Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor:Win32.Hupigon

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.04.2007, 16:27   #1
Mobius07
 
Backdoor:Win32.Hupigon - Standard

Backdoor:Win32.Hupigon



Hallo Zusammen,

habe mich wie in diesem Forum angegeben an die Vorgaben gehalten und mich erst mal selbst schlau gemacht. Also, sprich verdächtige Dateien über Suchmaschinen abgeglichen, diverse Scanns usw. durchgeführt. Mein Rechner läuft soweit problemlos. Nur jetzt bin ich durch Zufall auf eine Sache gestossen: Unter Cokumente und Einstellungen/All Users hab ich eine 256KB große DAT-Datei (ntuser.dat) gefunden, in der steht "Backdoor:Win32.Hupigon". Unter a-squared wurden zudem "adaware.BackWeb.a" und "Joke.win32.Autoit.a" gefunden. Besteht da ein Zusammenhang?
Wieso finden die einen Scanner eigentlich mehr, als meine eigenen Schutzprogramme, denn weder Antivir,Spybot und diverse Scans haben etwas Verdächtiges ausfindig machen können. Da Backdoors meines Wissens nach nicht gerade auf die leichte Schulter zu nehmen sind, bräuchte ich in diesem Fall mal einen guten Ratschlag. Unter Hijack kann ich nichts besonderes feststellen (Hab mir viele Beiträge hier angeschaut, und wollte vorher nicht nerven) . Welche Ports braucht dieser Trojaner, woran erkenn ich, ob dieser noch aktiv ist, oder vielleicht nur geblockt?
Ich stell einfach mal ein Log-File rein, vielleicht kann mir jemand einen Hinweis geben?

Logfile of HijackThis v1.99.1
Scan saved at 17:09:35, on 02.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Reality Fusion\Reality Fusion GameCam SE\Program\RFTRay.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

Was ist mit den "file-missing" von JAVA? Das versteh ich nicht. Spywaredoctor und GetReady hab ich längst gelöscht, jedoch verweigert Spybot weitere Änderungen. Unter regedit und msconfig habe ich auch alle unnötigen Sachen von diversen Programmen gelöscht. Also, ich bin kein PC-Ass, es reicht für die nötigen Dinge und das mit gesundem Menschenverstand. Kann ich diese ominöse DAT-Datei problemlos löschen?

Besten Dank für die Hilfe im vorraus (Wenn sie denn kommt) - Patrick

Alt 02.04.2007, 18:43   #2
Franz1968
/// Helfer-Team
 
Backdoor:Win32.Hupigon - Standard

Backdoor:Win32.Hupigon



Hallo.
Ich kann in deinem Logfile nichts Auffälliges entdecken - weiß aber aus dem Stegreif auch nicht, ob es Hupigon-Varianten gibt, die sich möglicherweise vor HJT "verstecken" oder gar Rootkit-Technologien nutzen.
Dass sich ein Backdoor-Trojaner aber im Fall einer Infektion quasi mit Klarnamen
Zitat:
Backdoor:Win32.Hupigon
ins Gästebuch einträgt, kommt mir auch nicht sehr realistisch vor.
Aus dem Bauch heraus wäre mein Tipp, dass vielleicht eine AV-Software einen Eintrag vorgenommen hat.
Hast du dich bei Microsoft schon einmal über den Aufbau der ntuser.dat schlau gemacht?
__________________

__________________

Alt 02.04.2007, 18:46   #3
Mobius07
 
Backdoor:Win32.Hupigon - Ausrufezeichen

Backdoor:Win32.Hupigon



Die 7 goldenen Regeln hab ich eingehalten, bei Joppi dieses win32.lsass gescannt. Auch nichts gefunden!!! Sonst find ich hier im Forum nur vier ähnliche Beiträge! Portscan zeigt alle "bekannten Ports deaktiviert". Also, kurze Frage : Ist das hier nun kompromittiert oder hab ich Halluzinationen? Sicherheitshalber System neu aufsetzen, oder wie weiter?
__________________

