\Run: [UMonit] C:\Windows\system32\UMonit.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [ooccctrl.exe] C:\Program Files\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'NETZWERKDIENST')
O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: In &neuem Fenster öffnen - C:\ProgramData\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm
O8 - Extra context menu item: Seite mit Google übersetzen - C:\ProgramData\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix: 
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: 0191481227980818mcinstcleanup -  - (no file)
O23 - Service: 0324771230031909mcinstcleanup -  - (no file)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c9857565886050) (gupdate1c9857565886050) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Helper Service (HssSrv) - AnchorFree Inc. - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Program Files\OO Software\CleverCache\ooccag.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 8596 bytes

Alt 10.03.2009, 12:12   #2
a5cl3p1o5
 
Win32Worm.Viking - Standard

Win32Worm.Viking


Hallo locust und

Bitte befolge folgende Anleitung:

Ausschnitt:
Zitat:
a) Anleitung -> CCleaner

b) Anleitung -> Malwarebytes-Anti-Malware
(Wenn das Programm schon ausgeführt wurde, bitte den Report kopieren und uns zeigen, steht alles in der Anleitung!)

c) Anleitung -> Anleitung: HijackThis

d) Liste installierter Software -> Um zu erfahren, was sich auf deinem System alles für Programme verbergen gehe bitte wie folgt vor.

* Starte nochmals "HijackThis"
* Klick "open the Misc Tools section"
* Klick "Open Uninstall Manager"
* Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner HijackThis angelegt.)
* Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread.

Hinweis! Um dieses Ausführen zu können, muß HijackThis in einen eigenem Verzeichnis gestartet werden. Am besten: c:\Programme\HijackThis
Anschließend kann Dir hier im Board eventuell jemand helfen.

Frage: hast Du WinRAR über die offizielle Seite bezogen oder aus einer weniger sicheren Quelle?

Grüße
a5cl3p1o5
__________________

__________________
Alt 10.03.2009, 12:28   #3
Redwulf
 
Win32Worm.Viking - Standard

Win32Worm.Viking


Vermutlich handelt es sich um einen Fehlalarm der bei Lavasoft bekannt ist. Hol dir mal das neueste Update und scanne nochmals.
Mal schauen ob er noch was findet. Falls ja, arbeite die Liste meines Vorredners ab. Falls nicht.........Gute Reise, Raus hier !!!
__________________
Alt 10.03.2009, 18:15   #4
locust
 
Win32Worm.Viking - Standard

Win32Worm.Viking


Hab heute im Lavasoft Forum Folgendes entdeckt:
Seit gestern Abend steht dort ein Thread mit genau demselben Problem bei WinRAR.

Das Ganze wurde als "False Positive" eingestuft und ist somit ein Fehlalarm.

Trotzdem vielen Dank für die Hilfe


Hier noch der Link zum Thread aus dem Lavasoft Support Forum:

winrar.exe -> Win32.Worm.Viking - Lavasoft Support Forums

Antwort

Themen zu Win32Worm.Viking
ad-aware, ad-watch, bho, dll, explorer, firefox, google update, gservice, gupdate, helper, hijackthis, hotspot, hotspot shield, install.exe, internet, internet explorer, internet security, kaspersky, logfile, mozilla, netgear, nvidia, plug-in, preferences, programdata, prozess, realtek, rundll, scan, schutz, security, software, system, tracker, vista, windows


« IE7 Schließ sich von selbst | Windows XP führt keine Installationen mehr aus »


Ähnliche Themen: Win32Worm.Viking


  1. VIKING - MAHNUNG - *.zip geöffnet und MS-DOS Anwendung ausgeführt
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (17)
  2. win32worm.Autoran was mach ich jetzt
    Plagegeister aller Art und deren Bekämpfung - 26.08.2009 (3)
  3. Worm/Viking 0.2 und 0.1
    Plagegeister aller Art und deren Bekämpfung - 19.10.2007 (1)
  4. Viking.BS Wurm auf meinem Rechner
    Plagegeister aller Art und deren Bekämpfung - 03.08.2007 (6)
  5. Win32.Worm.Viking.BU
    Plagegeister aller Art und deren Bekämpfung - 08.07.2007 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Win32Worm.Viking - Hallo, Wollte hier bezüglich eines Verdachts meinerseits um Hilfe bitten. Mein Ad-Aware (Anniversary Edition) meldet seit heute folgenden Fund: Win32Worm.Viking Datei C:/Program Files/WinRAR/WinRAR.exe Datei C:/Users/***/AppD/./rams/WinRAR/WinRAR.Ink Das Ganze geschah als ich - Win32Worm.Viking...
Archiv
Du betrachtest: Win32Worm.Viking auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130