|
Trojaner TR/Spy.Hailport.1 Hallo, habe auf meinem PC den Trojaner Spy.Hailport.1 entdeckt, kann mir jemand sagen was dieser Trojaner bewirkt?? Habe ihn zwar löschen können, kann aber keine Beschreibung über diesen Trojaner finden, kann mir jemand weiterhelfen??? Danke |
Mit welchem Virenprogramm hast du ihn denn gefunden? Vielleicht findest du auf der Seite des Programmherstellers Informationen über das Ding. :) |
Mit Antivir Personal Edition aber leider ist auch auf deren Site nix über diesen Trojaner zu finden :heulen: |
:( Ich war leider auch sehr erfolglos :( Wäre interessant einen alias des Schädlings zu wissen um auf den Seiten anderer Hersteller zu suchen. |
Hab doch noch etwas gefunden, leider nichts direktes. Hast du Kazaa, iMesh oder soetwas in der Richtung auf dem System? Kaspersky sagt dazu: not-a-virus Ad.Ware.CommonName.i aka Tr/Spy.Hailport Bei der Suche unter CommonName (Was schon schwierig genug ist, aus diesen zwei Worten etwas brauchbares rauszufinden) sagt eine Seite: "CommonName is a group of software components that offer a keyword service allowing you to enter "the common name" in your web browser instead of the complete URL. The software has many variants, one adds a keyword field in Internet Explorer, another takes over the searches in Internet Explorer's address bar. When testing the CommonName software on my lab machine the winnet.exe process consumed almost 100% CPU, making the machine extremely slow. CommonName's main distribution channel are peer-to-peer programs such as Kazaa, Morpheus, Grokster and iMesh. CommonName's privacy policy state that an installer is included. This is unfortunately not always the case." |
jopp, den hab ich auch..... weiss nur noch nicht, wie man den los wird.... ich versuche es gleich mal mit dem Onlinescan von symnatec (o.s.ä) greetz b3ne |
Wenns nicht klappt, HiJackThis laden und Log posten ;) |
Logfile of HijackThis v1.99.0 Scan saved at 16:21:12, on 26.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\rmctrl.exe D:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\spwprspw\fcgFIAQN.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\spwprspw\NQAIFgcf.exe C:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\OpenOffice\program\soffice.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe G:\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [zBrowser Launcher] d:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [CloneCDTray] "d:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\Programme\OpenOffice\program\quickstart.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C1522A31-AE0C-491E-B5B6-377505469E6E}: NameServer = 145.253.2.81,145.253.2.139 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe war das in etwa so gedacht von dir ? |
:D Jawohl, ich schaus mir gleich an! :) |
C:\PROGRA~1\spwprspw\fcgFIAQN.exe C:\PROGRA~1\spwprspw\NQAIFgcf.exe unbekannt Nebenbei bemerkt: Ich nehme mal an, dein Provider ist Arcor? Und PowerDVD ist auch installiert? Also, die zwei obengenannten Dateien kenne ich nicht und Lexikon google spuckt auch keine Info aus, deswegen nehme ich mal an, dass die zwei Dinge hier nicht hingehören. Such die zwei Dateien und scanne sie online mit http://virusscan.jotti.org/de oder http://www.kaspersky.com/de/remoteviruschk.html :) Dann sehen wir weiter. |
So, habe mein System jetzt Platt gemacht und neu aufgesetzt...übrigens hatte ich Kazaa und Morpheus drauf! Vielleicht war das die Sicherheitslücke. Nun, nachdem ich jetzt wieder ein frisch aufgesetztes und überschaubares System habe, ist ruhe im Karton und der PC wieder wesentlich schneller !!! :party: Sollte ich noch etwas über TR/Hailport.1 rausbekommen melde ich wieder... so long |
File: NQAIFgcf.exe Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: None AntiVir No viruses found (1.14 seconds taken) Avast No viruses found (3.27 seconds taken) BitDefender No viruses found (0.35 seconds taken) ClamAV No viruses found (0.38 seconds taken) Dr.Web No viruses found (0.49 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus not-a-virus:AdWare.CommonName.g (0.60 seconds taken) mks_vir No viruses found (0.20 seconds taken) NOD32 No viruses found (0.37 seconds taken) Norman Virus Control No viruses found (0.46 seconds taken) File: fcgFIAQN.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: None AntiVir TR/Spy.Hailport.2 (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.37 seconds taken) ClamAV No viruses found (0.39 seconds taken) Dr.Web No viruses found (0.55 seconds taken) F-Prot Antivirus No viruses found (0.07 seconds taken) Kaspersky Anti-Virus not-a-virus:AdWare.CommonName.i (0.67 seconds taken) mks_vir No viruses found (0.22 seconds taken) NOD32 No viruses found (0.39 seconds taken) Norman Virus Control No viruses found (0.98 seconds taken) |
