Hallo allerseits,

ich habe gestern den Sch***-Trojaner mit einem Trick aus dem System geworfen. Ich konnte mich nicht mit einer Neuinstallation abfinden. Leider kommt mein Tip etwas spät für manch andere hier:
Ladet Euch DelayDel oder ein ähnliches Tool aus dem Netz und installiert es. Dieses Programm löscht Dateien beim Systemstart - also wenn sie nicht mehr geschützt sind und der Trojaner noch nicht aktiv ist.
Der Trojaner verhindert, dass man seine Dateien einfach auf das "DelayDel"-Symbol ziehen kann. Also musste ich per Kommandozeile die Dateien mit DelayDel "bekannt machen". Dabei geht man nach folgendem Muster vor:

delaydel C:\Windows\System\service.exe
delaydel C:\Windows\System32\fservice.exe
.
.

Führt diese Befehlszeile unbedingt für alle vorhandenen Trojaner-Dateien aus. Eine Liste findet Ihr auf den Vireninfo-Seiten der Antivirus-Hersteller. Die Dateien sind versteckt. Um sie mit dem Explorer oder ähnlichen Tools zu sehen, muss man einstellen, dass man versteckte und System-Dateien sehen möchte. So kann man schon schauen, welche der Dateien sich wirklich auf dem System tummeln (EXE & DLL-Dateien).

Danach das System neu starten. Wenn Windows jetzt zur Begrüßung eine Felermeldung bringt, dass es die Datei XYZ nicht gefunden hat, habt Ihr es schon fast geschafft. Jetzt müssen nur noch die Registry-Einträge (auch auf den Antivirus-Seiten zu finden) restauriert werden und fertig. Antiviren- und Firewallprogramme sollten auch wieder starten. Jetzt das System erstmal grundreinigen.
Falls keine Fehlermeldung kommt, hat man eine Datei vergessen. Dann muss man nochmal ganz genau gucken. Bei mir hat es aber auf anhieb funktioniert.

@cosmo: Die Dateien "services.exe" und "winlogon.exe" sind auch ganz normale Windows-Dateien. Der Trojaner nutzt deren Namen als Tarnung. Er hat die Dateien nur in anderen Verzeichnissen abgelegt. Also lösche nur die Daeien, die auf den Antivirus-Seiten angegeben sind bzw. die vom Virenprogramm bemängelt werden.

Tschüß,
KaFu

@KaFu
Lese mal bitte hier und überlege 2 Sachen noch mal:
1. Ob dein PC wirklich sauber geworden ist
2. Ob du solche 'Ratschläge' geben darf .

@Rene-gad
Zum einen ist es nicht mein PC. Ich würde so eine Aktion nicht flüchtig machen. Wenn es dem einen oder anderen lieber ist, bei jeder Infektion eines Rechners (von Bekannten und Freunden), den Rechner komplett neu aufzusetzen, dann bitte schön. Das ist ja die sicherste Lösung - und die einfachste. Man macht es sich leicht und überlässt das Gefummel, neue Software u.s.w. aufzuspielen anderen. Das ist nicht meine Art. Ich tüftele, bis ich einen Weg finde, den PC ohne Datenverlust zu retten. Es gibt natürlich auch Probleme, die ich auch nur durch Neuinstallation fixen kann. Sicher hätte man keine Chance, wenn so ein Wurm- oder Trojanervieh irgendwelche Systemdateien verändert und sich so ins System schleicht. Das war aber früher sicher verbreiteter, als es noch "anständige" Viren gab. Da brauchte man schon ein gutes Tool (oder Backup ;-)), um den Virencode aus den verseuchten Dateien zu bekommen. Wenn aber so ein in Delphi programmiertes, über 100k größes Programm mit ein paar DLLs daher kommt, wieso soll man da den Kopf in den Sand stecken und zum Holzhammer greifen?

Zitat:

2. Ob du solche 'Ratschläge' geben darf

Das ist schon sehr traurig für ein Board, dass sich meines Wissens der Hilfe für User verschrieben hat, die gegen Trojaner & Co. kämpfen. WIESO sollte man keine Ratschläge geben dürfen, die den Trojaner vernichten??? Das ist doch absurd! Und dann kommt diese Zeile noch von einem so erfahrenen Mitglied des Boards.

Tschüß
KaFu

@KaFu

Zitat:

Das ist doch absurd!

Absurd für mich ist zu behaupten, dass man einen Backdoor mit dem Löschen der Datei(en) entfernen kann.

Zitat:

Und dann kommt diese Zeile noch von einem so erfahrenen Mitglied des Boards.

Eben deswegen .
BTW: Hast du den verlinkten Artikel gelesen?

@Rene-gad
Ein Backdoor-Programm wie proRat ist doch nichts Mystisches! Progs wie dieses basieren auf einem Aufruf (z.Bsp. in der Registry) einer im Dateisystem vorhandenen Datei.
Ich glaube, Du solltest Dir mal über den Unterschied zwischen einem solchen Trojaner und einem Datei- oder Bootsektorvirus klar machen. NATÜRLICH reicht es aus, die Datei zu löschen! Es würde auch ausreichen, den Aufruf dieser Datei zu verhindern. Wo kein laufender Schadens-Prozess, da auch kein Schaden. Sicher gibt es im Laufe einer Backdoor-Infektion viele Möglichkeiten für den Eindringling, andere Türen für andere Backdoos zu öffnen und diese einzuschleusen. Er selbst lässt sich aber auf diese Art und Weise killen. Wenn Du es nicht glaubst, kannst Du es ja gerne ausprobieren .
Ich habe die Kolumne(!) gelesen. Was will man erwarten von einem "Security Program Manager"? Der hat einen ganz anderen Blickwinkel. Die höchste Sicherheit bietet nun mal die Neuformatierung - auch wenn es einfacher ginge. Das ist aber der pessimistische Ansatz (unter dem Motto "Warum soll ich mich anstrengen, wenn ich den PC sowieso nicht sauber bekomme").

Es ist ja auch egal. Ich habe hier einen Hinweis gegeben, wie man den proRat los wird - DEFINITIV! Wer es nicht glaubt, soll sein System neu installieren (obwohl man das auch noch nach einem gescheiterten Desinfizierungsversuch machen kann). Ich wollte nur meine Erfahrung weitergeben (, die sich nicht in der Anzahl der Posts misst) und den Usern Aufwand und Ärger ersparen.

Tschüß
KaFu

@KaFu
Wir rutschen wieder zum OT. Wenn du das Thema weiter diskutieren möchtest: http://www.trojaner-board.com/showthread.php?t=12784