|
Verseuchter WinRar DL bei chip.de?! hey folks, habe grade mein system neu aufgesetzt (xp) und mir das neue sicherheits-rundum-sorglos-paket ;) von comodo runtergeladen. dieses führt automatisch einen scan nach der installation durch. so weit so gut. da ich windows erst fünf minuten vorher neu aufgebrüht hatte, erwartete ich jetzt also nicht allzu viel neues. umso mehr war ich über folgende meldung erstaunt: infected file found! Backdoor.Win32.Hupigon.~DRNG(ID = 0xa4050a) C:\Programme\WinRAR\Default.SFX ..hmm, wo kam das denn jetzt her?? ist das etwa der (kaspersky proofed:) WinRar DL von chip gewesen, der mir diese sympatische backdoor vermacht hat? oder könnte es sein, das die comodo-sicherheitssuite da etwas reininterpretiert hat, was eigentlich gar nicht stimmt?? was meint ihr dazu? werde mich jetzt auch mal auf spurensuche begeben und hier posten was ich gefunden hab.. ps: hier der dl-link von chip h**p://www.chip.de/downloads/WinRAR_12994655.html be careful ;) ## thx4reading/sry4schreibing_alles_klein krasno |
hm, also winrar von gleicher quelle nochmal runtergeladen und installiert. nix. also werde ich mir das irgendwie anders eingefangen haben. checke jetzt mal alle DL seit neuinstallation.. diese wären: - h**p://download.mozilla.org/?product=firefox-3.0.7&os=win&lang=de - h**p://download.comodo.com/cis/download/setups/CIS_Setup_3.8.65951.477_XP_Vista_x32.exe - h**ps://addons.mozilla.org/de/firefox/downloads/latest/1865 - h**ps://addons.mozilla.org/de/firefox/addon/6521 - h**ps://addons.mozilla.org/de/firefox/addons/policy/0/8758/47660 - h**p://www.downloadhelper.net/welcome.php?version=4.2 - h**p://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe - h**p://dl24.chip.de/download/656242a6f9598ffbc42edfdc249a91e2/49c96811/4116616/CIS_Setup_3.8.65951.477_XP_Vista_x32.exe - h**p://download.divx.com/divx/DivXInstaller.exe - h**p://fc09.deviantart.com/fs18/f/2007/179/f/8/Luna_Element_v5_1_Black_by_Gelosea.rar - h**p://uploads.neowin.net/download.php?file=post-1-1161291464.ipb&name=UXTheme_Multi_Patcher_4.0.zip - h**p://dl28.chip.de/download/4df1bfd56e202801a6658580f1ee43d7/49c96c68/29890/wrar380d.exe (nur zur vollständigkeit) - h**p://dl8-cdn-09.sun.com/s/ESD7/JSCDL/jdk/6u13-b03/jxpiinstall-6u13-fcs-bin-b03-windows-i586-09_mar_2009.exe?e=1237939198090&h=ec810f67ac63d7a0f0aa40baa4014c50/&filename=jxpiinstall-6u13-fcs-bin-b03-windows-i586-09_mar_2009.exe - h**p://fpdownload.macromedia.com/get/shockwave/default/english/win95nt/latest/Shockwave_Installer_Slim.exe bin gespannt! ...könnte er auch von der 2. (nicht formatierten) partition gekommen sein und sich auf c:\ neu eingenistet haben - ich meine, ist sowas generell möglich? ## lg.krasno |
nkay, langsam ärgere ich mich, dass ich den löschen-button gedrückt habe als die meldung von comodo kam.. hätte doch sehr gerne die datei mal mit ein bis zwei vertrauenswürdigen virenscannern, wie z.b. dem kostenlosen opendownload-superscanner gecheckt ;) ne, spaß bei seite, avast hätte es bestimmt auch getan. na ja, läßt sich nicht mehr ändern.. poste mal den log, der nach entfernen des "schädlings" erstellt wurde: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:46:20, on 25.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\COMODO\COMODO Internet Security\cfp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Mobile Partner\Mobile Partner.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237936336637 O17 - HKLM\System\CCS\Services\Tcpip\..\{BC2B258E-555F-48B2-936D-567A8E95922A}: NameServer = 193.189.244.197 193.189.244.205 O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 2674 bytes ## vielen dank für ihre aufmerksamkeit krasno |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board