Trojaner TR/Spy.Hailport.1

bf0104 · 26.01.2005, 09:56

Hallo,

habe auf meinem PC den Trojaner Spy.Hailport.1 entdeckt, kann mir jemand sagen was dieser Trojaner bewirkt??
Habe ihn zwar löschen können, kann aber keine Beschreibung über diesen Trojaner finden, kann mir jemand weiterhelfen???
Danke

Kim999 · 26.01.2005, 11:22

Mit welchem Virenprogramm hast du ihn denn gefunden? Vielleicht findest du auf der Seite des Programmherstellers Informationen über das Ding.

bf0104 · 26.01.2005, 14:38

Mit Antivir Personal Edition
aber leider ist auch auf deren Site nix über diesen Trojaner zu finden

Kim999 · 26.01.2005, 14:48

Ich war leider auch sehr erfolglos

Wäre interessant einen alias des Schädlings zu wissen um auf den Seiten anderer Hersteller zu suchen.

Kim999 · 26.01.2005, 15:03

Hab doch noch etwas gefunden, leider nichts direktes. Hast du Kazaa, iMesh oder soetwas in der Richtung auf dem System?

Kaspersky sagt dazu: not-a-virus Ad.Ware.CommonName.i aka Tr/Spy.Hailport

Bei der Suche unter CommonName (Was schon schwierig genug ist, aus diesen zwei Worten etwas brauchbares rauszufinden) sagt eine Seite:

"CommonName is a group of software components that offer a keyword service allowing you to enter "the common name" in your web browser instead of the complete URL. The software has many variants, one adds a keyword field in Internet Explorer, another takes over the searches in Internet Explorer's address bar. When testing the CommonName software on my lab machine the winnet.exe process consumed almost 100% CPU, making the machine extremely slow.

CommonName's main distribution channel are peer-to-peer programs such as Kazaa, Morpheus, Grokster and iMesh.

CommonName's privacy policy state that an installer is included. This is unfortunately not always the case."

b3ne · 26.01.2005, 15:18

jopp, den hab ich auch.....

weiss nur noch nicht, wie man den los wird....

ich versuche es gleich mal mit dem Onlinescan von symnatec (o.s.ä)

greetz

b3ne

Kim999 · 26.01.2005, 15:58

Wenns nicht klappt, HiJackThis laden und Log posten

b3ne · 26.01.2005, 16:17

Logfile of HijackThis v1.99.0
Scan saved at 16:21:12, on 26.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rmctrl.exe
D:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\spwprspw\fcgFIAQN.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\spwprspw\NQAIFgcf.exe
C:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\OpenOffice\program\soffice.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
G:\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CloneCDTray] "d:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\Programme\OpenOffice\program\quickstart.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1522A31-AE0C-491E-B5B6-377505469E6E}: NameServer = 145.253.2.81,145.253.2.139
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

war das in etwa so gedacht von dir ?

Kim999 · 26.01.2005, 16:49

Jawohl, ich schaus mir gleich an!

Kim999 · 26.01.2005, 16:56

C:\PROGRA~1\spwprspw\fcgFIAQN.exe
C:\PROGRA~1\spwprspw\NQAIFgcf.exe
unbekannt

Nebenbei bemerkt: Ich nehme mal an, dein Provider ist Arcor? Und PowerDVD ist auch installiert?

Also, die zwei obengenannten Dateien kenne ich nicht und Lexikon google spuckt auch keine Info aus, deswegen nehme ich mal an, dass die zwei Dinge hier nicht hingehören.

Such die zwei Dateien und scanne sie online mit
http://virusscan.jotti.org/de
oder
http://www.kaspersky.com/de/remoteviruschk.html

Dann sehen wir weiter.

bf0104 · 26.01.2005, 21:47

So, habe mein System jetzt Platt gemacht und neu aufgesetzt...übrigens
hatte ich Kazaa und Morpheus drauf!
Vielleicht war das die Sicherheitslücke.
Nun, nachdem ich jetzt wieder ein frisch aufgesetztes und überschaubares System habe, ist ruhe im Karton und der PC wieder wesentlich schneller !!!

Sollte ich noch etwas über TR/Hailport.1 rausbekommen melde ich wieder...
so long

b3ne · 26.01.2005, 22:21

File: NQAIFgcf.exe
Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
No viruses found (1.14 seconds taken)
Avast
No viruses found (3.27 seconds taken)
BitDefender
No viruses found (0.35 seconds taken)
ClamAV
No viruses found (0.38 seconds taken)
Dr.Web
No viruses found (0.49 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
not-a-virus:AdWare.CommonName.g (0.60 seconds taken)
mks_vir
No viruses found (0.20 seconds taken)
NOD32
No viruses found (0.37 seconds taken)
Norman Virus Control
No viruses found (0.46 seconds taken)

File: fcgFIAQN.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
TR/Spy.Hailport.2 (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.37 seconds taken)
ClamAV
No viruses found (0.39 seconds taken)
Dr.Web
No viruses found (0.55 seconds taken)
F-Prot Antivirus
No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus
not-a-virus:AdWare.CommonName.i (0.67 seconds taken)
mks_vir
No viruses found (0.22 seconds taken)
NOD32
No viruses found (0.39 seconds taken)
Norman Virus Control
No viruses found (0.98 seconds taken)

Kim999 · 26.01.2005, 22:36

Ok. beende die Prozesse und lösch die Dateien. Falls sie sich nicht löschen lassen, benutz die Killbox

http://www.bleepingcomputer.com/files/killbox.php

Delete File on Reboot

Klick auf das rote Kreuz, wenn gefragt wird "Do you want to reboot? " klick auf "no", kopier die zweite rein, dann auf "yes"

Lad dir Ad-Aware http://fileforum.betanews.com/detail/965718306/1 und Spybot Search & Destroy http://filepony.de/download-spybot_search_destroy/ und scanne nach einem Update der Programme dein System.

Danach dürfte es erst mal sauber sein.

b3ne · 27.01.2005, 07:30

das mit der Killbox hat gefunzt...

danke, so wie grad ausschaut, bin ich ohne neu installieren wieder clean :>)

greetz

b3ne

Platte · 31.01.2005, 18:07

hm. der hailport.1 heisst bei mir mittlerweile spy.shutcom und zwischendurch Hailport.2.
aber wegkriegen. nicht so einfach. mal kucken was eure tipps bringen..

... cool. die KillBox fetzt! alles sauber.

Trojaner TR/Spy.Hailport.1

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Spy.Hailport.1