Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hitfaker.exe TR/Spy.90112.B

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.01.2009, 14:47   #1
VirenN.OOb
 
Hitfaker.exe TR/Spy.90112.B - Standard

Hitfaker.exe TR/Spy.90112.B



Guten Tag

Heute, als ich das 1. Mal an meinen PC ging (Win XP, SP 3) bekam ich direkt nach dem Starten die folgende Mitteilung:

Zitat:
Die Datei 'L:\BACKUP\Dokumente und Einstellungen\******\Desktop\hitfaker\Hitfaker\HitFaker.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.90112.B' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
Die Datei wurde in dem Backup meines Laptops gefunden, das ich gestern gesichert hatte. Aber auch auf meinem PC war die Datei schon über 1/2 Jahr, ich hatte sie freiwillig runtergeladen und anfangs wurde sie auch nicht als Trojaner dargestellt, erst mit dem gestrigen Virus Updates von Avira AntiVir wurde es als Trojaner angezeigt. Diese Datei Hitfaker.exe benutze ich, um die Besucherzahlen auf manchen Webseiten zu erhöhen , beim Benutzen des Programmes ist mir aber nix aufgefallen, es machte seinen Dienst gut.

Mein HijackThis Logfile:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:09, on 19.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
C:\Programme\JPC\JPC Mediacenter\Program\GCS.exe
D:\Programme1\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme1\iTunes\iTunesHelper.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme1\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\NETGEAR\WG111T\wlan111t.exe
C:\Programme\WiFiConnector\NintendoWFCReg.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme1\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://**********.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme1\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme1\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O4 - Global Startup: Registrierungsprogramm ausführen.lnk = C:\Programme\WiFiConnector\NintendoWFCReg.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: GnabService - Empolis GmbH - c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Programme1\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6093 bytes
Beim Uploaden des Virus auf Virustotal.com kam heraus, dass 6 Scanner ihn als Trojaner anerkannten.

Hier auch das Log:

Zitat:
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.19 Virus.Win32.Trojan!IK
AhnLab-V3 2009.1.15.0 2009.01.19 -
AntiVir 7.9.0.57 2009.01.19 TR/Spy.90112.B
Authentium 5.1.0.4 2009.01.18 -
Avast 4.8.1281.0 2009.01.18 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.19 -
BitDefender 7.2 2009.01.19 -
CAT-QuickHeal 10.00 2009.01.19 -
ClamAV 0.94.1 2009.01.19 -
Comodo 937 2009.01.19 -
DrWeb 4.44.0.09170 2009.01.19 -
eSafe 7.0.17.0 2009.01.19 -
eTrust-Vet 31.6.6315 2009.01.19 -
F-Prot 4.4.4.56 2009.01.18 -
F-Secure 8.0.14470.0 2009.01.19 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.19 Win32:Trojan-gen {Other}
Ikarus T3.1.1.45.0 2009.01.19 Virus.Win32.Trojan
K7AntiVirus 7.10.595 2009.01.19 -
Kaspersky 7.0.0.125 2009.01.19 -
McAfee 5499 2009.01.18 -
McAfee+Artemis 5499 2009.01.18 -
Microsoft 1.4205 2009.01.19 -
NOD32 3777 2009.01.19 -
Norman 5.93.01 2009.01.16 -
nProtect 2009.1.8.0 2009.01.19 -
Panda 9.5.1.2 2009.01.19 -
PCTools 4.4.2.0 2009.01.19 -
Prevx1 V2 2009.01.19 -
Rising 21.13.02.00 2009.01.19 -
SecureWeb-Gateway 6.7.6 2009.01.19 Trojan.Spy.90112.B
Sophos 4.37.0 2009.01.19 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.19 -
TheHacker 6.3.1.5.223 2009.01.18 -
TrendMicro 8.700.0.1004 2009.01.19 -
VBA32 3.12.8.10 2009.01.18 -
ViRobot 2009.1.19.1565 2009.01.19 -
VirusBuster 4.5.11.0 2009.01.18 -
weitere Informationen
File size: 90112 bytes
MD5...: 842d32e9adb91493e23b2086f90112aa
SHA1..: d6f1705f75980724a26d879d6d9e62ccd9aac6fd
SHA256: 9086169d10826cb855defc824000e32488ea98c6352135bd80e548cd3bf9c730
SHA512: cbadd938c310cd6e4dd57d88914060c239d80b4d03906b28d6629546c55326c6
7c525fd8e69717990956c4145abd6d7e3995acb8bec529d0fd1c789d7747caab
ssdeep: 768:GD60E/bCZ0h2sTC9N6HJnEfq4B7xgphtstN0HNqZxwRGRy/X/i4/q/RE5jsv
k0R:70ab12b4Z4B7x2hnNqxbYH0R
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401a70
timedatestamp.....: 0x46d02888 (Sat Aug 25 13:03:04 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x126b4 0x13000 5.58 834e2c102f27ef48650b1bbe61cb6eb7
.data 0x14000 0x15b0 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x16000 0x8cc 0x1000 4.73 689ab90af8564dc694cda09862ccc59d

