alienleader 10 Geschrieben 12. Januar 2004 Melden Teilen Geschrieben 12. Januar 2004 Hallo liebe Leute, habe ein kleines Problem. Ich fürchte, daß ich mir einen Virus auf meinem laptop eingefangen habe. Trotz firewall und virenscanner (wahrscheinlich mit irgendeiner software installiert). Danach schmiß mich zonealarm ständig mit Warnmeldungen aus dem Netz. Problem, konnte zonealarm danach nicht mehr konfigurieren, da sich das Einstellungsfenster nicht mehr öffnete bzw. von irgendetwas wieder geschlossen wurde. Gleiches geschieht mit meinem Virenscanner (Panda). Habe nun unter Schwierigkeiten beides deinstalliert und den neuesten Norton Antivirus installiert. Bei der Installation wird ja bereits nach Viren gescanned. Dort findet das Ding nichts. Möchte ich aber nach der Installation Norton Antivirus starten um zu konfigurieren, wird auch das wieder sofort unterbunden. Habe dann die einzige firewall installiert, die sich noch installieren ließ (fireball), und war doch überrascht, daß die Datei winlogon.exe versucht auf das Netz zuzugreifen :suspect: .... Dieses Ding hat sich übrigens 2mal im taskmanager als laufender Prozeß eingetragen. Einmal als normale winlogon.exe (mit 510kb und der normalen Firmenkennung unter Eigenschaften im Ordner system32 -wo sie ja auch hinsoll) und einmal als nicht näher zu identifizierende Eingenschaften (Firmenkennung ? mit 315kb im Hauptordner windows :shock: ). Ich denke mal, das ist der Bösewicht. Aber wie werde ich das Teil wieder los? Den Prozeß im Taskmanager zu beenden funktioniert nicht (ebensowenig im abgesicherten modus, da das Teil da trotzdem mitgestartet wird). Hat irgendwer ne Idee, die mir helfen könnte? Bin für jede Hilfe sehr dankbar! mfg, alienleader Zitieren Link zu diesem Kommentar
Grasenegger 10 Geschrieben 12. Januar 2004 Melden Teilen Geschrieben 12. Januar 2004 Hi Alienleader, hast Du zufällig auch eine veränderte Startseite im IE? Das könnte eine CoolWebSearch-Variante sein. Versuch mal, hier ein Gegenmittel zu bekommen: http://www.merijn.org/cwschronicles.html Schönen Gruß Bernd Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 12. Januar 2004 Melden Teilen Geschrieben 12. Januar 2004 Hi! Willkommen on Board! Hole dir einmal die Stinger.exe und prüfe damit das System! http://vil.nai.com/vil/stinger/ Außerdem solltest in der Registy nachsehen. Start -> Ausführen -> regedit. In der Registry zu folgendem Schlüssel HKEY_LOCAL_MASCHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run Schau dort nach ob irgendein Eintrag auf den Wurm weist. Wenn Du Dir nicht sicher bist poste die Einträge. Bitte auch in den anderen Runordner nachsehen. Zitieren Link zu diesem Kommentar
alienleader 10 Geschrieben 13. Januar 2004 Autor Melden Teilen Geschrieben 13. Januar 2004 :cool: So, habe das Mistvieh in den Griff bekommen. Irgendein ******* in ner software, die ich mir installiert hatte, ein backdoor-tool integriert. ******.... Boah, fluch! ProRAT 1.1 nach einigen Bierchen und zichtausend Verwünschungen habe ich das Ding deinstalliert bekommen (das es ProRat war, habe ich erst gerade eben herausbekommen). Entscheidend sind diese Dateien (Server, hm): c:\WINDOWS\winlogon.exe c:\WINDOWS\SYSTEM\sservice.exe c:\WINDOWS\SYSTEM32\fservice.exe die registry wird von dem Vieh so gepatched: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "DirectX For Microsoft® Windows"="C:\\WINDOWS\\system32\\fservice.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}] "StubPath"="C:\\WINDOWS\\system\\sservice.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon].... ..... "Shell"="Explorer.exe C:\\WINDOWS\\system32\\fservice.exe" ....... Eventuell kreiert das Teil auch Veränderungen in der win.ini und setzt Euch noch eine Datei namens winkey.dll nach windows/system (Alles letztere hat es bei mir nicht gemacht). Einfaches löschen der Registry oder der Dateien funktioniert nicht, da die Registry-Einträge und nötigen Startprogramme von der im Hintergrund laufenden winlogon.exe automatisch nacherstellt werden.... Habe es geschafft im abgesicherten Modus (mit Eingabeaufforderung) den Mist zu beenden und zu löschen. Tja, die beste firewall nutzt nichts (ok, hier hat es zumindest soviel gebracht, daß ein backdoor-Zugang unterbunden wurde, da meine firewall mein gesamtes Netzwerk und dsl-modem lahmgelegt hatte), wenn man sich die Dinger selbst hinter der wall installiert.... Achja, die entsprechenden Prozesse werden nicht (!) im Taskmanager eingetragen, wie ich zuerst geschrieben hatte. Mit System-tools kommt man dem Treiben aber auf die Spur. Falsche Erinnerung, da ich den thread hier gestern auf der Arbeit gestartet habe. alienleader P.S.: Thxxx an alle, die zu helfen versucht haben! Zitieren Link zu diesem Kommentar
Prorat 10 Geschrieben 25. Januar 2004 Melden Teilen Geschrieben 25. Januar 2004 Hello, ProRat v1.1 Download Link : http://www.protoplist.com/customize/language/backup/yedek/ProRat_v1.1_Fix1.zip ZIP FILE PASSWORD : pro Good luck.. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.