Trojaner TR/Spy.Hailport.1

Nase · 31.01.2005, 23:07

Hallo

Hatte das selbe Problem. Habs so gelöst:

1. Den Ordner C:\Programme\rrtrroot
umbenennen in C:\Programme\rrtroot2 (Sonst bekommst Du keinen Zugriff, die Dateien zu löschen)

Das war auch schon der wichtigste Schritt. Beim Starten von Windows, kann die Datei C:\PROGRA~1\RRTRROOT\DCADGOHN.DLL nun nicht mehr gefunden und somit nicht gestartet werden.

2. Windows neu starten

3. Den Ordner C:\Programme\rrtroot2 von der Festplatte löschen.

4. In der Registry mit "Suchen: rrtrroot" alle Einträge entfernen die mit dem Trojaner zu tun haben.

5. Neu starten und in der Registry nachsehen, ob unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
alle Einträge raus sind vom Trojaner.

6. C:\Windows\Temp\*.* (hab ich zur Sicherheit noch gelöscht)
7. Windows Explorer Cache (hab ich zur Sicherheit noch gelöscht)

Soweit bin ich jetzt.

Nach dem ich nun neu starte, hoff ich, dass der Balast wieder weg ist.

Schaut mal rein unter www.goldengel.ch

Gruss

:-)

Mac-we · 09.02.2005, 22:22

Hi,

mein Antivierenprogramm hat auch diesen Trojaner gefunden. Mal nennt er sich Hailport 1, mal Hailport 2 oder mal Shutcom.

Das Programm gibt mir auch immer nen Ordner an, wodrin sich dieser Trojaner verstecken soll, allerdings kann ich diesen Ordner nirgends finden. Somit sind auch sämtliche Suchaktionen via Internet nutzlos. Habt ihr ne Idee?

Hab schon teilweise die Festplatte entmüllt. Denke aber nicht das es gereicht hat.

Gruß

Mac

Cidre · 09.02.2005, 22:42

@ Mac-we

Wie lautet der genaue Pfad der einzelnen Dateien?

Nimm mal diese Einstellung vor ->
Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Mac-we · 10.02.2005, 20:41

Hi Cidre,

danke für den Tipp. Hat aber trotzdem nichts geholfen.

Der Pfad ist: C:/System Volume Information/-Restore{14D53233-59B2-42EC-B717-09CD18D95CCA/RP419/A0036775.exe

Hilft dir das weiter?

Auch die Suchfunktion hat nichts ergeben.

Gruß Martin

10.02.2005, 21:26

Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren.

Mac-we · 10.02.2005, 21:58

Ich weiss, dass das für euch ein Witz ist aber, wie kann ich das ausstellen?

Mac

Gigamail · 10.02.2005, 22:13

Windowstaste und Taste Pause drücken auf Register Systemwiederherstellung und dort den Haken rein

Tha D.R.E. · 17.03.2005, 22:53

Mahlzeit alle zusammen, Ich hab so ein ähnliches Problem mit TR/Spy.Hailport.2,

um genau zusein hab ich alle vorschläge durchprobiert, alle erfolglos (leider)
der ordner in dem sich der Trojaner befindet heisst wowqppqt darin sind 2 exe dateien namens fcADBkhN und NhkBDAcf eine .dat datei die profile.dat heisst.

der Ordner und sein inhalt sind schreibgeschützt und der lässt sich auch nicht entfernen (bei jedem versuch erscheint meldung: Fehler beim Lesen der Attribute der Datei. Zugriff verweigert)

kein virenprogramm hat bisher geholfen, (und ich hab schon einige probiert)

Bin kurz vorm verzweifeln

Need help Please

dartus · 17.03.2005, 23:31

Hallo Tha D.R.E.,

selbst mit der Killbox nicht wie hier in dem Thread beschrieben?

Wechsel in den abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html
und versuche dann zu löschen.

dartus

Tha D.R.E. · 18.03.2005, 07:07

Meldung der Killbox:

Cannot delete file

Abgesicherter mode auch nicht löschbar

dartus · 18.03.2005, 12:45

Hallo,

beende die Prozesse im Taskmanager und versuch es damit mal:

downloade Dir den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok

Gehe im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandete Datei

dartus

Tha D.R.E. · 19.03.2005, 01:10

meldung von total commander:

Ordner konnte nicht korrekt gelöscht werden, zugriff verweigert

hab versucht alle prozesse die beim Systemstart automatisch starten (zu denen auch hailport gehört) zu deaktivieren, dies funktioniert auch ohne probleme, nur sobald ich das msconfig fenster erneut öffne sind alle immernoch deaktiviert bis auf:

FCADBKHN.EXE (hailport)

dartus · 19.03.2005, 02:00

Hallo Tha D.R.E.,

hast Du auch versucht die Dateien einzeln zu löschen, insbesondere die DAT-Datei?

Ansonsten mach einen sauberen Schnitt und halt Dich an diese anleitung:

http://www.trojaner-board.de/showthread.php?t=12154

dartus

Tha D.R.E. · 19.03.2005, 11:26

halo,

einzeln wollen die auch nicht verschwinden, ich werd meine daten sichern und danach mal neu aufsetzen, trotzdem thx für die Vorschläge

Mfg Tha D.R.E.

09.02.2005, 22:42	#18
Cidre Administrator, a.D.	Trojaner TR/Spy.Hailport.1 @ Mac-we Wie lautet der genaue Pfad der einzelnen Dateien? Nimm mal diese Einstellung vor -> Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" __________________ __________________

10.02.2005, 21:26	#20
Christian Gast	Trojaner TR/Spy.Hailport.1 Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren.

Trojaner TR/Spy.Hailport.1

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Spy.Hailport.1