Hi Zusammen,

ich habe gerade zum ersten Mal in meinem "Computerleben" einen Virus, nein schlimmer, einen Trojaner auf meinem Rechner gehabt.
Was mich schockiert hat war, dass mein AV Programm "PC-Cillin 2004", obwohl immer mit neusten Pattern versorgt, die Infizierung nicht verhindern oder auch nur bemerken konnte. Noch schlimmer: nach der Infizierung hat ProRat die AV Funktionalität fast ganz ausschalten können.
Dadurch (also kein Icon mehr in Tray Leiste und Fehlermeldungen beim Engine-Start) und durch meine Firewall (Sygate Personal FW Pro) habe ich überhaupt bemerkt das was nicht stimmte.
Es war gar nicht so leicht, das Ding wieder loszuwerden. Da es wohl dafür kein Removal-Tool gibt. Ich habe aber gelesen, dass es einen Client zum downloaden gibt mit dem man den Trojaner steuern und auch deinstallieren kann.
Kann mir einer dazu einen LInk geben, damit ich mein System nochmal kontrollieren kann?!

Sogar nachdem ich das System wieder sauber bekommen habe und PC-Cillin wieder normal läuft, erkennt das Ding die ganzen Dateien nicht: fservices.exe; sservices.exe; services.exe (musste ich aus SP2 wiederherstellen); wininv.dll; ...

Da kann ich nur sagen: SCH..... PRODUKT!!!!!!!!

Hab mir grad Kasperskys AV drauf getan und der erkennt die sofort!!

Kann ich irgendwie feststellen wer womöglich sich auf den Trojaner geschaltet hat?

Danke und Gruss
MaxMad

Poste bitte ein Logfile von HijackThis hier her

http://filepony.de/download-hijackthis/

Zitat:

Zitat von MaxMad

Was mich schockiert hat war, dass mein AV Programm "PC-Cillin 2004", obwohl immer mit neusten Pattern versorgt, die Infizierung nicht verhindern oder auch nur bemerken konnte. Noch schlimmer: nach der Infizierung hat ProRat die AV Funktionalität fast ganz ausschalten können.

Kein Programm erkennt alles!

Zitat:

Zitat von MaxMad

Es war gar nicht so leicht, das Ding wieder loszuwerden. Da es wohl dafür kein Removal-Tool gibt.

Backdoor.Prorat: Is a Backdoor Trojan horse that gives an attacker full control over your computer
Du solltest formatieren und Dein System neu aufsetzen:
http://www.trojaner-board.de/showpos...28&postcount=2

Zitat:

Zitat von MaxMad

Da kann ich nur sagen: SCH..... PRODUKT!!!!!!!!

Könnte es vielleicht auch einfach daran liegen, dass Du trotz (oder wegen?) "Firewall" und AV-Programm elementarste Sicherheitsregeln vernachlässigt hast?
War Dein System auf aktuellem Stand? Hast Du unbenötigte Dienste deaktiviert? Hast Du sichere Programme verwendet? Hast Du Deine Programmme sicher konfiguriert? Mehr dazu im Link in meiner Signatur.

Sicherheit gibts nicht in bunten Schachteln.

Gruß
Yopie

Hi,

danke für eure Antworten.
@yopie: Du hast sicher Recht. Da ich seit ca. 10 Jahren mit Computern arbeite und seit 6 Jahren sogar beruflich und noch nie auch nur einen Virus auf dem Rechner hatte, habe ich mich wahrscheinlich wirklich zu sehr auf die Sicherheitsvorkehrungen verlassen.
Naja, das wichtigste weiss ich aber....nämlich wie das Ding auf meinen Rechner draufgekommen ist. Habe (zum test vor dem Kauf ) ein Spiel von eMule installiert (asche auf mein haupt) und da war das Ding (ganz umsonst ) mit dabei. Witzig war, dass das Spiel-Icon dann das Icon der infizierten services.exe wurde. Und ich wunderte mich noch, warum Sygate bei jedem starten einen Prozess "services.exe", aber mit dem Icon, geblockt hat....

Da ich funktionell (Bedienkomfort und manche Eigenheiten) schon seit längerem mit PC-Cillin unzufrieden war, war das jetzt der "Todesstoss" für das Tool.
Kaspersky gefällt mir bis jetzt sehr gut. Schön klein, unauffällig und schnell. Genau wie ein Virenscanner sein sollte.

