|
Prorat-fservice,sservice-winlogon ;( hallo leute ich hab diesen dämlichen trojaner drauf und habe hier schon beiträge gefunden,die mir allerdings nicht weitergeholfen habe. ich erklär das mal kurz: ich hab xp in dem taskmanager wird allerdings kein fservice,oder sservice prozess angezeigt. mir ad-aware,spybot und jijackthis habe ich den trojaner bereits gelöscht,alleridngs ohne erfolg,er kommt immer wieder :( mit antivir habe ich auch bereits geöscht,gesagt wird mir,dass ich den virus erst nach einem neustart löschen kann,auch das bringt nix! ich habe mithilfe der pc suche und der regestry-suche alle winlogon,fservice und sservice teile gelöscht. in der system.ini und boot.ini unter ausführen-msconfig habe ich keinen beitrag gefunden. es gibt nun in den windowsordner-system/system32 sservice und fservice einträge. wenn ich diese lösche,kommen sie sofort zurück. die winlogon datei kann ich einfach nicht löschen. könnt ihr mir da mal helfen? thx schonmal |
Poste zunächst mal ein Hijackthis Logfile: Anleitung Zitat:
|
@cosmo Prorat ist ein Backdoor, das Löschen u.a. "Putzmaßnahmen" bringen in dem Fall gar nix. Die einzige Lösung - die Anleitung (Link in meiner Signatur) genau folgen. |
@ Rene-gad Hast völlig recht.Hab den Titel des Threads nur überflogen. :( @cosmo Befolge Rene-gad´s Vorschläge und arbeite das ab um eine solche Infektion in Zukunft zu vermeiden: http://www.trojaner-board.com/showthread.php?t=12154 Prorat gibt Dritten volle Kontrolle über deinen Computer. Warum hier eine Bereinigung nicht mehr hilft: http://www.mathematik.uni-marburg.de...c-removal.html |
mal ne frage: also dieses backdoor vieh ist nur in der windowsdatei? also reicht es,wenn ich partition c formatiere und den rest so lasse? dann bin ich den trojaner schon auf jeden fall los? es ist wirklich ärgerlich,wenn ich alles formatieren müsste,weil ich dann erst alles runterbrennen müsste und dann könnte es nachher ja imemr noch sein,dass irgendwas infiziert ist,oder? |
Prorat, ist fast ein Rootkit, => Beseitigung, fast aussichtslos, Format C könnte reichen, falls du keine exen hin und her geschubst hast?! Christina, unter Mitwirkung von ... |
Imho sollten alle Partitionen gelöscht und neuerstellt werden.Vor der ersten Internetverbindung sollten o.g. Vorschläge von Cidre abgearbeitet werden. Wichtige Daten würde ich auf externe Medien kopieren.Bevor diese auf das neue System gespielt werden sollten diese Dateien mittels aktuellem Virenscanner geprüft werden.Als Referenz evtl. diese Dateien von einem 2ten Scanner prüfen lassen. |
hm...schei*e... naja ich werd morgen oder übermorgen,erst mal nur c formatieren,ich fahre montag eine woche auf klassnefahr,da schaff ich das mit dem brennen nicht mehr...und mir ist kein bekannter mit einer mind. 50gb großen externen festplatte bekannt ^^ und 20dvd´s sind net gerade sehr billig^^ omg,dass ich mal so einen lässtigen trojaner bekomme...normalerweise waren die immer die kleinsten probleme ^^ |
@ cosmo Denke in Zukunft an den blöden Spruch: "Vorsorge ist besser als Nachsorge." Infektionem dieser Art wären vermeidbar gewesen, wenn du dein System sicher konfiguriert hättest.Das hätte dich keinen Cent gekostet, nur etwas Zeit. Arbeite Cidres Vorschläge ab und du bleibst in Zukunft verschont.Schädlinge auf dem Rechner sind keine Selbstverständlichkeit<-- siehe meine Signatur |
Zitat:
thx... aber heisst das jetzt es reicht c zu formatieren,oder muss es alles sein? ach ich werds ja heute sehen,wenns stabil läuft und ich weder services noch fservice oder winlogon zu sehen bekomme,dann bin ich glücklich ;)) |
aja und bevor ich es vergesse....ist es möglich seine favoriten vom internetexplorer,oder firefox irgendwie zu sichern(auch wenn es nur eine textdatei ist) oder muss ich jueden einzelnen link abschreiben? |
Du hast unter Deinen eigenen Dateien einen Ordner "Favoriten". Dort stehen die Links. Den musst Du sichern. |
Für das Sichern der Favoriten (und anderer persönlichen 'Dinge') bei Mozilla, Firefox und Thunderbird empfehle ich MozBackup... Insbesondere zum Sichern der Mailbox(en) von Mozilla und Thunderbird imho sehr empfehlenswert. |
ich hab c formatiert und der virus ist mmer noch drauf -.-* ich hab jetzt also ne ganz dumme frage,ich hab zu früh formatiert und konnte eure antw. net mehr lesen: ich hab einfach den kompletten iexplorer und firefox ordner mitgebrannt,sind die favoriten da mit bei? ansonsten hab ich die jetzt auch noch verloren und das war so ne schöne sammlung ;( |
also services und winlogon werden im taskmanager noch angezeigt....die fservice und sservice datei ist weg....nur noch die winlogon datei ist da...sieht aus wie ein fenster ^^ antivir und avg entlarven das teil nicht als virus,aber antivir hat den immer erkannt. kann es sein,dass es gar kein virus mehr ist,sondern eine ganz normale datei? |
