Supportnet / Forum / WindowsXP
rasautou.exe ???????
Frage
Hallo Support Freunde !
Ich mach es kurz.
Lustig wars....habe Netmon entfernt (ok), habe div andere Dialer etc entfernt (ok), habe aber immer noch ein problem.
Mein System will mich ständig ins i-net einloggen.
Es erscheint ein tip meiner firewall :
dies und jenes will sich mit dem internet verbinden! Zulassen oder nich.........
Das Problem ist, immer wenn ich eine bisher ungeöffnete Datei öffne, will dies sich offembar einloggen. Auch wenn es nur ein JPG ist !
Also....wahrscheinlich ein Dialer.
Aber kein prog findet ihn.
Einen Hinweis hab ich :
In den Prozessen wird dieses Programm (wenn es kommt oder bis zum Prozess beenden) als :
rasautou.exe angezeigt.
Wollte es aus der regedit löschen, ging nicht.
Hab es über Hintertür probiert, ras....hat sich kopiert und neu angeordnet.
Was tun ?
Bitte helft mir damit.
Kennt einer ras..... oder weiss einer wo sich das Prog unter welchen Namen manifestiert ?
Antwort 1 von Das_Urmel
Oh man, warum immer gleich so ruppig und löschen.
Das ist die Verwaltung für die automatische Ras-Verbindung.
Einfach in den Diensten auf Manuel oder deaktiviert stellen, den Dienst stoppen und gut ist.
mfg
Michael Bormann
Das ist die Verwaltung für die automatische Ras-Verbindung.
Einfach in den Diensten auf Manuel oder deaktiviert stellen, den Dienst stoppen und gut ist.
mfg
Michael Bormann
Antwort 2 von Orschd
Ja Urmel...Du bist lustig !
Der Dienst den Du ansprichst wird in wirklichkeit von einem Trojaner missbraucht...hab ich jetzt schon heraus gefunden.
Zitat:
Einfach in den Diensten auf Manuel oder deaktiviert stellen, den Dienst stoppen und gut ist.
Nett.. geht nicht! die dazu fälligen stellen sind geblockt, ich kann sie nicht einmal benutzen!
Mal echt...google doch mal nach der datei. Du glaubst nicht was du da alles findest!
Also nochmal....
hat jemand einen echten Vorschlag ?
Der Dienst den Du ansprichst wird in wirklichkeit von einem Trojaner missbraucht...hab ich jetzt schon heraus gefunden.
Zitat:
Einfach in den Diensten auf Manuel oder deaktiviert stellen, den Dienst stoppen und gut ist.
Nett.. geht nicht! die dazu fälligen stellen sind geblockt, ich kann sie nicht einmal benutzen!
Mal echt...google doch mal nach der datei. Du glaubst nicht was du da alles findest!
Also nochmal....
hat jemand einen echten Vorschlag ?
Antwort 3 von Das_Urmel
Ich glaube du bist da irgendwas aufgesessen.
Ein Scan nach Rasauto.exe ergibt sowohl auf w2k, w2k3, XP mehrere Fundstellen.
%windir%\system32 sowie dllcache, wenn du hast auch servicepack\i386
Schaust du mal auf die Eigenschaften mit dem Explorer, dann siehst du Version und Signatur von Microsoft.
Die Frage ist nun, von wo wird die Datei aus gestartet?
Das solltest du mal klären bevor du mir was erzählen willst,
sorry aber das ist so und mache das nicht zum Hobby.
Da du die nicht löschen kannst, ist es genau die die durch Windows Fileprotection vor wilden Löschern wie dich geschützt wird.
Du solltest mal sehr genau alle deine Autoruns nachschauen, wo sich der Hook zur svchost befindet, die den dann auf Anforderung startet.
Starte abgesichert, lasse scannen, besorge dir den üblichen Krempel
von Lavasoft, Sysinternals, hijackthis und nehme dein System unter die Lupe.
Da du dir einen Dialer eingefangen hast, viel spass.
mfg
Michael Bormann
Ein Scan nach Rasauto.exe ergibt sowohl auf w2k, w2k3, XP mehrere Fundstellen.
%windir%\system32 sowie dllcache, wenn du hast auch servicepack\i386
Schaust du mal auf die Eigenschaften mit dem Explorer, dann siehst du Version und Signatur von Microsoft.
Die Frage ist nun, von wo wird die Datei aus gestartet?
Das solltest du mal klären bevor du mir was erzählen willst,
sorry aber das ist so und mache das nicht zum Hobby.
Da du die nicht löschen kannst, ist es genau die die durch Windows Fileprotection vor wilden Löschern wie dich geschützt wird.
Du solltest mal sehr genau alle deine Autoruns nachschauen, wo sich der Hook zur svchost befindet, die den dann auf Anforderung startet.
Starte abgesichert, lasse scannen, besorge dir den üblichen Krempel
von Lavasoft, Sysinternals, hijackthis und nehme dein System unter die Lupe.
Da du dir einen Dialer eingefangen hast, viel spass.
mfg
Michael Bormann
Antwort 4 von Orschd
Also gut Michel.....
hab ich alles schon gemacht.
