WinFuture-Forum.de: Hclean32.exe - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 3 Seiten +
  • 1
  • 2
  • 3

Hclean32.exe Trojaner bei Mozilla Firefox


#1 Mitglied ist offline   Halt's_Maul_Paul 

  • Gruppe: aktive Mitglieder
  • Beiträge: 257
  • Beigetreten: 18. Dezember 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:HH

geschrieben 17. September 2005 - 17:14

Hi Leute!

Ich habe ein GROSSES Problem:

Ich säubere gerade des PC eines Freundes (Win2k) und komme einfach nicht mit allen Viren, Würmern, Trojanern etc. klar!
Beispielsweise kommt beim öffnen des Mozilla Firefox immer diese Meldung (AntiVir):

Zitat

C:\WINNT\SYSTEM32\HCLEAN32.EXE

Ist das Trojanische Pferd TR/Qhost.QR


Könnte mir bitte jemand helfen!
main-system on nethands

Gentoo - Debian - LFS

- - - - - - - - - - - - - - - - - - - - - - - - -
Beten wir alle zu unserem Schöpfer, dass der Internet Explorer 6 bald das Zeitliche segnet. Und wenn es geht, seinen jungen und auch nicht ganz koscheren Bruder mit der Nummer 7 gleich mitnimmt. (Versionsnummern natürlich beliebig austauschbar ;P )
[zitat von Peter Kropff - Tutorials HTML/CSS]
0

Anzeige



#2 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 17. September 2005 - 17:17

Hallo



Bitte Poste mal ein Hijackthis LOG


Thema ins Sicherheitsforum verschoben

Dieser Beitrag wurde von Flo bearbeitet: 17. September 2005 - 17:17

0

#3 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 17. September 2005 - 17:18

Neu aufsetzen ist in dem Fall wohl eindeutig das Beste...
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#4 Mitglied ist offline   Halt's_Maul_Paul 

  • Gruppe: aktive Mitglieder
  • Beiträge: 257
  • Beigetreten: 18. Dezember 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:HH

geschrieben 17. September 2005 - 17:24

Ich möchte den PC möglichst ohne neu aufsetzen wieder hinbekommen! Deshalb poste ich hier!
Hier die Hijackthis LOG!

Angehängte Datei(en)


main-system on nethands

Gentoo - Debian - LFS

- - - - - - - - - - - - - - - - - - - - - - - - -
Beten wir alle zu unserem Schöpfer, dass der Internet Explorer 6 bald das Zeitliche segnet. Und wenn es geht, seinen jungen und auch nicht ganz koscheren Bruder mit der Nummer 7 gleich mitnimmt. (Versionsnummern natürlich beliebig austauschbar ;P )
[zitat von Peter Kropff - Tutorials HTML/CSS]
0

#5 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 17. September 2005 - 17:31

Hier findest du die Auswertung. Überprüf' auf jeden Fall die unbekannten Einträge. Außerdem solltest du einen Virenscan von einer Boot-CD aus durchführen, Scans im laufenden Betrieb sind nur wenig aussagekräftig.

Dieser Beitrag wurde von Graumagier bearbeitet: 17. September 2005 - 17:31

"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

#6 Mitglied ist offline   Halt's_Maul_Paul 

  • Gruppe: aktive Mitglieder
  • Beiträge: 257
  • Beigetreten: 18. Dezember 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:HH

geschrieben 17. September 2005 - 17:59

Ah ja OK! :)

Die zweifelhaften Einträge sagen mir nichts und ich weiss auch nicht wie oder womit ich diese überprüfen sollte! ;)

Und ich habe leider auch keine Boot-CD (auch kein Diskettenlaufwerk) zur Verfügung!
Kann mir vllt jemand ein Boot-Image oder so zukommen lassen?
main-system on nethands

Gentoo - Debian - LFS

- - - - - - - - - - - - - - - - - - - - - - - - -
Beten wir alle zu unserem Schöpfer, dass der Internet Explorer 6 bald das Zeitliche segnet. Und wenn es geht, seinen jungen und auch nicht ganz koscheren Bruder mit der Nummer 7 gleich mitnimmt. (Versionsnummern natürlich beliebig austauschbar ;P )
[zitat von Peter Kropff - Tutorials HTML/CSS]
0

#7 Mitglied ist offline   Chaos 

  • Gruppe: aktive Mitglieder
  • Beiträge: 362
  • Beigetreten: 17. September 04
  • Reputation: 0

geschrieben 17. September 2005 - 18:13

Um die unbekannten Prozesse zu überprüfen, kannst du einfach den Namen der Datei in google eingeben und schauen, was dazu bekannt ist, wenn man da nichts findet wird es schon schwerer, herauszufinden was für ein Prozess es ist.

Kannst ja noch AD-Aware und Spy-Bot Search Destroy rüberlaufen lassen!
0

#8 Mitglied ist offline   Halt's_Maul_Paul 

  • Gruppe: aktive Mitglieder
  • Beiträge: 257
  • Beigetreten: 18. Dezember 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:HH

geschrieben 17. September 2005 - 18:21

Also bei Google habe ich nichts hilfreiches gefunden! :)
Und Ad-Aware und Sbybot gehören bei mir sowieso dazu!
Trotzdem danke!
main-system on nethands

Gentoo - Debian - LFS

- - - - - - - - - - - - - - - - - - - - - - - - -
Beten wir alle zu unserem Schöpfer, dass der Internet Explorer 6 bald das Zeitliche segnet. Und wenn es geht, seinen jungen und auch nicht ganz koscheren Bruder mit der Nummer 7 gleich mitnimmt. (Versionsnummern natürlich beliebig austauschbar ;P )
[zitat von Peter Kropff - Tutorials HTML/CSS]
0

#9 Mitglied ist offline   Chaos 

  • Gruppe: aktive Mitglieder
  • Beiträge: 362
  • Beigetreten: 17. September 04
  • Reputation: 0

geschrieben 17. September 2005 - 19:55

Kannst ja mit nem anderen Virenscanner den Rechner überprüfen! Die beiden unbekannten Prozesse sind scheinbar nicht gefährlich.

