Rogue.WormsRemover

[yvkmug]

Vad gör Rogue.WormsRemover?

Malwabytres har nu hittat och avinstalerat detsamma, men det har funnits i datorn över ett år, vilket känns oroande.

Det hela började med att Mb hindrade först "bef1880 avinstallera.exe"(protection-log 2012/05/22 06:51:38) och sedan "bef1990 avinstallera.exe"(protection-log 2012/05/23 08:10:52) från att starta (ville starta utan min medverkan).

Virusdefinitionen verkar vara nyligen tillagd (efter 8/4 2012).

Tog hem Bef1990-101.exe från http://www.genealogi...gfixar>Sveriges befolkning 1990 och skannade med Mb (mbam-log-2012-05-26)

Kollade: http://www.broadband...ue.WormsRemover

Gav ingen lösning på varför programmet startar sig själv.

Skickar med en del logar, bl.a. skanning av installationsskiva, som Mb lovat rensa vid omstart.

protection-log 2012/04/08 09:31:10 +0200 XXXXX-DATOR Xxxxx MESSAGE Scheduled update executed successfully: database updated from version v2012.04.06.02 to version v2012.04.08.01

mbam-log-2012-04-11 (07-02-18).txt

Skanningstyp: Fullständig skanning

(Inga skadliga poster hittades)

protection-log 2012/05/22 06:34:28 +0200 XXXXX-DATOR Xxxxx MESSAGE Scheduled update executed successfully: database updated from version v2012.05.16.01 to version v2012.05.21.06

protection-log 2012/05/22 06:51:38 +0200 XXXXX-DATOR Xxxxx DETECTION C:\Program Files

(x86)\Sveriges befolkning 1880\bef1880 avinstallera.exe Rogue.WormsRemover QUARANTINE

protection-log 2012/05/23 08:10:52 +0200 XXXXX-DATOR Xxxxx DETECTION C:\Program Files

(x86)\Sveriges befolkning 1990\bef1990 avinstallera.exe Rogue.WormsRemover QUARANTINE

mbam-log-2012-05-23 (08-12-30).txt

Skanningstyp: Fullständig skanning

Upptäckta registernycklar: 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sveriges dödbok 1901-2009 (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

Upptäckta filer: 5

C:\Program Files (x86)\Sveriges dödbok 1901-2009\sdb5 avinstallera.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

C:\Users\Xxxxx\Documents\P_C\Recovery-CD\Släktforskning\Bef1990-101.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

C:\Users\Xxxxx\Documents\P_C\Recovery-CD\Släktforskning\sdb501.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

C:\Users\Xxxxx\Documents\P_C\Släktforskning\Svebef1880\bef1880inst.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

C:\Users\Xxxxx\Documents\P_C\Släktforskning\Svebef1990\bef1990inst.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

mbam-log-2012-05-23 (09-34-11).txt

Skanningstyp: Fullständig skanning

Upptäckta filer: 4

D:\2012-01-16\Xxxxx\Documents\P_C\Recovery-CD\Släktforskning\Bef1990-101.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

D:\2012-01-16\Xxxxx\Documents\P_C\Recovery-CD\Släktforskning\sdb501.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

D:\2012-01-16\Xxxxx\Documents\P_C\Släktforskning\Svebef1880\bef1880inst.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

D:\2012-01-16\Xxxxx\Documents\P_C\Släktforskning\Svebef1990\bef1990inst.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

mbam-log-2012-05-23 (14-18-25).txt

Skanningstyp: Fullständig skanning

Upptäckta filer: 1

E:\bef1990inst.exe (Rogue.WormsRemover) -> Ta bort vid nästa datorstart.

mbam-log-2012-05-26 (18-25-20).txt

Skanningstyp: Anpassad skanning

Upptäckta filer: 1

C:\Users\Xxxxx\Downloads\Bef1990-101.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

[Cecilia]

Rogue används för att beteckna falska program, t ex något skadligt som påstår sig vara ett antivirusprogram eller påstår att hårddisken är trasig. Jag tycker att det luktar falsklarm i ditt fall, men det bästa är ju om du kan anmäla det till Malwarebytes så att de kan undersöka filerna och om det är falsklarm rätta definitionerna så att Anti-Malware inte längre upptäcker filerna.