Ok. beende die Prozesse und lösch die Dateien. Falls sie sich nicht löschen lassen, benutz die Killbox http://www.bleepingcomputer.com/files/killbox.php Delete File on Reboot Klick auf das rote Kreuz, wenn gefragt wird "Do you want to reboot? " klick auf "no", kopier die zweite rein, dann auf "yes" Lad dir Ad-Aware http://fileforum.betanews.com/detail/965718306/1 und Spybot Search & Destroy http://filepony.de/download-spybot_search_destroy/ und scanne nach einem Update der Programme dein System. Danach dürfte es erst mal sauber sein. |
das mit der Killbox hat gefunzt... danke, so wie grad ausschaut, bin ich ohne neu installieren wieder clean :>) greetz b3ne |
hm. der hailport.1 heisst bei mir mittlerweile spy.shutcom und zwischendurch Hailport.2. aber wegkriegen. nicht so einfach. mal kucken was eure tipps bringen.. ... cool. die KillBox fetzt! alles sauber. |
Hallo Hatte das selbe Problem. Habs so gelöst: 1. Den Ordner C:\Programme\rrtrroot umbenennen in C:\Programme\rrtroot2 (Sonst bekommst Du keinen Zugriff, die Dateien zu löschen) Das war auch schon der wichtigste Schritt. Beim Starten von Windows, kann die Datei C:\PROGRA~1\RRTRROOT\DCADGOHN.DLL nun nicht mehr gefunden und somit nicht gestartet werden. 2. Windows neu starten 3. Den Ordner C:\Programme\rrtroot2 von der Festplatte löschen. 4. In der Registry mit "Suchen: rrtrroot" alle Einträge entfernen die mit dem Trojaner zu tun haben. 5. Neu starten und in der Registry nachsehen, ob unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run alle Einträge raus sind vom Trojaner. 6. C:\Windows\Temp\*.* (hab ich zur Sicherheit noch gelöscht) 7. Windows Explorer Cache (hab ich zur Sicherheit noch gelöscht) Soweit bin ich jetzt. Nach dem ich nun neu starte, hoff ich, dass der Balast wieder weg ist. Schaut mal rein unter www.goldengel.ch Gruss :-) |
Hi, mein Antivierenprogramm hat auch diesen Trojaner gefunden. Mal nennt er sich Hailport 1, mal Hailport 2 oder mal Shutcom. Das Programm gibt mir auch immer nen Ordner an, wodrin sich dieser Trojaner verstecken soll, allerdings kann ich diesen Ordner nirgends finden. Somit sind auch sämtliche Suchaktionen via Internet nutzlos. Habt ihr ne Idee? Hab schon teilweise die Festplatte entmüllt. Denke aber nicht das es gereicht hat. Gruß Mac |
@ Mac-we Wie lautet der genaue Pfad der einzelnen Dateien? Nimm mal diese Einstellung vor -> Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" |
Hi Cidre, danke für den Tipp. Hat aber trotzdem nichts geholfen. Der Pfad ist: C:/System Volume Information/-Restore{14D53233-59B2-42EC-B717-09CD18D95CCA/RP419/A0036775.exe Hilft dir das weiter? Auch die Suchfunktion hat nichts ergeben. Gruß Martin |
Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren. |
Ich weiss, dass das für euch ein Witz ist aber, wie kann ich das ausstellen? Mac |
Windowstaste und Taste Pause drücken auf Register Systemwiederherstellung und dort den Haken rein http://www.cosgan.org/images/midi/froehlich/b010.gif |
Mahlzeit alle zusammen, Ich hab so ein ähnliches Problem mit TR/Spy.Hailport.2, um genau zusein hab ich alle vorschläge durchprobiert, alle erfolglos (leider) der ordner in dem sich der Trojaner befindet heisst wowqppqt darin sind 2 exe dateien namens fcADBkhN und NhkBDAcf eine .dat datei die profile.dat heisst. der Ordner und sein inhalt sind schreibgeschützt und der lässt sich auch nicht entfernen (bei jedem versuch erscheint meldung: Fehler beim Lesen der Attribute der Datei. Zugriff verweigert) kein virenprogramm hat bisher geholfen, (und ich hab schon einige probiert) Bin kurz vorm verzweifeln Need help Please :heulen: |
Hallo Tha D.R.E., selbst mit der Killbox nicht wie hier in dem Thread beschrieben? Wechsel in den abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html und versuche dann zu löschen. dartus |
Meldung der Killbox: Cannot delete file Abgesicherter mode auch nicht löschbar :heulen: |
Hallo, beende die Prozesse im Taskmanager und versuch es damit mal: downloade Dir den Total Commander und nimm folgende Einstellung vor: Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok Gehe im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandete Datei dartus |
meldung von total commander: Ordner konnte nicht korrekt gelöscht werden, zugriff verweigert hab versucht alle prozesse die beim Systemstart automatisch starten (zu denen auch hailport gehört) zu deaktivieren, dies funktioniert auch ohne probleme, nur sobald ich das msconfig fenster erneut öffne sind alle immernoch deaktiviert bis auf: FCADBKHN.EXE (hailport) |
Hallo Tha D.R.E., hast Du auch versucht die Dateien einzeln zu löschen, insbesondere die DAT-Datei? Ansonsten mach einen sauberen Schnitt und halt Dich an diese anleitung: http://www.trojaner-board.de/showthread.php?t=12154 dartus |
halo, einzeln wollen die auch nicht verschwinden, ich werd meine daten sichern und danach mal neu aufsetzen, trotzdem thx für die Vorschläge Mfg Tha D.R.E. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board