Überprüfe mal den Rechner mit Bitdefender Free http://www.bitdefender.com/PRODUCT-14-en--...ee-Edition.html
0

#10 Mitglied ist offline   timmy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.961
  • Beigetreten: 24. Juni 05
  • Reputation: 165
  • Geschlecht:Männlich

geschrieben 17. September 2005 - 22:37

wegen dem virenprogramm von einer bootcd kannst du mal hier schauen:
http://www.ultimatebootcd.com/
0

#11 Mitglied ist offline   Monthy 

  • Gruppe: Mitglieder
  • Beiträge: 17
  • Beigetreten: 27. Juli 05
  • Reputation: 0
  • Wohnort:Lüneburg
  • Interessen:Im moment Interessiert mich nur das mein PC wieder läuft ;-)<br />Ansonsten Billard und Modelbau

geschrieben 18. September 2005 - 09:36

Hallo Leute
Ich hab leider das selbe Problem mit
HCLEAN.EXE und dann meldet mein PC auch noch
RDSNDIN.EXE
Ich habe mit HJT alle unbekannten einträge gelöscht und auch mit ESCAN
das System überprüft. ESCAN löscht das aber beim nächsten suchen oder öffnen des IE5 bekomme ich wieder die Meldung das mein PC infiziert is.

Ich habe mit ANTIVIR, ESCAN, F-SECURE, SPYBOT SEARCH AND DESTROY u.s.w.
versucht dem mist vom PC zu verdammen aber ich bekomme den mist nicht weg.

Vielkleicht fällt einem noch was ein ausser den PC neu aufzusetzen denn ich muss erst Mails und andere dinge auf CD brennen und dazu will ich den PC vierenfrei haben. Danach mache ich gerne alles neu.

Gruss Monthy

Dieser Beitrag wurde von Monthy bearbeitet: 18. September 2005 - 10:20

0

#12 Mitglied ist offline   DAB 

  • Gruppe: aktive Mitglieder
  • Beiträge: 208
  • Beigetreten: 31. Juli 05
  • Reputation: 0

geschrieben 18. September 2005 - 15:51

Hast du mal LavaSoft's AdAware probiert?
0

#13 Mitglied ist offline   Halt's_Maul_Paul 

  • Gruppe: aktive Mitglieder
  • Beiträge: 257
  • Beigetreten: 18. Dezember 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Wohnort:HH

geschrieben 18. September 2005 - 17:34

@DAB:
Also falls du mich meinst, ja ich habe Ad-Aware und Sbybot (aktuell) drüberlaufenlassen.

@timmy:
Das funktioniert leider nicht. Ich weiss nicht warum... :)

@Chaos:
Der BitDefender hat zwar zwei Backdoors gefunden aber der Trojaner hclean32.exe ist immer noch unverändert!

Das liegt vllt daran, dass diese Datei nur existiert während der Mozilla Firefox gestartet wird!
Das AntiVir hat in dem Augenblick reagiert und konnte die Datei aber nicht beseitigen!
Manuell löschen funktioniert auch nicht, weil die Datei nicht gefunden/angezeigt oder sonstwas werden kann!!
Ich vermute, dass eine zweite Datei irgendwo versteckt ist und beim starten bestimmter Prozesse die Datei hclean32.exe anlegt, die dann das System ins Wanken und Prozesse zum Absturz bringt!

Kann mir jemand sagen, ob es möglich ist durch Prozessverfolgung diese (falls vorhandene) "Mutter"-Datei ausfindig zu machen?!

Danke
HMP
main-system on nethands

Gentoo - Debian - LFS

- - - - - - - - - - - - - - - - - - - - - - - - -
Beten wir alle zu unserem Schöpfer, dass der Internet Explorer 6 bald das Zeitliche segnet. Und wenn es geht, seinen jungen und auch nicht ganz koscheren Bruder mit der Nummer 7 gleich mitnimmt. (Versionsnummern natürlich beliebig austauschbar ;P )
[zitat von Peter Kropff - Tutorials HTML/CSS]
0

#14 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 18. September 2005 - 17:38

Der Prozess Explorer wird dir denke dabei helfen


http://www.sysintern...ssExplorer.html
0

#15 Mitglied ist offline   Graumagier 

  • Gruppe: aktive Mitglieder
  • Beiträge: 8.811
  • Beigetreten: 01. März 04
  • Reputation: 1
  • Geschlecht:Männlich
  • Wohnort:Graz, Österreich

geschrieben 18. September 2005 - 17:39

Halt's_Maul_Paul sagte:

Kann mir jemand sagen, ob es möglich ist durch Prozessverfolgung diese (falls vorhandene) "Mutter"-Datei ausfindig zu machen?!

FileMon, Process Explorer.
"If you make something idiot proof, someone will invent a better idiot." - Marvin

For Emails always use OpenPGP. My KeyID: 0xA1E011A4
0

Thema verteilen:


  • 3 Seiten +
  • 1
  • 2
  • 3

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0