Greatis, UnHackMe & Reanimator

Ich glaube, ich habe mir einen Trojaner eingefangen. Ich habe gestern das Tools UnHackMe Hacker (Defender Detection) von der Seite

http://www.snapfiles.com/reviews/UnHackMe/unhackme.html

heruntergeladen, installiert und wie dort beschrieben (u.a. im abgesicherten Modus) durchlaufen lassen. Heute erschien nach dem PC-Start (und vor den Icons) die folgende Meldung:

„UnHackMe could not get services list.
Please visit support center: http://greatis.com/support.
Attach your unhack.me.log and unhack.me.err files.”

Ich habe einen Screenshot erstellt und die angegebene Internetseite aufgerufen. Dort wurde ich auf die Seite

http://greatissoftware.com/techsupport/open.php

umgeleitet. Dort wurde ich aufgefordert ein Formular auszufüllen, um ein Ticket zu erstellen. Da hat bei mir zwar eine GELBE LAMPE zu leuchten begonnen und ich habe deswegen nur eine unbedeutende Mailadresse eingetragen, aber ich habe das Formular ausgefüllt und den Screenshot als Anlage beigefügt.

Unmittelbar darauf erhielt ich eine Bestätigungs-Email mit dem folgenden Text:

“Von: support@greatissoftware.com
Betreff: Support Ticket Opened [#531680]

-- do not edit --

A support ticket has been created (#531680) and a representative will get back to you shortly.
You can view this ticket progress online here:
NOTE: If you wish to send additional information regarding this ticket, please do not send another email. Instead, reply to this email.
RegRun Support Team“

Natürlich habe ich mir das Ticket angesehen. Eine halbe Stunde später erhielt ich folgende Mail mit Anlage:

„Von: support@greatissoftware.com
Betreff: [#531680] UnHackMe
Einfügen: regrunlog.rnr (996 Byte)

-- do not edit --

Hello XXXXXXX!
You have a lot of viruses and adware/spyware components.
We will begin to fix it.
Download our special software:
http://www.greatis.com/reanimator.zip
Unzip it to any folder.
Save attached regrunlog.rnr to the same folder.
1. Restart your computer to the Safe mode.
Read instructions how to go to the Safe mode:
http://service1.symantec.com/SUPPOR...2001052409420406?OpenDocument&src=sec_doc_nam
2. Open Reanimator.exe.
Open Reanimator menu, \"Execute Reanimator Job\".
Choose regrunlog.rnr file.
3. Restart your computer again to the Safe mode.
Repeat the job execution.
Save the executed log file.
4. Restart to the Normal Windows mode.
Open Reanimator and create Detailed System Report.
Send me your log file and report.”

Jetzt leuchtete bei mir eine ROTE LAMPE auf. Woher will der Absender wissen, daß mein PC infiziert ist? Und daß nach einer quartalsmäßgen Reinigung mit mehreren Programmen am Vortag? Ich sah mir deswegen den Header an und fand, daß sich hinter der Adresse support@greatissoftware.com die folgende Adresse verbarg:

nobody@zen.flexihostings.net

Die Whois-Anfrage bei http://gwhois.schlund.de/cgi-bin/gwhois.cgi ergab, daß die Domain flexihostings.net auf die Firma GO DADDY SOFTWARE, INC. eingetragen ist. (Die Domain greatissoftware.com ist auf die Firma GANDI in Russland eingetragen.)

Jetzt habe ich natürlich das Scheiß-Gefühl, daß ich mir mit UnHackMe einen Trojaner installiert habe. Kann mir hier jemand weiter helfen? Weiss wer was über diese Domains:

http://www.snapfiles.com/
http://greatis.com/
http://greatissoftware.com/

Wenn das ein Betrug oder Betrugsversuch war, dann müßte er von diesen Seiten ausgegangen sein. Und kennt jemand den RegRun Reanimator? Ich werde die kompletten Header unten posten.

