alienleader

:cool: So, habe das Mistvieh in den Griff bekommen. Irgendein ******* in ner software, die ich mir installiert hatte, ein backdoor-tool integriert. ******.... Boah, fluch! ProRAT 1.1 nach einigen Bierchen und zichtausend Verwünschungen habe ich das Ding deinstalliert bekommen (das es ProRat war, habe ich erst gerade eben herausbekommen). Entscheidend sind diese Dateien (Server, hm): c:\WINDOWS\winlogon.exe c:\WINDOWS\SYSTEM\sservice.exe c:\WINDOWS\SYSTEM32\fservice.exe die registry wird von dem Vieh so gepatched: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "DirectX For Microsoft® Windows"="C:\\WINDOWS\\system32\\fservice.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}] "StubPath"="C:\\WINDOWS\\system\\sservice.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon].... ..... "Shell"="Explorer.exe C:\\WINDOWS\\system32\\fservice.exe" ....... Eventuell kreiert das Teil auch Veränderungen in der win.ini und setzt Euch noch eine Datei namens winkey.dll nach windows/system (Alles letztere hat es bei mir nicht gemacht). Einfaches löschen der Registry oder der Dateien funktioniert nicht, da die Registry-Einträge und nötigen Startprogramme von der im Hintergrund laufenden winlogon.exe automatisch nacherstellt werden.... Habe es geschafft im abgesicherten Modus (mit Eingabeaufforderung) den Mist zu beenden und zu löschen. Tja, die beste firewall nutzt nichts (ok, hier hat es zumindest soviel gebracht, daß ein backdoor-Zugang unterbunden wurde, da meine firewall mein gesamtes Netzwerk und dsl-modem lahmgelegt hatte), wenn man sich die Dinger selbst hinter der wall installiert.... Achja, die entsprechenden Prozesse werden nicht (!) im Taskmanager eingetragen, wie ich zuerst geschrieben hatte. Mit System-tools kommt man dem Treiben aber auf die Spur. Falsche Erinnerung, da ich den thread hier gestern auf der Arbeit gestartet habe. alienleader P.S.: Thxxx an alle, die zu helfen versucht haben!

Hallo liebe Leute, habe ein kleines Problem. Ich fürchte, daß ich mir einen Virus auf meinem laptop eingefangen habe. Trotz firewall und virenscanner (wahrscheinlich mit irgendeiner software installiert). Danach schmiß mich zonealarm ständig mit Warnmeldungen aus dem Netz. Problem, konnte zonealarm danach nicht mehr konfigurieren, da sich das Einstellungsfenster nicht mehr öffnete bzw. von irgendetwas wieder geschlossen wurde. Gleiches geschieht mit meinem Virenscanner (Panda). Habe nun unter Schwierigkeiten beides deinstalliert und den neuesten Norton Antivirus installiert. Bei der Installation wird ja bereits nach Viren gescanned. Dort findet das Ding nichts. Möchte ich aber nach der Installation Norton Antivirus starten um zu konfigurieren, wird auch das wieder sofort unterbunden. Habe dann die einzige firewall installiert, die sich noch installieren ließ (fireball), und war doch überrascht, daß die Datei winlogon.exe versucht auf das Netz zuzugreifen :suspect: .... Dieses Ding hat sich übrigens 2mal im taskmanager als laufender Prozeß eingetragen. Einmal als normale winlogon.exe (mit 510kb und der normalen Firmenkennung unter Eigenschaften im Ordner system32 -wo sie ja auch hinsoll) und einmal als nicht näher zu identifizierende Eingenschaften (Firmenkennung ? mit 315kb im Hauptordner windows :shock: ). Ich denke mal, das ist der Bösewicht. Aber wie werde ich das Teil wieder los? Den Prozeß im Taskmanager zu beenden funktioniert nicht (ebensowenig im abgesicherten modus, da das Teil da trotzdem mitgestartet wird). Hat irgendwer ne Idee, die mir helfen könnte? Bin für jede Hilfe sehr dankbar! mfg, alienleader