:cool:
So, habe das Mistvieh in den Griff bekommen. Irgendein ******* in ner software, die ich mir installiert hatte, ein backdoor-tool integriert. ******.... Boah, fluch!
ProRAT 1.1
nach einigen Bierchen und zichtausend Verwünschungen habe ich das Ding deinstalliert bekommen (das es ProRat war, habe ich erst gerade eben herausbekommen).
Entscheidend sind diese Dateien (Server, hm):
c:\WINDOWS\winlogon.exe
c:\WINDOWS\SYSTEM\sservice.exe
c:\WINDOWS\SYSTEM32\fservice.exe
die registry wird von dem Vieh so gepatched:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"DirectX For Microsoft® Windows"="C:\\WINDOWS\\system32\\fservice.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}]
"StubPath"="C:\\WINDOWS\\system\\sservice.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]....
.....
"Shell"="Explorer.exe C:\\WINDOWS\\system32\\fservice.exe"
.......
Eventuell kreiert das Teil auch Veränderungen in der win.ini und setzt Euch noch eine Datei namens winkey.dll nach windows/system
(Alles letztere hat es bei mir nicht gemacht).
Einfaches löschen der Registry oder der Dateien funktioniert nicht, da die Registry-Einträge und nötigen Startprogramme von der im Hintergrund laufenden winlogon.exe automatisch nacherstellt werden....
Habe es geschafft im abgesicherten Modus (mit Eingabeaufforderung) den Mist zu beenden und zu löschen.
Tja, die beste firewall nutzt nichts (ok, hier hat es zumindest soviel gebracht, daß ein backdoor-Zugang unterbunden wurde, da meine firewall mein gesamtes Netzwerk und dsl-modem lahmgelegt hatte), wenn man sich die Dinger selbst hinter der wall installiert....
Achja, die entsprechenden Prozesse werden nicht (!) im Taskmanager eingetragen, wie ich zuerst geschrieben hatte. Mit System-tools kommt man dem Treiben aber auf die Spur. Falsche Erinnerung, da ich den thread hier gestern auf der Arbeit gestartet habe.
alienleader
P.S.:
Thxxx an alle, die zu helfen versucht haben!