 

Return-Path: <nobody@zen.flexihostings.net>
Delivery-Date: Thu, 29 Mar 2007 15:35:23 +0200
Received-SPF: none (mxeu13: 66.246.218.161 is neither permitted nor denied by domain of zen.flexihostings.net) client-ip=66.246.218.161; envelope-from=nobody@zen.flexihostings.net; helo=zen.flexihostings.net;
Received: from [66.246.218.161] (helo=zen.flexihostings.net)
by mx.kundenserver.de (node=mxeu13) with ESMTP (Nemesis),
id 0MKsEO-1HWumZ3gNd-0000eU for [Meine Mail-Adresse]; Thu, 29 Mar 2007 15:35:16 +0200
Received: from nobody by zen.flexihostings.net with local (Exim 4.63)
(envelope-from <nobody@zen.flexihostings.net>)
id 1HWumZ-00009D-85
for [Meine Mail-Adresse]; Thu, 29 Mar 2007 06:35:15 -0700
To: [Meine Mail-Adresse]
Subject: Support Ticket Opened [#531680]
From: support@greatissoftware.com
Message-Id: <E1HWumZ-00009D-85@zen.flexihostings.net>
Date: Thu, 29 Mar 2007 06:35:15 -0700
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - zen.flexihostings.net
X-AntiAbuse: Original Domain - online.de
X-AntiAbuse: Originator/Caller UID/GID - [99 32002] / [47 12]
X-AntiAbuse: Sender Address Domain - zen.flexihostings.net
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd -DSSL
X-Source-Dir: greatissoftware.com:/public_html/techsupport
X-PhishingScore: 0
tests=
X-SpamScore: 0.6
tests= NO_REAL_NAME
Envelope-To: [Meine Mail-Adresse]

 

UnHackMe ist ein Rootkitscanner.
Du hast die 30 Tage Testversion installiert.
Support wird es da wohl keinen geben, da du dich nicht registriert hast.

Es ist eher anzunehmen, dass dein PC verseucht ist.

Aus welchem Grund hast du denn einen Rootkitscanner installiert? Benahm sich dein System schon vor Installation von UnHackMe seltsam?

Wenn es noch installiert ist, sind folgende Autostarteinträge vorhanden:

C:\Programme\UnHackMe\hackmon.exe
HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe

Natürlich kann er erst nach einem Neustart aktiv sein und versteckten Schadcode melden.

Du kannst mal einen anderen Rootkitscannern gegenprüfen

BlackLight von fsecure
https://europe.f-secure.com/blacklight/

GMER
http://www.gmer.net/index.php

 

Vielen Dank! Ich habe jetzt die neue Version von BlackLight sowie GMER und Catchme ausgeführt. Das Ergebnis von GMER kann ich nicht interpretieren und habe es deswegen als Anlage beigefügt. Die anderen Rootkit-Detektoren haben nichts gefunden. Zu deinen Fragen:

Ich hatte die sehr umfangreiche Norton Internet Security als Firewall. Ich mußte sie nach einiger Zeit wieder entfernen, da mein Notebook wegen der ständigen Prüfungen, die zunehmend alles lahmgelegt haben, praktisch unbrauchbar wurde.

Seither benutze ich die Gratis-Programme Sygate Personal Firewall, Windows Defender, AntiVir PE Classic, Ad-Aware SE Personal und Trojancheck. Daneben auch FRITZ!DSL Protect.

Seit der Deinstallation der NIS bin ich übervorsichtig, da ich Zweifel habe, daß Sygate einen ausreichenden Schutz bietet. Wenn mir etwas nicht geheuer ist, z. B. die Internetseiten ungewöhnlich langsam geladen werden, prüfe ich mit RootkitRevealer und BlackLight auf Trojaner. Die haben aber noch nie etwas gefunden. (Die Virenprogramme übrigens auch nicht.) UnHackMe habe ich ausgeführt, weil ich die Festplatte einmal auf eine mögliche Infektion mit dem Hacker Defender prüfen wollte.

Nun zu meinen Fragen: Hast du Tipps für mich, wie ich meine Firewall verbessern kann? Mein Betriebssystem ist Windows XP mit allen Patches und ich verwende Firefox und Outlook Express. Ist ZoneAlarm besser als Sygate? Beide zusammen werden wohl nicht funktionieren ...

Was hältst du von dieser Greatis RegRun Reanimator-Geschichte? Findest du die Firma bzw. den beschriebenen Support vertrauenswürdig? Weißt du was über den Reanimator?