hallo, liebe gemeinde der kundigen
auf meinem rechner passiert etwas, das ich nicht weiß!
zunächst dachte ich an netsky, der sich trotz firewall und antivirusprogramm sowie regelmäßigem scan durch pest patrol und ad-aware eingeschlichen hat.
auf meinem rechner (system win 98se) befindet sich im windows ordner eine nicht löschbare datei winlogon.exe
alle versuche, sie in windows (normal und im abgesicherten modus) zu löschen oder zu shreddern, schlagen fehl (meldung: datei wird von windows verwendet). die vsmon.exe meiner firewall (zonealarm) meldet aller paar sekunden, daß sie heruntergefahren wird und will wieder gestartet werden. das antivir-programm (av-personal von hbedv) startet kurz beim hochfahren und meldet eine infektion der winkey.dll in c:\windows\system mit dem trojaner BDS/ProRat.14.C
diese läßt sich aber nicht beseitigen. außerdem läßt sich der av-guard nicht starten. alle meine "Kurzstreckenraketen" gegen würmer, trojaner und adware melden den rechner als virenfrei - stinger (mc afee), antinetsky (bitdefender). pest patrol (version 4.0), w32 netsky fixtool von symantec.
meine veruche im dos-modus an diese winlogon.exe heranzukommen und zu löschen enden immer wieder damit, dass sie am ende beim starten von windows doch wieder da ist.
hijack protokoll:
Logfile of HijackThis v1.97.7
Scan saved at 23:11:36, on 25.4.2004
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
D:\FREEWARE\_FREEWARE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
F:\FXNETSKY.EXE
F:\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://sharempeg.com/find/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system\sservice.exe
F1 - win.ini: run= C:\WINDOWS\system\sservice.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\WSEM217.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exe
O4 - HKLM\..\Run: [PCLEPCI] F:\PINNACLE\PPE\ppe.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\ZONEAL~2\zlclient.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O8 - Extra context menu item: Download with GetRight - D:\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\GetRight\GRbrowse.htm
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253
ich bin am ende. wer ist es nicht?

danke im voraus!

Da bei Dir offensichtlich der Backdoor/Trojaner "ProRat" aktiv ist, würde ich dazu raten, das System komplett neu aufzusetzen.

Gleich neu aufsetzen ?
Ich würde erstmal diese Links ausprobieren !

HijackThis Anleitung

Onlinescan

Info

Entfernung von Trojanern

a² free download

hi nangie,

probieren kann er es, aber der prorat ist ein harter genosse, der sich selbst im abgesicherten modus mitlädt. helfen kann hier wirklich nur ein akribisches abarbeiten, um die prozesse, die er mitbringt zu killen. wichtig ist, daß in der system.ini bzw. win.ini die starteinträge des prorat entfernt werden.


@selfmade:

hier sind sie:
</font><blockquote>Zitat:</font><hr />
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system\sservice.exe
F1 - win.ini: run= C:\WINDOWS\system\sservice.exe</font>[/QUOTE]bzw. die winkey.dll muß auch entschärft werden.

wenn du eine manuelle entfernung vornimmst oder neu aufsetzt, dann ändere sämtliche paßwörter auf deinem system bzw. auch die deiner e-mailkonten, pins etc.! dies ist sehr wichtig.

kontrolliere doch mal bitte wieviele "winlogon.exe" du hast!

meine meinung dazu: nichts ist unmöglich, nur sollte man auch ungefähr wissen, wielange dieser aktiv war. solltest du mit der manuellen entfernung nicht zurande kommen, dann sichere deine daten und setze das system komplett neu auf, mit abgeänderten paßwörtern (lokal und auch die, die du im internet benötigst)!

alle anderen einträge kannst du mithilfe der links von nangie selbst analysieren. hast du dennoch probleme, dann melde dich, und dir wird geholfen.

danke für die schnelle hilfe. ich werd erst einmal manuell alles abarbeiten. erste erfolge sind zu vermelden: mit der freeware trojancheck konnte ich die winlogon.exe beim startup deaktivieren und die datei gleich löschen. daraufhin starteten firewall und antivir auch wieder
die winkey.dll wurde von antivir als verseucht mit prorat gemeldet, hab sie gelöscht. mal sehen was passiert. dann gehts weiter an die system.ini und win.ini-einträge... zwischendurch brötchen verdienen gehen und weiter...
ich hoffe, ich komme um das Neuaufsetzen herum.
grüße
selfmade
dank vor allem nangie und mav.

Ich sehe das Problem nicht in der Entfernung des ProRat. Das Problem liegt eher darin, dass niemand garantieren kann, dass auf dem System alle (insbesondere ausführbaren) Dateien noch unverändert vorliegen.
Wenn jedoch nach dem Prinzip "Hoffnung" gearbeitet werden soll (vielleicht hat ja niemand mittels ProRat z.B. Exe-Dateien manipuliert), so auf jeden Fall alle Passwörter/Loginnamen ersetzen.

just my 2 cent...