( 1 imports )
> MSVBVM60.DLL: __vbaVarSub, -, __vbaStrI2, _CIcos, _adj_fptan, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaLenBstr, __vbaStrVarMove, __vbaLateIdCall, __vbaLineInputStr, -, __vbaFreeVarList, _adj_fdiv_m64, __vbaRaiseEvent, __vbaFreeObjList, -, -, _adj_fprem1, __vbaRecAnsiToUni, -, __vbaForEachCollAd, __vbaStrCat, __vbaLsetFixstr, __vbaRecDestruct, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, __vbaAryDestruct, -, -, __vbaBoolStr, __vbaStrBool, __vbaExitProc, -, -, __vbaObjSet, -, __vbaOnError, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaStrFixstr, -, -, __vbaFpR8, __vbaBoolVarNull, _CIsin, -, -, __vbaChkstk, -, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaStrCmp, __vbaAryConstruct2, __vbaVarTstEq, -, __vbaI2I4, DllFunctionCall, __vbaLbound, _adj_fpatan, __vbaLateIdCallLd, __vbaStrR8, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, _CIsqrt, EVENT_SINK_QueryInterface, __vbaStrUI1, __vbaExceptHandler, -, __vbaPrintFile, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, -, __vbaInStrVar, __vbaUbound, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, -, __vbaFileOpen, -, __vbaNew2, __vbaInStr, -, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaI4Var, -, __vbaAryLock, __vbaVarAdd, __vbaStrToAnsi, __vbaVarDup, __vbaFpI2, -, __vbaFpI4, __vbaRecDestructAnsi, __vbaLateMemCallLd, _CIatan, __vbaAryCopy, -, __vbaStrMove, __vbaCastObj, __vbaStrVarCopy, _allmul, __vbaLateIdSt, _CItan, __vbaNextEachCollAd, __vbaAryUnlock, __vbaFPInt, _CIexp, __vbaMidStmtBstr, __vbaFreeObj, __vbaFreeStr, -

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=842d32e9adb91493e23b2086f90112aa
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=842d32e9adb91493e23b2086f90112aa
Der Link zur Auswertung:

http://www.virustotal.com/de/analisis/1499fcb75629107eb643a10cc826ba3c

Der Trojaner (wenns denn einer ist?) ist auf meinen beiden PCs, einen davon kann ich nicht neu aufsetzen da dieser z.B. beim Installieren des SP 2 zu heiß geworden ist und einfach ausgegangen ist. Ich glaube, das Installieren von Windows würde nicht klappen

Hoffe auf kompetente Hilfe

Vielen Dank schon mal im Vorraus

Alt 20.01.2009, 19:29   #2
VirenN.OOb
 
Hitfaker.exe TR/Spy.90112.B - Standard

Hitfaker.exe TR/Spy.90112.B



Weiß wirklich niemand eine Antwort? Mir wurde dieses Forum empfohlen, werde dann warscheinlich ein anderes suchen müssen.