Alt 02.04.2007, 19:03   #4
Mobius07
 
Backdoor:Win32.Hupigon - Ausrufezeichen

Backdoor:Win32.Hupigon



Hallo Franz, danke für Deine Antwort. Wie gesagt, ich durchwandere immer das Internet nach Informationen. Die Idee mit der Suche nach diesem User Net war mir noch nicht gekommen, kopiere nur exen,dll`s und so weiter rein, um nach Zusammenhängen zu suchen. Beim Suchen stiess ich auf diese Seite:

http://***.computerhilfen.de/hilfen-5-57962-0.html

Wenn ich auf diese DAT-Datei gehe (Ellenlange Kästchen mit Nummern usw.) zeigt er mir nach Kopieren nur noch dieses "Einfügen" an:
ŠçÓRÇ
Hupigon

Also, das finde ich schon komisch....

Alt 02.04.2007, 19:27   #5
Mobius07
 
Backdoor:Win32.Hupigon - Standard

Backdoor:Win32.Hupigon



Was ich noch sonderlich finde: Seit diesem Tage, dem 27. ten Februar bekomme ich immer e-mails von einer Seite aus dem Interent die ich nie besucht habe. Dort wollen lauter netter Mädels angeblich Kontakt haben. Ich lösche diese e-mails dann sofort und blocke. Mehr Informationen kann ich nicht bieten...

Jetzt setz ich noch nen smilie rein ....

Dank für ev. Antworten.... Patrick


Alt 04.04.2007, 20:38   #6
Mobius07
 
Backdoor:Win32.Hupigon - Standard

Backdoor:Win32.Hupigon



Also, hab alle scans durchgeführt, über diese ntuser-dat nachgeforscht. So richtig schlau bin ich zwar nicht darüber geworden, hab dies DAT-Datei dann aber einfach gelöscht.
Da ich bis dato keine Probleme festgestellt habe, und ich mir denke, aus ner Mücke keinen Elefanten machen zu müssen, schliesse ich diesen thread einfach.

Antwort

Themen zu Backdoor:Win32.Hupigon
adobe, antivir, avg, avira, backdoor, bho, browser, desktop, excel, google, helper, hijack, hijackthis, internet, internet explorer, löschen?, monitor, scan, software, spyware, suchmaschine, system, trojaner, windows, windows xp



Ähnliche Themen: Backdoor:Win32.Hupigon


  1. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  2. Backdoor.Win32.Hupigon in Popcorn MKV AudioConverter.exe
    Plagegeister aller Art und deren Bekämpfung - 08.04.2013 (9)
  3. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  4. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  5. Backdoor.Hupigon?
    Plagegeister aller Art und deren Bekämpfung - 04.11.2011 (0)
  6. Backdoor:Win32/Cbot.B - Trojan:Win32/FakeSysdef
    Log-Analyse und Auswertung - 04.05.2011 (32)
  7. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  8. Backdoor.Win32.Rbot!IK und Win32.SuspectCrc!IK 1
    Plagegeister aller Art und deren Bekämpfung - 14.07.2009 (4)
  9. Backdoor.Hupigon.145152
    Plagegeister aller Art und deren Bekämpfung - 22.02.2009 (11)
  10. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  11. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  12. win32 hupigon.lxl [trj]
    Mülltonne - 09.10.2008 (0)
  13. Virenfund in der sdsetup.exe von "Spyware Doctor" Backdoor.Win32.Hupigon.dcvh
    Log-Analyse und Auswertung - 10.08.2008 (6)
  14. Backdoor erfolgreich beseitigt? (hupigon)
    Log-Analyse und Auswertung - 13.07.2007 (1)
  15. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  16. Backdoor.Win32.Hupigon.cvx entfernen??
    Plagegeister aller Art und deren Bekämpfung - 06.11.2006 (1)
  17. Troj/Feutel-AS bzw. Backdoor.Win32.Hupigon.lq entfernen - Aber wie?
    Log-Analyse und Auswertung - 09.03.2006 (1)

Zum Thema Backdoor:Win32.Hupigon - Hallo Zusammen, habe mich wie in diesem Forum angegeben an die Vorgaben gehalten und mich erst mal selbst schlau gemacht. Also, sprich verdächtige Dateien über Suchmaschinen abgeglichen, diverse Scanns usw. - Backdoor:Win32.Hupigon...
Archiv
Du betrachtest: Backdoor:Win32.Hupigon auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.