Backdoor:Win32.Hupigon
 

Hallo Zusammen,

habe mich wie in diesem Forum angegeben an die Vorgaben gehalten und mich erst mal selbst schlau gemacht. Also, sprich verdächtige Dateien über Suchmaschinen abgeglichen, diverse Scanns usw. durchgeführt. Mein Rechner läuft soweit problemlos. Nur jetzt bin ich durch Zufall auf eine Sache gestossen: Unter C:Dokumente und Einstellungen/All Users hab ich eine 256KB große DAT-Datei (ntuser.dat) gefunden, in der steht "Backdoor:Win32.Hupigon". Unter a-squared wurden zudem "adaware.BackWeb.a" und "Joke.win32.Autoit.a" gefunden. Besteht da ein Zusammenhang?
Wieso finden die einen Scanner eigentlich mehr, als meine eigenen Schutzprogramme, denn weder Antivir,Spybot und diverse Scans haben etwas Verdächtiges ausfindig machen können. Da Backdoors meines Wissens nach nicht gerade auf die leichte Schulter zu nehmen sind, bräuchte ich in diesem Fall mal einen guten Ratschlag. Unter Hijack kann ich nichts besonderes feststellen (Hab mir viele Beiträge hier angeschaut, und wollte vorher nicht nerven) . Welche Ports braucht dieser Trojaner, woran erkenn ich, ob dieser noch aktiv ist, oder vielleicht nur geblockt?
Ich stell einfach mal ein Log-File rein, vielleicht kann mir jemand einen Hinweis geben?

Logfile of HijackThis v1.99.1
Scan saved at 17:09:35, on 02.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\NoPopUp 2003\nopopup.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Reality Fusion\Reality Fusion GameCam SE\Program\RFTRay.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

Was ist mit den "file-missing" von JAVA? Das versteh ich nicht. Spywaredoctor und GetReady hab ich längst gelöscht, jedoch verweigert Spybot weitere Änderungen. Unter regedit und msconfig habe ich auch alle unnötigen Sachen von diversen Programmen gelöscht. Also, ich bin kein PC-Ass, es reicht für die nötigen Dinge und das mit gesundem Menschenverstand. Kann ich diese ominöse DAT-Datei problemlos löschen?

Besten Dank für die Hilfe im vorraus (Wenn sie denn kommt) - Patrick

Hallo.
Ich kann in deinem Logfile nichts Auffälliges entdecken - weiß aber aus dem Stegreif auch nicht, ob es Hupigon-Varianten gibt, die sich möglicherweise vor HJT "verstecken" oder gar Rootkit-Technologien nutzen.
Dass sich ein Backdoor-Trojaner aber im Fall einer Infektion quasi mit Klarnamen ins Gästebuch einträgt, kommt mir auch nicht sehr realistisch vor.
Aus dem Bauch heraus wäre mein Tipp, dass vielleicht eine AV-Software einen Eintrag vorgenommen hat.
Hast du dich bei Microsoft schon einmal über den Aufbau der ntuser.dat schlau gemacht?

Die 7 goldenen Regeln hab ich eingehalten, bei Joppi dieses win32.lsass gescannt. Auch nichts gefunden!!! Sonst find ich hier im Forum nur vier ähnliche Beiträge! Portscan zeigt alle "bekannten Ports deaktiviert". Also, kurze Frage : Ist das hier nun kompromittiert oder hab ich Halluzinationen? Sicherheitshalber System neu aufsetzen, oder wie weiter?

Hallo Franz, danke für Deine Antwort. Wie gesagt, ich durchwandere immer das Internet nach Informationen. Die Idee mit der Suche nach diesem User Net war mir noch nicht gekommen, kopiere nur exen,dll`s und so weiter rein, um nach Zusammenhängen zu suchen. Beim Suchen stiess ich auf diese Seite:

http://***.computerhilfen.de/hilfen-5-57962-0.html

Wenn ich auf diese DAT-Datei gehe (Ellenlange Kästchen mit Nummern usw.) zeigt er mir nach Kopieren nur noch dieses "Einfügen" an:
ŠçÓRÇ

Hupigon

Also, das finde ich schon komisch....

Was ich noch sonderlich finde: Seit diesem Tage, dem 27. ten Februar bekomme ich immer e-mails von einer Seite aus dem Interent die ich nie besucht habe. Dort wollen lauter netter Mädels angeblich Kontakt haben. Ich lösche diese e-mails dann sofort und blocke. Mehr Informationen kann ich nicht bieten...

Jetzt setz ich noch nen smilie rein .... :zzwhip:

Dank für ev. Antworten.... Patrick

Also, hab alle scans durchgeführt, über diese ntuser-dat nachgeforscht. So richtig schlau bin ich zwar nicht darüber geworden, hab dies DAT-Datei dann aber einfach gelöscht.
Da ich bis dato keine Probleme festgestellt habe, und ich mir denke, aus ner Mücke keinen Elefanten machen zu müssen, schliesse ich diesen thread einfach.