Rapportera falsklarm gör man i Malwarebytes forum: http://forums.malwarebytes.org/index.php?showforum=42

Läs instruktionen först.

[yvkmug]

Rogue används för att beteckna falska program, t ex något skadligt som påstår sig vara ett antivirusprogram eller påstår att hårddisken är trasig.

Jag har svårt att tänka mig att det är falsklarm när Mb har stoppat avinstaleringsprogram som startat utan min medverkan. Och då är frågan vad avinstaleringsprogramet egentligen gör och hur många gånger det har varit igång det senaste året innan det kom på Mb:s viruslista.

[Cecilia]

Hur vet du att avinstallationsprogrammet har (försökt) startat?

Ett program behöver ju inte starta för att MBAM ska kontrollera filen.

Du kan ju ladda upp några av de filer som MBAM klagar på till https://www.virustotal.com/ och se vad de 42 programmen där tycker om dem.

Jag antar att du har kört programmet några gånger under det år du haft det och i så fall borde du ju ha märkt om det påstod att det fanns maskar i datorn som kan tas bort om du köper programmet.

På slutet av sidan http://www.trojaner-board.de/114792-moegliche-schadsoftware-eingefangen-computer-langsam-sanduhr-blinkt-6.html och början av nästa sida kommer man fram till att MBAM anger att ett bra program är Rogue.WormsRemover.

[yvkmug]

Hur vet du att avinstallationsprogrammet har (försökt) startat?

Ett program behöver ju inte starta för att MBAM ska kontrollera filen.

Kom upp ett fönster där MBAM meddelade att startförsök hade stoppats.

Grämer mig att jag ej tog skärmdump.

Går MBAM in på hårddisken och kollar filer lite slumpmässigt utan att man begär skanning?

Du kan ju ladda upp några av de filer som MBAM klagar på till https://www.virustotal.com/ och se vad de 42 programmen där tycker om dem.

Det var inga anmärkningar!

Jag antar att du har kört programmet några gånger under det år du haft det och i så fall borde du ju ha märkt om det påstod att det fanns maskar i datorn som kan tas bort om du köper programmet.

Eftersom det är ett avinstaleringsprogram som sägs vara infekterat så är det ingenting jag någonsin har kört, således är det ingenting jag kommer att sakna efter att det tagits bort.

Problemet är vid nyinstallation, att ej glömma ta bort filen. Värre är det att rensa i registert.

Däremot är programmen som avinstalatiosprogrammet ville avinstalena Registerprogram som körs ofta.

[Cecilia]

Det kan väl räcka med att t ex antivirusprogrammet öppnar en fil för kontroll för att MBAM Pro ska sätta igång att kontrollera filen.

Är dessa också avinstallationsprogram som aldrig har körts?

C:\Users\Xxxxx\Documents\P_C\Recovery-CD\Släktforskning\Bef1990-101.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

C:\Users\Xxxxx\Documents\P_C\Recovery-CD\Släktforskning\sdb501.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

C:\Users\Xxxxx\Documents\P_C\Släktforskning\Svebef1880\bef1880inst.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

C:\Users\Xxxxx\Documents\P_C\Släktforskning\Svebef1990\bef1990inst.exe (Rogue.WormsRemover) -> Sattes i karantän och togs bort.

Här är ett konfirmerat fall av falsklarm av just Rogue.WormsRemover:

http://forums.malwarebytes.org/index.php?showtopic=110363

[yvkmug]

Jag använder MBAM Free!

De 2 första är uppdateringar och de 2 följande är installationsprogram som dels lägger in Själva programmet, dels avinstalationsfilen.

Själva programmet får ingen varning, utan bara avinstaleraren.

Men det är som du skriver att det är nog inget jag behöver oroa mig om.

Tack skall du ha.

[Cecilia]

Ingen orsak

Okej, det borde bara vara realtidsfunktionen i MBAM som reagerar på att något händer i datorn. Den finns i 2 veckor efter installationen av MBAM Free samt i Pro.

Jag tycker att du kan återställa filerna mm från MBAMs karantän.