Hallo leute, aber wie die Überschrift schon zeigt bin ich verzweifelt und habe mir dummerweise so ein Trojaner auf mein Rechner gezogen. Nun bekomme ich ihn nicht mehr weg die Dateien fservice.exe und die datei sservice.exe ist mit dem Trojaner verseucht. Habe die neue version von NAV 2004 aber nix is... Hilfe

Danke schon mal J.

Lad dir doch mal Kaspersky Testversion runter:

ftp://ragnarok2.kaspersky-labs.com/t...personalen.exe

KAV findet den ganz bestimmt!

GrEEtZ Shady [img]graemlins/daumenhoch.gif[/img]

Danke für die schnelle Antwort, das problem den Backdoor.Prorat zu finden hab ich nicht denn NAV finden ihn nur kann ihn nicht löschen. Macht es nun trozdem sinn das programm von dir zu installieren???

MfG J.

Hallo Jakkogee,

folgendes habe ich zu 'Deinem' Trojaner gefunden:

Sophos (deutsch): http://www.sophos.de/virusinfo/analy...ojproratd.html

Symantec (englisch): http://securityresponse.symantec.com...or.prorat.html

Den Beschreibungen nach ist es ziemlich 'kniffelig' den Trojaner wieder vollständig zu entfernen...

Deiner Beschreibung nach ist/was der Trojaner schon aktiv gewesen.
</font><blockquote>Zitat:</font><hr />...die Dateien fservice.exe und die datei sservice.exe ist mit dem Trojaner verseucht...</font>[/QUOTE] </font><blockquote>Zitat:</font><hr />...Backdoor.Prorat is a Backdoor Trojan Horse that gives an attacker full control over your computer...</font>[/QUOTE]Ein Fremder kann also schon die volle Kontrolle über Deinen Rechner haben. Somit ist nicht auszuschließen, dass auch andere Programme/Einstellungen ohne Dein Wissen manipuliert wurden. Von daher tendiere ich stark zu einer Neuinstallation des Rechners.

Gruß,
Lutz

moin,

wie du schon bemerkt hast, ist bei dir ein trojaner aktiv!

bitte öffne den taskmanager und kille folgende prozesse.

sservice.exe
fservice.exe

danach suchst du im c:\windows\system die "sservice.exe" und löschst diese!
in c:\windows\system32 suchst du die "fservice.exe" und löschst diese ebenfalls.

notfalls suchst du diese dateien über die suchfunktion auf deinem rechner!

folgende registryeinträge löschst du bitte aber nur diese hangel dich zu diesen durch und lösche nur die einträge auf der rechten seite!

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y} "StubPath"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "DirectX For Microsoft® Windows"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"

dann überprüfe bitte deine boot.ini auf folgende einträge:

c:\windows\system.ini, [boot] "shell"
c:\windows\win.ini, [windows] "run"

diese dürfen dort nicht stehen!!! diese bewirken sogar, daß der trojaner selbst im abgesicherten modus gestartet wird.

diese dateien löschst du dann auch noch von deinem system runter.

c:\WINDOWS\SYSTEM\winkey.dll
c:\WINDOWS\winlogon.exe


sollte dies nicht möglich sein, dann kannst du diese dateien erst beim nächsten reboot löschen, da windows dann nicht mehr auf diese dateien zugreift.

die winlogon.exe darf sich auf deinem system nur im SYSTEM32-ordner befinden - nirgends wo sonst

falls du probleme hast bei einigen sachen, bitte melden.

dies bitte im abgesichertem modus machen. danach dein system nochmals gründlich scannen und deine ganzen passwörter bitte erneuern!
der backdoor prorat bringt einen keylogger mit und liest so deine passwörter aus, somit ist dein system bei geplanter übernahme völlig offen.

also erneuere sämtliche passwörter, besonders wenn du onlinebanking etc. betreibst.

Hallo und schon mal vielen dank, ich werde das nun gleich mal alles versuchen.

Hätte bezüglich der Passwörter noch ne frage, erstens hat mein Windows kein Administrator Passwort und zweitens bin ich durch ne Firewall geschützt denn der Trojaner wurde von mir unabsichtlich ausgeführt. Bin ich dann auch noch ungeschützt. PS die Winlogon.exe ist ebenfalls von firewall blockiert worden???

Also ich melde mich bei Erfolg oder Misserfolg auf jeden fall wieder.

Gruß J.

Installiere AntiVir personal Edition Ver 6, vergiss NAV!
Hatte selbst noch nie Probleme mit Würmern Viren usw.

Micha

Hi, also alles nix, ich bekomm den Backdoor.Prorat.14 nicht mehr los, werde wohl oder übel neu Installieren müssen, es sei denn es gibt noch jemanden von euch, der mir das ersparen kann.

Ciao und danke

J.