Hab ich was falsch beschrieben?
__________________


Alt 21.01.2009, 14:16   #3
Mr.Vain
 
Hitfaker.exe TR/Spy.90112.B - Standard

Hitfaker.exe TR/Spy.90112.B



Der HiJackThis-Log ist so sauber wie mein Kachelboden *gg

Benutze Hitfaker gelegentlich selber und hatte damit nie Probleme, geschweige denn mit den Virenscanner.
Woher hast du die Datei geladen?
__________________

Alt 21.01.2009, 20:03   #4
VirenN.OOb
 
Hitfaker.exe TR/Spy.90112.B - Standard

Hitfaker.exe TR/Spy.90112.B



Die Seite von der ich es hatte ist down, aber dies ist die identische Fassung:

http://speicher.bplaced.net/hitfaker.rar

wird von 6 Virenscannern als Trojanern erkannt

Alt 29.01.2009, 10:15   #5
mc-quark
 
Hitfaker.exe TR/Spy.90112.B - Standard

Hitfaker.exe TR/Spy.90112.B



hey
bei mir wird Hitfaker auch als trojaner angezeigt aber das ist erst seit kurzer Zeit so o_O Würd gern wissen ob ich mir jetzt Gedanken machen muss oder kann ich ihn drauflassen?

__________________
Engel sind auch nur Geflügel!

Alt 19.05.2009, 14:52   #6
MaxiWB
 
Hitfaker.exe TR/Spy.90112.B - Standard

Hitfaker.exe TR/Spy.90112.B



Ich habe dieses Problem auch seit einiger Zeit und suche gerade nach einer Lösung...

Alt 19.05.2009, 16:42   #7
.keNNy#
 
Hitfaker.exe TR/Spy.90112.B - Standard

Hitfaker.exe TR/Spy.90112.B



Sendet die Datei doch mal an Antivir und gebt als Grund an: Verdacht auf Fehlalarm.
Bei Typ ändert ihr dann auf "Verdacht auf Fehlalarm".

VireN.OOb du kannst ja mal Punkt 2a-d abarbeinten. Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

.keNNy#

Alt 19.05.2009, 17:18   #8
MaxiWB
 
Hitfaker.exe TR/Spy.90112.B - Standard

Hitfaker.exe TR/Spy.90112.B



Ähm
wenn ich die Datei als .txt statt .exe abspeichere bekomme ich ja tiefere Einblicke.
sind an dieser Stelle manche befehle die in diesem Text stehen dafür verantwortlich dass es ein Trojaner ist?
Also könnte ich durch löschen bestimmter Befehle diese Datei unschädlich aber nicht unbrauchber machen?

Alt 19.05.2009, 18:55   #9
.keNNy#
 
Hitfaker.exe TR/Spy.90112.B - Standard

Hitfaker.exe TR/Spy.90112.B



Ich würd mal ganz stark sagen nein
Schick die Datei an Antivir die werden dir sagen ob die Datei schädlich ist oder nicht.

Alt 19.05.2009, 19:22   #10
MaxiWB
 
Hitfaker.exe TR/Spy.90112.B - Standard

Hitfaker.exe TR/Spy.90112.B



Aber müsste doch theoretisch gehen?
Die .exe setzt sich aus bestandteieln zusamm in diesem Fall Text....
Nimmt man es außeinander(?) dann merkt man doch dass bestimmte Befehle eine Bedeutung haben
Aber ich werde es AntiVir schicken
(das obere würde mich aber mal interessieren)

Antwort

Themen zu Hitfaker.exe TR/Spy.90112.B
antivir, antivirus, artemis, avira, bho, bonjour, cdburnerxp, computer, desktop, firefox, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, netgear, neu aufsetzen, programm, software, starten, system, tr/spy., trojaner, updates, virus, virustotal.com, windows, windows xp, zu heiß




Zum Thema Hitfaker.exe TR/Spy.90112.B - Guten Tag Heute, als ich das 1. Mal an meinen PC ging (Win XP, SP 3) bekam ich direkt nach dem Starten die folgende Mitteilung: Zitat: Die Datei 'L:\BACKUP\Dokumente und - Hitfaker.exe TR/Spy.90112.B...
Archiv
Du betrachtest: Hitfaker.exe TR/Spy.90112.B auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.