Win32.Worm.Viking WinRAR

#1 Hallo,

habe gerade Adaware geupdatet und einen intelligent scan laufen lassen...
dann zeigt es mir sofort den o.g. worm an (nur in WINRAR) und ich lasse gerade einen full scan laufen... hijackthis log ist:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59:28, on 09.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\conime.exe
C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Users\Markus\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Markus\AppData\Local\Google\Chrome\Application\chrome.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 2650 bytes

- frisch formatiert, nich wundern
__________
MfG Markus

#2 >>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

#3 Hab jetzt Winrar deinstalliert, Ad Awares fullscan hat nichts gefunden, Malwarebytes läuft noch.. kann das eine fehlmeldung gewesen sein?
__________
MfG Markus

#4 Ja an das denke ich... Vorallem kam die Meldung nachdem du etwas installiert oder geöffnet hast? In welcher Datei wird dann der Wurm gefunden? Poste mal das Log von Adaware.

Gruss Swiss

#5

Zitat

--markus-- postete
Hab jetzt Winrar deinstalliert, Ad Awares fullscan hat nichts gefunden, Malwarebytes läuft noch.. kann das eine fehlmeldung gewesen sein?

das log habe ich leider nicht.. aber es ist halt nur winrar.exe <-- im normalen winrar ordner --> und winrar.ini in der user file


und es kam eben nach einem update von ad-aware, scanne täglich und sonst war nie was

malwarebytes is fast durch den windows ordner - - und hat bis dahin noch nichts gefunden, log folgt danach

btw. ausführen -> cmd -> netstat -> nichts wartet - also offline
__________
MfG Markus

#6 endlich.. nach einer laufzeut von 1h und 14m .. (hätte ich nur gewusst das ich den eset guard noch an hatte)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

weiß jemand was von einem fehlalarm oder so?
__________
MfG Markus

#7 Dann lad diese Datei doch mal bei www.virutotal.com/de hoch und schau was sich ergibt.

Gruss swiss

#8 hab winrar neu installiert und mit adware und nod32 geprüft, nur adware findet was.. ich lad das jetzt mal hoch, log folgt
__________
MfG Markus

#9 Datei WinRAR.exe empfangen 2009.03.10 13:14:37 (CET)
Status: Beendet
Ergebnis: 0/39 (0%)

also hab da eine vermutung, wenn ich auf Winrar.exe klicke, sieht man den ordner in dem winrar ist nochmal (siehe angehängte datei), vielleicht wird das, weil es sich selbst sozusagen entpackt, als worm angesehen


__________
MfG Markus

#10 Also ich kann nicht sagen was das ist. Kannst Du Winrar nicht einfach deinstallieren und neu installieren und schaun ob dann die Meldung immernoch kommt?

gRUSS sWISS

#11 von wo hast du winrar geladen? bitte link unklickbar also
hxxp dann die seite

#12 na von der winrar seite...

nach einem erneuten update von adaware wird es nicht mehr als Worm angesehen! denke mal ein fehlerhaftes update oder so
__________
MfG Markus