Hi @ll
</font><blockquote>Zitat:</font><hr />
Gleich neu aufsetzen ?
</font>[/QUOTE]Ja. Und je schneller, desto besser. Und was die Passwörter betrifft - stimmts auch!
</font><blockquote>Zitat:</font><hr /> ...Das Problem liegt eher darin, dass niemand garantieren kann, dass auf dem System alle (insbesondere ausführbaren) Dateien noch unverändert vorliegen. </font>[/QUOTE]..FULL ACK! [img]graemlins/daumenhoch.gif[/img]

</font><blockquote>Zitat:</font><hr /> hi nangie,

probieren kann er es, aber der prorat ist ein harter genosse, der sich selbst im abgesicherten modus mitlädt. helfen kann hier wirklich nur ein akribisches abarbeiten, um die prozesse, die er mitbringt zu killen. wichtig ist, daß in der system.ini bzw. win.ini die starteinträge des prorat entfernt werden.
</font>[/QUOTE]@ mav 1976 - danke für die Info

@ selfmade - gern geschehen

</font><blockquote>Zitat:</font><hr />Original erstellt von Virenscanner:
Das Problem liegt eher darin, dass niemand garantieren kann, dass auf dem System alle (insbesondere ausführbaren) Dateien noch unverändert vorliegen.
</font>[/QUOTE]überschreiben tut er meines erachtens nicht. er installiert nur die clientsoftware unbemerkt, und das sehr gut. der prorat ist ein reines machtinstrument der fiesesten sorte.

erbringt 3 dateien mit! die winkey.dll, die sservice.exe und die fservice.exe

dabei stoppt er sämtliche aktivitäten von sicherheitssoftware und loggt sämtliche sachen mit, die mit passwortabfrage zu tun haben. mittlerweile ist schon der prorat 1.8 aufgetaucht, der wieder um einiges verändert worden ist.

wer lesen möchte: &gt;&gt;&gt; klick mich &lt;&lt;&lt;

ich bin gespannt, da hier von keinen automatischen startaufrufen zu sehen ist, bzw. geben tut´s sie, aber wo?

hi virencanner,

dann habe ich dies mißverstanden. du hast recht, man weiß nicht, ob dateien schon ausgetauscht worden sind. man möchte jetzt nicht weiterdenken, um herauszufinden, was diese machen könnten. spekulationen sollte man bei einem aktiven trojaner lieber nicht tätigen.

von daher ist ein Neuaufsetzen die richtige entscheidung. volle zustimmung. [img]graemlins/daumenhoch.gif[/img]

[ 27. April 2004, 07:44: Beitrag editiert von: mav1976 ]

[img]graemlins/party.gif[/img]

Ich hoffe, auch "selfmade" "weiss" nun, dass ein "Neuaufsetzen" die einzig "vernünftige" Entscheidung ist (ich bin mir "bewusst", dass dies wahrscheinlich "eine Menge Arbeit" für ihn bedeutet).

Edit: Natürlich dürfen beim Neuaufsetzen die alten Loginnamen/Passwörter nicht verwendet werden.

@mav1976
Hier geht es nicht darum, dass der Trojaner "bei seiner Installation" irgendwelche Dateien überschrieben haben könnte.
Es geht darum, dass niemand sagen kann, ob Mister X am anderen Ende (sprich, der mit dem ProRat-Client) nicht zwischenzeitlich (sprich nach der Infektion bis zur Entfernung des ProRat) z.B. calc.exe durch eine andere calc.exe ausgetauscht hat, die - wiederum nur zum Beispiel - ausser die alte calc.exe auszuführen - beliebigen "Unsinn" anstellen könnte.
Und diese "Fragestellung" betrifft nahezu alle (ausführbaren) Dateien auf dem kompromittierten System.

Ich hoffe, auch "selfmade" "weiss" nun, dass ein "Neuaufsetzen" die einzig "vernünftige" Entscheidung ist (ich bin mir "bewusst", dass dies wahrscheinlich "eine Menge Arbeit" für ihn bedeutet).

Edit: Natürlich dürfen beim Neuaufsetzen die alten Loginnamen/Passwörter nicht verwendet werden. [/QB][/QUOTE]

stimmt alles und obvwohl ich vorerst einmal in "akribischer kleinarbeit (mav)" alle entdeckbaren spuren und einträge auf dem system beseitigt habe, habt ihr wohl recht. soweit ich schauen kann ist der prorat seit 21.4. auf meinem rechner - gut 4 tage zeit für seinen absender mit ihm so einiges anzustellen. das Neuaufsetzen ist erst am wochenende dran. zunächst habe ich alle passwörter schon jetzt geändert.

grüße und dank an alle

selfmade

hi selfmade,

dann hast du wenigsten mal gemerkt, was alles dahintersteckt, um manuell einen virus, trojaner etc. zu entfernen.

daraus lernt man.