Hallo allerseits, ich habe gestern den Sch***-Trojaner mit einem Trick aus dem System geworfen. Ich konnte mich nicht mit einer Neuinstallation abfinden. Leider kommt mein Tip etwas spät für manch andere hier: Ladet Euch DelayDel oder ein ähnliches Tool aus dem Netz und installiert es. Dieses Programm löscht Dateien beim Systemstart - also wenn sie nicht mehr geschützt sind und der Trojaner noch nicht aktiv ist. Der Trojaner verhindert, dass man seine Dateien einfach auf das "DelayDel"-Symbol ziehen kann. Also musste ich per Kommandozeile die Dateien mit DelayDel "bekannt machen". Dabei geht man nach folgendem Muster vor: delaydel C:\Windows\System\service.exe delaydel C:\Windows\System32\fservice.exe . . Führt diese Befehlszeile unbedingt für alle vorhandenen Trojaner-Dateien aus. Eine Liste findet Ihr auf den Vireninfo-Seiten der Antivirus-Hersteller. Die Dateien sind versteckt. Um sie mit dem Explorer oder ähnlichen Tools zu sehen, muss man einstellen, dass man versteckte und System-Dateien sehen möchte. So kann man schon schauen, welche der Dateien sich wirklich auf dem System tummeln (EXE & DLL-Dateien). Danach das System neu starten. Wenn Windows jetzt zur Begrüßung eine Felermeldung bringt, dass es die Datei XYZ nicht gefunden hat, habt Ihr es schon fast geschafft. Jetzt müssen nur noch die Registry-Einträge (auch auf den Antivirus-Seiten zu finden) restauriert werden und fertig. Antiviren- und Firewallprogramme sollten auch wieder starten. Jetzt das System erstmal grundreinigen. Falls keine Fehlermeldung kommt, hat man eine Datei vergessen. Dann muss man nochmal ganz genau gucken. Bei mir hat es aber auf anhieb funktioniert. @cosmo: Die Dateien "services.exe" und "winlogon.exe" sind auch ganz normale Windows-Dateien. Der Trojaner nutzt deren Namen als Tarnung. Er hat die Dateien nur in anderen Verzeichnissen abgelegt. Also lösche nur die Daeien, die auf den Antivirus-Seiten angegeben sind bzw. die vom Virenprogramm bemängelt werden. Tschüß, KaFu |
@KaFu Lese mal bitte hier und überlege 2 Sachen noch mal: 1. Ob dein PC wirklich sauber geworden ist 2. Ob du solche 'Ratschläge' geben darf ;). |
@Rene-gad Zum einen ist es nicht mein PC. Ich würde so eine Aktion nicht flüchtig machen. Wenn es dem einen oder anderen lieber ist, bei jeder Infektion eines Rechners (von Bekannten und Freunden), den Rechner komplett neu aufzusetzen, dann bitte schön. Das ist ja die sicherste Lösung - und die einfachste. Man macht es sich leicht und überlässt das Gefummel, neue Software u.s.w. aufzuspielen anderen. Das ist nicht meine Art. Ich tüftele, bis ich einen Weg finde, den PC ohne Datenverlust zu retten. Es gibt natürlich auch Probleme, die ich auch nur durch Neuinstallation fixen kann. Sicher hätte man keine Chance, wenn so ein Wurm- oder Trojanervieh irgendwelche Systemdateien verändert und sich so ins System schleicht. Das war aber früher sicher verbreiteter, als es noch "anständige" Viren gab. Da brauchte man schon ein gutes Tool (oder Backup ;-)), um den Virencode aus den verseuchten Dateien zu bekommen. Wenn aber so ein in Delphi programmiertes, über 100k größes Programm mit ein paar DLLs daher kommt, wieso soll man da den Kopf in den Sand stecken und zum Holzhammer greifen? Zitat:
Tschüß KaFu |
@KaFu Zitat:
Zitat:
BTW: Hast du den verlinkten Artikel gelesen? |
@Rene-gad Ein Backdoor-Programm wie proRat ist doch nichts Mystisches! Progs wie dieses basieren auf einem Aufruf (z.Bsp. in der Registry) einer im Dateisystem vorhandenen Datei. Ich glaube, Du solltest Dir mal über den Unterschied zwischen einem solchen Trojaner und einem Datei- oder Bootsektorvirus klar machen. NATÜRLICH reicht es aus, die Datei zu löschen! Es würde auch ausreichen, den Aufruf dieser Datei zu verhindern. Wo kein laufender Schadens-Prozess, da auch kein Schaden. Sicher gibt es im Laufe einer Backdoor-Infektion viele Möglichkeiten für den Eindringling, andere Türen für andere Backdoos zu öffnen und diese einzuschleusen. Er selbst lässt sich aber auf diese Art und Weise killen. Wenn Du es nicht glaubst, kannst Du es ja gerne ausprobieren ;). Ich habe die Kolumne(!) gelesen. Was will man erwarten von einem "Security Program Manager"? Der hat einen ganz anderen Blickwinkel. Die höchste Sicherheit bietet nun mal die Neuformatierung - auch wenn es einfacher ginge. Das ist aber der pessimistische Ansatz (unter dem Motto "Warum soll ich mich anstrengen, wenn ich den PC sowieso nicht sauber bekomme"). Es ist ja auch egal. Ich habe hier einen Hinweis gegeben, wie man den proRat los wird - DEFINITIV! Wer es nicht glaubt, soll sein System neu installieren (obwohl man das auch noch nach einem gescheiterten Desinfizierungsversuch machen kann). Ich wollte nur meine Erfahrung weitergeben (, die sich nicht in der Anzahl der Posts misst) und den Usern Aufwand und Ärger ersparen. Tschüß KaFu |
@KaFu Wir rutschen wieder zum OT. Wenn du das Thema weiter diskutieren möchtest: http://www.trojaner-board.com/showthread.php?t=12784 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board