Meint ihr den wirklich ich muss meinen Rechner neu aufsetzen?? Klar, wenn jemand auf meinem Rechner war, konnte er ohne Probleme noch andere "Türchen" öffnen und Programme installieren.... aber gibt es da wirklich Trojaner, die kein AV der Welt erkennt? Sieht zumindest so aus, als ob jetzt alles wieder vernünftig tut!
Abgesehen davon, glaub ich nicht, dass sich jemand connecten konnte, da ich mit privater IP über einen Router mit IDS und Portfilter ins Inet gehe. Und auf dem Router sind keine Ports offen... Und ich bezweifle, dass der Trojaner meine Inet IP rausfinden konnte??

Vielen Dank und viele Grüsse
MaxMad


hier das Hijack-Log:

Logfile of HijackThis v1.99.0
Scan saved at 12:34:55, on 30.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
D:\Programme\Apps\Intel\Intel Application Accelerator\iaanotif.exe
C:\WINDOWS\system32\CTsvcCDA.exe
D:\Programme\Apps\Cisco Systems\VPN Client\cvpnd.exe
D:\Programme\Apps\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Apps\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
D:\Programme\Apps\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Apps\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Apps\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Apps\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Apps\The Bat!\thebat.exe
E:\Downloads\AntiVirus\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Apps\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\Programme\Apps\WS_FTP Pro\wsbho2k0.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [IAAnotif] D:\Programme\Apps\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Apps\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Apps\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\Apps\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Apps\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] D:\Programme\Apps\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\Apps\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\Apps\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {ABEAD03E-AC70-4635-AA4D-EBDD9726A0FD} - D:\Programme\Apps\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {ABEAD03E-AC70-4635-AA4D-EBDD9726A0FD} - D:\Programme\Apps\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - D:\Programme\Apps\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: IAA Event Monitor - Intel Corporation - D:\Programme\Apps\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service - SiSoftware - D:\Programme\Apps\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - D:\Programme\Apps\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\Apps\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: VMware Authorization Service - VMware, Inc. - D:\Programme\Apps\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Zitat:

Zitat von MaxMad

Und ich bezweifle, dass der Trojaner meine Inet IP rausfinden konnte??

Warum bezweifelst Du das?

Cobra

Zitat:

Zitat von MaxMad

Hi,

Meint ihr den wirklich ich muss meinen Rechner neu aufsetzen?? Klar, wenn jemand auf meinem Rechner war, konnte er ohne Probleme noch andere "Türchen" öffnen und Programme installieren.... aber gibt es da wirklich Trojaner, die kein AV der Welt erkennt? Sieht zumindest so aus, als ob jetzt alles wieder vernünftig tut!
Abgesehen davon, glaub ich nicht, dass sich jemand connecten konnte, da ich mit privater IP über einen Router mit IDS und Portfilter ins Inet gehe. Und auf dem Router sind keine Ports offen... Und ich bezweifle, dass der Trojaner meine Inet IP rausfinden konnte??

prorat verfügt nicht über firewallbypass und wurde von deiner sygate ja auch geblockt. da du den port des trojaners ja mit sicherheit nicht geforwardet hast, ist die wahrscheinlichkeit sehr klein, daß der client sich zum server verbinden konnte. ich halte ein Neuaufsetzen des sytems nicht für notwendig...

Zitat:

Zitat von MaxMad

Naja, das wichtigste weiss ich aber....nämlich wie das Ding auf meinen Rechner draufgekommen ist. Habe (zum test vor dem Kauf ) ein Spiel von eMule installiert (asche auf mein haupt)

Ok, diesen Klassiker hatte ich oben in der Auflistung nicht erwähnt.

Zitat:

Zitat von MaxMad

Kaspersky gefällt mir bis jetzt sehr gut.

Aber denk dran: auch Kaspersky ist fehlbar, obwohl es lt. Tests ein sehr guter Scanner ist.

Zum Thema "Neu aufsetzen oder nicht" findest Du eine Grundsatzdiskussion unter http://www.trojaner-board.com/showthread.php?t=12784. Lies es Dir durch und bild Dir Deine eigene Meinung.

