Verseuchter WinRar DL bei chip.de?!

krasno · 25.03.2009, 02:58

hey folks,

habe grade mein system neu aufgesetzt (xp) und mir das neue sicherheits-rundum-sorglos-paket ;) von comodo runtergeladen. dieses führt automatisch einen scan nach der installation durch. so weit so gut. da ich windows erst fünf minuten vorher neu aufgebrüht hatte, erwartete ich jetzt also nicht allzu viel neues. umso mehr war ich über folgende meldung erstaunt:

infected file found!
Backdoor.Win32.Hupigon.~DRNG(ID = 0xa4050a) C:\Programme\WinRAR\Default.SFX

..hmm, wo kam das denn jetzt her?? ist das etwa der (kaspersky proofed:) WinRar DL von chip gewesen, der mir diese sympatische backdoor vermacht hat? oder könnte es sein, das die comodo-sicherheitssuite da etwas reininterpretiert hat, was eigentlich gar nicht stimmt??

was meint ihr dazu?
werde mich jetzt auch mal auf spurensuche begeben und hier posten was ich gefunden hab..

ps: hier der dl-link von chip
h**p://www.chip.de/downloads/WinRAR_12994655.html
be careful ;)

##
thx4reading/sry4schreibing_alles_klein
krasno

krasno · 25.03.2009, 05:15

hm, also winrar von gleicher quelle nochmal runtergeladen und installiert. nix. also werde ich mir das irgendwie anders eingefangen haben. checke jetzt mal alle DL seit neuinstallation..
diese wären:

- h**p://download.mozilla.org/?product=firefox-3.0.7&os=win&lang=de
- h**p://download.comodo.com/cis/download/setups/CIS_Setup_3.8.65951.477_XP_Vista_x32.exe
- h**ps://addons.mozilla.org/de/firefox/downloads/latest/1865
- h**ps://addons.mozilla.org/de/firefox/addon/6521
- h**ps://addons.mozilla.org/de/firefox/addons/policy/0/8758/47660
- h**p://www.downloadhelper.net/welcome.php?version=4.2
- h**p://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe
- h**p://dl24.chip.de/download/656242a6f9598ffbc42edfdc249a91e2/49c96811/4116616/CIS_Setup_3.8.65951.477_XP_Vista_x32.exe
- h**p://download.divx.com/divx/DivXInstaller.exe
- h**p://fc09.deviantart.com/fs18/f/2007/179/f/8/Luna_Element_v5_1_Black_by_Gelosea.rar
- h**p://uploads.neowin.net/download.php?file=post-1-1161291464.ipb&name=UXTheme_Multi_Patcher_4.0.zip
- h**p://dl28.chip.de/download/4df1bfd56e202801a6658580f1ee43d7/49c96c68/29890/wrar380d.exe (nur zur vollständigkeit)
- h**p://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jxpiinstall-6u13-fcs-bin-b03-windows-i586-09_mar_2009.exe?e=1237939198090&h=ec810f67ac63d7a0f0aa40baa4014c50/&filename=jxpiinstall-6u13-fcs-bin-b03-windows-i586-09_mar_2009.exe
- h**p://fpdownload.macromedia.com/get/shockwave/default/english/win95nt/latest/Shockwave_Installer_Slim.exe

bin gespannt!
...könnte er auch von der 2. (nicht formatierten) partition gekommen sein und sich auf c:\ neu eingenistet haben - ich meine, ist sowas generell möglich?

##
lg.krasno

krasno · 25.03.2009, 06:00

nkay, langsam ärgere ich mich, dass ich den löschen-button gedrückt habe als die meldung von comodo kam.. hätte doch sehr gerne die datei mal mit ein bis zwei vertrauenswürdigen virenscannern, wie z.b. dem kostenlosen opendownload-superscanner gecheckt ;)
ne, spaß bei seite, avast hätte es bestimmt auch getan. na ja, läßt sich nicht mehr ändern..

poste mal den log, der nach entfernen des "schädlings" erstellt wurde:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:46:20, on 25.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mobile Partner\Mobile Partner.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237936336637
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC2B258E-555F-48B2-936D-567A8E95922A}: NameServer = 193.189.244.197 193.189.244.205
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 2674 bytes

##
vielen dank für ihre aufmerksamkeit
krasno

Verseuchter WinRar DL bei chip.de?!

Plagegeister aller Art und deren Bekämpfung: Verseuchter WinRar DL bei chip.de?!