</font><blockquote>Zitat:</font><hr />
...Hi, also alles nix, ich bekomm den Backdoor.Prorat.14 nicht mehr los, werde wohl oder übel neu Installieren müssen, es sei denn es gibt noch jemanden von euch, der mir das ersparen kann.
</font>[/QUOTE]...nö, außer dir, wenn du in der Zukunft nicht auf alles, was bunt ist, klickst ;) .

</font><blockquote>Zitat:</font><hr />Original erstellt von Jakkogee:
...ich durch ne Firewall geschützt denn der Trojaner wurde von mir unabsichtlich ausgeführt. Bin ich dann auch noch ungeschützt...</font>[/QUOTE]ja bist du! hast du die schritte durchgeführt, die ich geschrieben habe?

du mußt natürlich die win.ini bzw. die system.ini auch bearbeiten, sonst wird dieser immer wieder ausgeführt.

@firstfloyd: avpe hilft hier bei diesem aktiven trojaner auch nicht viel weiter. da dieser sehr komplex auf´s system zugreift und ziemlich ausgereift ist. ;)

</font><blockquote>Zitat:</font><hr />Original erstellt von Jakkogee:
Hätte bezüglich der Passwörter noch ne frage, erstens hat mein Windows kein Administrator Passwort und zweitens bin ich durch ne Firewall geschützt denn der Trojaner wurde von mir unabsichtlich ausgeführt. Bin ich dann auch noch ungeschützt.</font>[/QUOTE]Ja, du bist ungeschützt, kannst dich also auf die auf dem zu schützenden System selbst laufende Personal Firewall hinsichtlich eines Schutzeffektes nicht verlassen.

Die sicherste Lösung ist auch ohnehin die von Lutz bereits eingangs vorgeschlagene Neuinstallation des Systems (natürlich zuvor Formatieren, und keine ausführbaren Dateien / Programme von der alten Installation mehr verwenden!).

Fertige noch eine Sicherungskopie dieses Backdoors an, und verwahre sie in einem passwortgeschützten Archiv. Es ist immer besser, eine Kompromittierung nachweisen zu können - für den Fall, dass über den Backdoor Unsinn mit dem PC angestellt wurde.

Zugleich empfehle ich dir, dein Schutzkonzept zu überdenken: es sollte nämlich am besten gar nicht erst zu einer - wie auch immer gearteten - Indektion kommen, denn ist es erst einmal passiert, sind die Auswirkungen nicht immer wirklich überschaubar - bei einem aktiven Backdoor erst recht nicht. Hier ein Lesetipp:

http://www.trojaner-board.de/forum/u...c;f=4;t=002443

hi leute,

ich habe das selbe problem wie jakkogee.
bei mir hat sich der "prorat" ebenfalls eingenistet.
bin dann mav1976 anweisungen gefolgt, bin in den abgesicherten modus, doch leider nur mit mässigem erfolg.


die sservice.exe und fservice.exe habe ich im taskmanager nicht gefunden.

c:\windows\system "sservice.exe" und c:\windows\system32 "fservice.exe" fand ich ebenfalls nicht.

die einträge im boot.ini waren ebenfalls nicht vorhanden.

und auch die beiden dateien am schluss: c:\WINDOWS\SYSTEM\winkey.dll
c:\WINDOWS\winlogon.exe
habe ich nicht löschen können.

das einzige was ich löschen konnte waren die 3 einträge in der registry.

noch immer bekomme ich alle paar minuten einen warnhinweis das ein "remote-system" auf meinen computer zugreifen möchte. -das nervt-

habt ihr vielleicht noch eine lösung wie ich das problem lösen könnte?

gruß griffin

Ist er denn wirklich aktiv? Von wem (welchem Virenscanner) wurde er denn wo (genaue Pfadangabe) gemeldet?

Evtl. hilft auch ein HijackThis-Log weiter.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

eine weitere lösung gefunden!

um einen trojaner zu entfernen, gibt es noch die möglichkeit, sich den client zu besorgen.
allerdings braucht man zwei computer! über den zweiten rechner kommt man mit dem client auf den infizierten computer und löscht den trojaner. der client zeigt einem den pfad auf dem der trojaner sich eingenistet hat. zuvor muss man allerdings noch die ports scannen über die man reinkommt.
damit konnte ich feststellen, das der "prorat" bei mir im laufwerk e: unter steam in der "dbghelp.dll" datei zufinden war.

ich hoffe, ich konnte damit weiter helfen.

gruß griffin

Lösung für XP:

Besorge Dir zunächst die KILL.EXE (google findet die 100%) ;)

Dann führst Du in einer Eingabeaufforderung aus:
netstat -n -a -o

Suche nun die Zeile, die ein 0.0.0.0:51100 enthällt. Merke Dir von dieser Zeile die letzte Zahl ganz hinten !

rufe jetzt die KILL.EXE auf. Als Parameter gibst Du ihr diese Nummer mit.

Nun sollte der BackDoor erstmal TOT sein.

Jetzt kannst Du die genannten fservice.exe und sservice.exe löschen und die Registry-Einträge durchforsten und entsprechend korrigieren und Du bist erlöst ;)