Gruß
Yopie

Hi,

@Cobra: Da ich vermute, dass Prorat diese Info aus meinem System ausliest und nicht über einen connect-test rausfindet. Und wenn er nur auf dem System guckt sieht er nur meine private IP .... Oder lieg ich falsch?

@Bolivar: so seh ich das eigentlich auch. aber kompromittiertes System ist ein kompromittiertes System (im DSF müsst ich jetzt 5€ ins Sparschein werfen )

@Yopie: ein gutes hats: ich bin wieder sensibilisiert und beschäftige mich mit dem Thema...Les den Thread grad mit Spannung

Hat eigentlich noch jemand in meinem Log was aussergewöhnliches entdecken können?

Dank euch allen!!! (hätt ich das Forum mal gestern in meiner 2stündigen schwitzaktion gefunden)

Gruss
MaxMad

@MaxMad
du postest nicht welche version von ProRat gefunden würde.
http://www.sophos.de/virusinfo/analy...ojproratj.html
http://www.sophos.de/virusinfo/analy...ojprorath.html
es gibt da noch ein paar...

Klar, wenn jemand auf meinem Rechner war, konnte er ohne Probleme noch andere "Türchen" öffnen und Programme installieren.... aber gibt es da wirklich Trojaner, die kein AV der Welt erkennt?
soll es geben, besonders wenn es neu "in the wild" ist.

ich würde kein risiko eingehen, siehe
http://www.mathematik.uni-marburg.de...ompromise.html
und das tun was Yopie empfohlen hat: neu aufsetzen.

chaosman

@MaxMad

Schick die infizierten Dateien doch einfach an avservice@tmlab.de . Dann werden die Schädlinge innerhalb drei Tagen ins Pattern eingepflegt.

Zitat:

Zitat von MaxMad

Hi,
Hat eigentlich noch jemand in meinem Log was aussergewöhnliches entdecken können?

Dank euch allen!!! (hätt ich das Forum mal gestern in meiner 2stündigen schwitzaktion gefunden)

Gruss
MaxMad

meiner meinung nach sieht dein log sauber aus, ich denke dein pc is clean.

du hast großes glück gehabt. prorat ist mit einer fülle von spionage funktionen ausgestattet, die es auch einem völligen laien gestattet mit deinem pc nach gutdünken zu verfahren.

in zukunft etwas vorsichtiger sein...

ich wünsch dir noch einen schönen abend

Zitat:

Zitat von MaxMad

Hat eigentlich noch jemand in meinem Log was aussergewöhnliches entdecken können?

Du nutzt Programme, die zu ungesetzlichen Handlungen genutzt werden können und dessen Benutzung für diese ungesetzliche Handlungen in D schlimm verboten ist... Also nichts aussergewöhnliches.

Gruß
Yopie

Am liebsten würd ich die Sau aber ausfindig machen und anzeigen. meiner meinung nach wird dies viel zu wenig gemacht.... Sonst hat doch nicht mal jemand angst erwischt zu werden.
Ich mein: wenn einer in meine wohnung einbricht zeig ich das auch an, obwohl vielleicht nichts geklaut oder kaputt gemacht wurde. wenn nicht, würds irgendwann jeder machen...

Aber da steckt die Strafverfolgung noch in Kinderschuhen....

Sowas sollte wenigstens die Skript-Kiddies abschrecken und für nen Profi bin ich nicht interessant genug. (ok, vielleicht für profi-spammer ....)

Was meint ihr dazu bzw. habt ihr erfahrung damit?

Es gab doch mal für einen Trojaner einen Fake-Server mit dem man den Angreifer dann verarschen konnte, oder? Wie ist eigentlich die Geschichte von ProRat? Ich mein, dass Ding kann man ja frei kaufen... oder hat das Produkt nichts mit dem Trojaner zu tun?

GRuss
MaxMad

@Yopie: Was meinst du? AnyDVD konnt ich nicht im Log entdecken ;-)

so, und jetzt kann ich es nicht lassen.

obwohl das prorat ein sehr raffinierter trojaner ist, verfügt es nicht über einen firewallbypass. seine stärke liegt eher in der tarnung auf dem rechner, schon fast rootkitartig.

@maxmad,

mit deiner firewall warst du sehr gut beraten, ohne sie müsstest du jetzt formatieren. laß dir zu dem thema also nichts erzählen und verwende sie auch weiterhin. firewalls machen sinn wie man sieht...