also ich habe mich mit meinen eigenen prorat infiziert jetztz kommt sone fehler meldung beim hochfahren fservice.exe nicht gefunden das ist ne malware höschtwahrscheinlich hier meine hijackfiles was muss ich jetzt tun


Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]


EDIT: ich habe windoof xp proffesionel servicepack1

Moin,

bei einer Proratinfektion hilft nur noch rigoroses Neuaufsetzen. Denn Du kannst Dir nicht sicher sein, was alles bereits von diesem Trojaner an Daten übertragen wurde bzw. ob der Rechner überhaupt noch in Deinem Besitz ist. Das bezweifle ich nämlich.

Benutze die Boardsuche um Dir Tips zum Neuaufsetzen zu suchen.

das war ja mein eigener trojaner.und 2 habe ich ihn keinen zugang ins internet gewährt und mit dem domain was gua da hinschrieb habe ich garn icht vertanden
edit: ich glaubs schon verstanden zu haben

Logfile of HijackThis v1.99.1
Scan saved at 12:22:12, on 29.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\ARCORO~1\Arcor.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\LckFldService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [**l]h**p://www.arcor.de/[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
F0 - system.ini: Shell=Explorer.exe c:\windows\system32\msiexec16.exe
F1 - win.ini: run=c:\windows\system32\msiexec16.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)
O2 - BHO: XBTP09256 - {EB0B101C-CABD-4117-A4D4-8AD1D3DD3F0F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Arcor Online] C:\PROGRA~1\ARCORO~1\Arcor.exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [**l]h**p://**.microsoft*com/fwlink/?linkid=39204[/url]
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {CT id=e codeBase=http://***.***2.p0rt2.com/files/epl29bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - [url]h**p:/****.flatcast.com/de/download/NpFv415.dll[/u**]
O17 - HKLM\System\CCS\Services\Tcpip\..\{C281C1D1-E462-4675-A9A2-FFC3CD8DC6CC}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Zitat:

Zitat von proratturkeyy

das war ja mein eigener trojaner.und 2 habe ich ihn keinen zugang ins internet gewährt und mit dem domain was gua da hinschrieb habe ich garn icht vertanden

Wenn es dein eigener Trojaner war/ist, wirst du sicherlich auch wissen wie man ihn wieder los wird! Wenn man keine Ahnung davon hat sollte man auch die Finger davon lassen.

Setz deine Kiste neu auf und lass in Zukunft die Finger von dem Schei*s...

(oder sieh dir den Unterschied zwischen Server und Client das nächste mal genau an)

(achja, auch OptixPro ist keine Alternative!)

Zitat:

F1 - win.ini: run=c:\windows\system32\msiexec16.exe

SUNNY

ähmm ich bin ihn los geworden blos der hat einen schaden angerichtet also da ist malware ich wollte nur wissen welcher file das ist aber egal und danke schön für deine hilfe

Verstehe ich das jetzt eigentlich richtig...? Du hast mit einem Backdoor experimentiert und dir damit selbst ins Knie geschossen?

Tut mir wirklich leid, aber wie bescheu*** kann man eigentlich sein?



Ist dir der Begriff Script-Kiddy vertraut? Vielleicht solltest du in Erwägung ziehen, so einen Mist in Zukunft sein zu lassen.
Zumindest hast du mir allerdings wirklich den Abend versüßt. So herzhaft gelacht habe ich bei einem Forenbeitrag schon lange nicht mehr.

Zitat:

Zitat von Glamatus

V
Zumindest hast du mir allerdings wirklich den Abend versüßt. So herzhaft gelacht habe ich bei einem Forenbeitrag schon lange nicht mehr.

Die Trolle sterben halt nie aus

Echt drollig!

naund ich probiere wenigstens aus ich bin nicht so wie ihr so pc freaks die keine freudne haben und 24 h vor dem pc sitzen und fruen das sie sich mit den pc auskennen .ich vergnüge mich mit den mädels statt ihr 24 h mit dem pc mich zu beschäftigen
PCFREAKSSS hahahahahah oh man ist sowas peinlich
und freudninen habt ihr auch nicht wa bestimmt alle noch jungfrauen hahahahah
ich sterbe vor lachen

*plonk*

Zitat:

Zitat von proratturkeyy

ich sterbe vor lachen

Na hoffentlich ...

Wundere dich nicht das dir niemand etwas anderes als *PLONK* oder *Bibo der Woche* entgegenbringen wird, denn auf solch ein derart "dummes" Geschwätz bzw. Konservation hat niemand wirklich Lust....

/EDIT:

Hab deinen Beitrag nochmal gelesen, und ich denke du hast ihn dir reichlich verdient:



//EDIT

Achja, den BiBO kenn ich auch noch!

Rofl oô wenn die fehlermeldung kommt, dass fservice nicht gefunden wurde ist der trojaner schon unten, da fservice.exe der server von prorat ist ;D

PS: Bei Prorat gibt es eine Option die sieht so aus

das gleiche problem hatte ich auch, aber ich hab ne lösung ohne das sys neu draufzupacken falls du es noch nicht getan hast.

geh zum system32 ordner (C:\WINDOWS\system32\)

erstelle eine textdatei und nenne sie "fservice.exe".

öffne den ProRat CLIENT und führe die Option "ProRat Server löschen" aus.

Bei mir hats geklappt!

DerTrojaner

PS: ich hab mich extra für diese antowort hier registriert!!!

Zitat:

Zitat von DerTrojaner

ich hab mich extra für diese (Absolut Sinnfreie und mehr als für 2 Monate verspätete (Rene-gad)) antowort hier registriert!!!

Ich mische mich nur deswegen ein:

Zitat:

You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there.
Quelle