|
Plagegeister aller Art und deren Bekämpfung: was tun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.04.2004, 00:47 | #1 |
| was tun? hallo, liebe gemeinde der kundigen auf meinem rechner passiert etwas, das ich nicht weiß! zunächst dachte ich an netsky, der sich trotz firewall und antivirusprogramm sowie regelmäßigem scan durch pest patrol und ad-aware eingeschlichen hat. auf meinem rechner (system win 98se) befindet sich im windows ordner eine nicht löschbare datei winlogon.exe alle versuche, sie in windows (normal und im abgesicherten modus) zu löschen oder zu shreddern, schlagen fehl (meldung: datei wird von windows verwendet). die vsmon.exe meiner firewall (zonealarm) meldet aller paar sekunden, daß sie heruntergefahren wird und will wieder gestartet werden. das antivir-programm (av-personal von hbedv) startet kurz beim hochfahren und meldet eine infektion der winkey.dll in c:\windows\system mit dem trojaner BDS/ProRat.14.C diese läßt sich aber nicht beseitigen. außerdem läßt sich der av-guard nicht starten. alle meine "Kurzstreckenraketen" gegen würmer, trojaner und adware melden den rechner als virenfrei - stinger (mc afee), antinetsky (bitdefender). pest patrol (version 4.0), w32 netsky fixtool von symantec. meine veruche im dos-modus an diese winlogon.exe heranzukommen und zu löschen enden immer wieder damit, dass sie am ende beim starten von windows doch wieder da ist. hijack protokoll: Logfile of HijackThis v1.97.7 Scan saved at 23:11:36, on 25.4.2004 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\WINLOGON.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\STIMON.EXE D:\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE D:\FREEWARE\_FREEWARE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE F:\FXNETSKY.EXE F:\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://sharempeg.com/find/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://sharempeg.com/find/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system\sservice.exe F1 - win.ini: run= C:\WINDOWS\system\sservice.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\WSEM217.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exe O4 - HKLM\..\Run: [PCLEPCI] F:\PINNACLE\PPE\ppe.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] D:\ZONEAL~2\zlclient.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O8 - Extra context menu item: Download with GetRight - D:\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\GetRight\GRbrowse.htm O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253 ich bin am ende. wer ist es nicht? danke im voraus! |
26.04.2004, 05:02 | #2 |
| was tun? Da bei Dir offensichtlich der Backdoor/Trojaner "ProRat" aktiv ist, würde ich dazu raten, das System komplett neu aufzusetzen.
__________________ |
26.04.2004, 06:49 | #3 |
was tun? Gleich neu aufsetzen ?
__________________Ich würde erstmal diese Links ausprobieren ! HijackThis Anleitung Onlinescan Info Entfernung von Trojanern a² free download
__________________ |
26.04.2004, 07:54 | #4 |
Gast | was tun? hi nangie, probieren kann er es, aber der prorat ist ein harter genosse, der sich selbst im abgesicherten modus mitlädt. helfen kann hier wirklich nur ein akribisches abarbeiten, um die prozesse, die er mitbringt zu killen. wichtig ist, daß in der system.ini bzw. win.ini die starteinträge des prorat entfernt werden. @selfmade: hier sind sie: </font><blockquote>Zitat:</font><hr /> F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\system\sservice.exe F1 - win.ini: run= C:\WINDOWS\system\sservice.exe</font>[/QUOTE]bzw. die winkey.dll muß auch entschärft werden. wenn du eine manuelle entfernung vornimmst oder neu aufsetzt, dann ändere sämtliche paßwörter auf deinem system bzw. auch die deiner e-mailkonten, pins etc.! dies ist sehr wichtig. kontrolliere doch mal bitte wieviele "winlogon.exe" du hast! meine meinung dazu: nichts ist unmöglich, nur sollte man auch ungefähr wissen, wielange dieser aktiv war. solltest du mit der manuellen entfernung nicht zurande kommen, dann sichere deine daten und setze das system komplett neu auf, mit abgeänderten paßwörtern (lokal und auch die, die du im internet benötigst)! alle anderen einträge kannst du mithilfe der links von nangie selbst analysieren. hast du dennoch probleme, dann melde dich, und dir wird geholfen. |
26.04.2004, 08:33 | #5 |
| was tun? danke für die schnelle hilfe. ich werd erst einmal manuell alles abarbeiten. erste erfolge sind zu vermelden: mit der freeware trojancheck konnte ich die winlogon.exe beim startup deaktivieren und die datei gleich löschen. daraufhin starteten firewall und antivir auch wieder die winkey.dll wurde von antivir als verseucht mit prorat gemeldet, hab sie gelöscht. mal sehen was passiert. dann gehts weiter an die system.ini und win.ini-einträge... zwischendurch brötchen verdienen gehen und weiter... ich hoffe, ich komme um das Neuaufsetzen herum. grüße selfmade dank vor allem nangie und mav. |
26.04.2004, 08:43 | #6 |
| was tun? Ich sehe das Problem nicht in der Entfernung des ProRat. Das Problem liegt eher darin, dass niemand garantieren kann, dass auf dem System alle (insbesondere ausführbaren) Dateien noch unverändert vorliegen. Wenn jedoch nach dem Prinzip "Hoffnung" gearbeitet werden soll (vielleicht hat ja niemand mittels ProRat z.B. Exe-Dateien manipuliert), so auf jeden Fall alle Passwörter/Loginnamen ersetzen. just my 2 cent... |
26.04.2004, 11:18 | #7 |
| was tun? Hi @ll </font><blockquote>Zitat:</font><hr /> Gleich neu aufsetzen ? </font>[/QUOTE]Ja. Und je schneller, desto besser. Und was die Passwörter betrifft - stimmts auch! </font><blockquote>Zitat:</font><hr /> ...Das Problem liegt eher darin, dass niemand garantieren kann, dass auf dem System alle (insbesondere ausführbaren) Dateien noch unverändert vorliegen. </font>[/QUOTE]..FULL ACK! [img]graemlins/daumenhoch.gif[/img] |
26.04.2004, 13:30 | #8 |
was tun? </font><blockquote>Zitat:</font><hr /> hi nangie, probieren kann er es, aber der prorat ist ein harter genosse, der sich selbst im abgesicherten modus mitlädt. helfen kann hier wirklich nur ein akribisches abarbeiten, um die prozesse, die er mitbringt zu killen. wichtig ist, daß in der system.ini bzw. win.ini die starteinträge des prorat entfernt werden. </font>[/QUOTE]@ mav 1976 - danke für die Info @ selfmade - gern geschehen
__________________ MfG Nangie Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat. Lilo Keller (*1934) nachdenkliche Hausfrau |
26.04.2004, 18:06 | #9 |
Gast | was tun? </font><blockquote>Zitat:</font><hr />Original erstellt von Virenscanner: Das Problem liegt eher darin, dass niemand garantieren kann, dass auf dem System alle (insbesondere ausführbaren) Dateien noch unverändert vorliegen. </font>[/QUOTE]überschreiben tut er meines erachtens nicht. er installiert nur die clientsoftware unbemerkt, und das sehr gut. der prorat ist ein reines machtinstrument der fiesesten sorte. erbringt 3 dateien mit! die winkey.dll, die sservice.exe und die fservice.exe dabei stoppt er sämtliche aktivitäten von sicherheitssoftware und loggt sämtliche sachen mit, die mit passwortabfrage zu tun haben. mittlerweile ist schon der prorat 1.8 aufgetaucht, der wieder um einiges verändert worden ist. wer lesen möchte: >>> klick mich <<< ich bin gespannt, da hier von keinen automatischen startaufrufen zu sehen ist, bzw. geben tut´s sie, aber wo? |
27.04.2004, 00:02 | #10 |
Gast | was tun? hi virencanner, dann habe ich dies mißverstanden. du hast recht, man weiß nicht, ob dateien schon ausgetauscht worden sind. man möchte jetzt nicht weiterdenken, um herauszufinden, was diese machen könnten. spekulationen sollte man bei einem aktiven trojaner lieber nicht tätigen. von daher ist ein Neuaufsetzen die richtige entscheidung. volle zustimmung. [img]graemlins/daumenhoch.gif[/img] [ 27. April 2004, 07:44: Beitrag editiert von: mav1976 ] |
27.04.2004, 00:25 | #11 |
| was tun? [img]graemlins/party.gif[/img] Ich hoffe, auch "selfmade" "weiss" nun, dass ein "Neuaufsetzen" die einzig "vernünftige" Entscheidung ist (ich bin mir "bewusst", dass dies wahrscheinlich "eine Menge Arbeit" für ihn bedeutet). Edit: Natürlich dürfen beim Neuaufsetzen die alten Loginnamen/Passwörter nicht verwendet werden. |
27.04.2004, 11:27 | #12 |
| was tun? @mav1976 Hier geht es nicht darum, dass der Trojaner "bei seiner Installation" irgendwelche Dateien überschrieben haben könnte. Es geht darum, dass niemand sagen kann, ob Mister X am anderen Ende (sprich, der mit dem ProRat-Client) nicht zwischenzeitlich (sprich nach der Infektion bis zur Entfernung des ProRat) z.B. calc.exe durch eine andere calc.exe ausgetauscht hat, die - wiederum nur zum Beispiel - ausser die alte calc.exe auszuführen - beliebigen "Unsinn" anstellen könnte. Und diese "Fragestellung" betrifft nahezu alle (ausführbaren) Dateien auf dem kompromittierten System. |
27.04.2004, 20:14 | #13 |
| was tun? Ich hoffe, auch "selfmade" "weiss" nun, dass ein "Neuaufsetzen" die einzig "vernünftige" Entscheidung ist (ich bin mir "bewusst", dass dies wahrscheinlich "eine Menge Arbeit" für ihn bedeutet). Edit: Natürlich dürfen beim Neuaufsetzen die alten Loginnamen/Passwörter nicht verwendet werden. [/QB][/QUOTE] stimmt alles und obvwohl ich vorerst einmal in "akribischer kleinarbeit (mav)" alle entdeckbaren spuren und einträge auf dem system beseitigt habe, habt ihr wohl recht. soweit ich schauen kann ist der prorat seit 21.4. auf meinem rechner - gut 4 tage zeit für seinen absender mit ihm so einiges anzustellen. das Neuaufsetzen ist erst am wochenende dran. zunächst habe ich alle passwörter schon jetzt geändert. grüße und dank an alle selfmade |
27.04.2004, 20:39 | #14 |
Gast | was tun? hi selfmade, dann hast du wenigsten mal gemerkt, was alles dahintersteckt, um manuell einen virus, trojaner etc. zu entfernen. daraus lernt man. |
Themen zu was tun? |
abgesicherten modus, ad-aware, adware, beim starten, bho, browser, defender, download, explorer, firewall, hijackthis, immer wieder, internet, internet explorer, löschen, mc afee, meinem, nicht, nicht löschbare datei, object, ordner, programme, registry, rundll, scan, sekunden, shockwave, software, starten., system, trojaner, windows |