Ausser eins :
Die svchosts konnte ich noch nicht durchsuchen, weil ich 8 (!) davon in den Prozessen habe.
Welcher nun welcher ist, sehe ich bei mind. 6 nicht !
Allerdings hast Du recht, alles andere kann nicht der auslöser sein!
Is jetzt nur ein versuch gewesen, aber :
wenn ich auch nur EINEN der ras..... im Autostart lösche, geht zwar XP normal, aber surfen oder gar Drucken (!!!!!) ist unmöglich.
Also tiefer ins system !
Service Pack.......nee...nulll
dll.....ja einige, aber nix was die kollegen bisher im i-net als gefählich eingeschätzt hätten.
Überhaupt glaub ich langsam, dass der svc Dialer nicht erkannt wird, weil er offiziell die signatur von MS hat, daher ungefährlich. (Ms immer vertrauen LOL)
So kann es nur eine Lösung geben:
Ich brauche jemand der erfahrung mit diesem Teil hat.
Stimmst Du mir zu ?
Kennst Du jemand?
P.S.: das oben war aus ärger, aber nicht ernst gemeint ----------- ;-)))))
hab ich alles schon gemacht.
Ausser eins :
Die svchosts konnte ich noch nicht durchsuchen, weil ich 8 (!) davon in den Prozessen habe.
Welcher nun welcher ist, sehe ich bei mind. 6 nicht !
Allerdings hast Du recht, alles andere kann nicht der auslöser sein!
Is jetzt nur ein versuch gewesen, aber :
wenn ich auch nur EINEN der ras..... im Autostart lösche, geht zwar XP normal, aber surfen oder gar Drucken (!!!!!) ist unmöglich.
Also tiefer ins system !
Service Pack.......nee...nulll
dll.....ja einige, aber nix was die kollegen bisher im i-net als gefählich eingeschätzt hätten.
Überhaupt glaub ich langsam, dass der svc Dialer nicht erkannt wird, weil er offiziell die signatur von MS hat, daher ungefährlich. (Ms immer vertrauen LOL)
So kann es nur eine Lösung geben:
Ich brauche jemand der erfahrung mit diesem Teil hat.
Stimmst Du mir zu ?
Kennst Du jemand?
P.S.: das oben war aus ärger, aber nicht ernst gemeint ----------- ;-)))))
Antwort 5 von Orschd
Ach noch was...
was ich oben meinte ist :
ich hab RAS über msconfig deaktiviert...dann die Probleme mit Netz und Drucker (UND DRUCKER ????)
was ich oben meinte ist :
ich hab RAS über msconfig deaktiviert...dann die Probleme mit Netz und Drucker (UND DRUCKER ????)
Antwort 6 von Das_Urmel
Alles klar, deinen Frust verstehe ich nur zu gut.
Du kennst gerade jemanden.
Bisher ist mir noch kein Dialer untergekommen, der sich derart verhalten hätte.
Was aus dem System32 kommt, und eine reguläre Datei ist, dem kannst du trauen.
mom.. switche mal...
Verzeichnis von C:\Programme\Support Tools
7.08.2001 14:59 30.720 rasdiag.exe
1 Datei(en) 30.720 Bytes
Verzeichnis von C:\WINDOWS\$NtServicePackUninstall$
3.08.2001 14:00 54.784 rasphone.exe
1 Datei(en) 54.784 Bytes
Verzeichnis von C:\WINDOWS\ServicePackFiles\i386
4.08.2004 00:58 57.344 rasphone.exe
1 Datei(en) 57.344 Bytes
Verzeichnis von C:\WINDOWS\system32
3.08.2001 14:00 11.776 rasautou.exe
3.08.2001 14:00 11.776 rasdial.exe
4.08.2004 00:58 57.344 rasphone.exe
3 Datei(en) 80.896 Bytes
Verzeichnis von C:\WINDOWS\system32\dllcache
3.08.2001 14:00 11.776 rasautou.exe
3.08.2001 14:00 11.776 rasdial.exe
2 Datei(en) 23.552 Bytes
So, die Dinger sind absolut koscher; wie auf jedem System hier.
du besorgst dir von www.sysinternals.com
autoruns
procexp
dann startest du abgesichert, am besten sogar im nur Console Modus.
lasse deine Palette an Tools laufen, scanner, lavasoft, cwshredder.
Autoruns und eleminiere - deaktiviere was du als Schadsoftware erkennst.
Schwierig wirds für dich bei den Explorer-Hooks, aber mit irgendwas muss ich ja auch Brötchen verdienen.
Alles was du nicht identifizieren kannst im Autostart, deaktivieren.
Dann unterlasse es, den Taskmanager zu starten, der ist meist auch ersetzt und lädt deinen Mül wieder.
Basterl mal, du wirst deine helle Freude haben, und eine garantie gibt es nicht, bist du nicht geübt darin.
mfg
Michael Bormann
Zitat:
Stimmst Du mir zu ?
Kennst Du jemand?
Stimmst Du mir zu ?
Kennst Du jemand?
Du kennst gerade jemanden.
Bisher ist mir noch kein Dialer untergekommen, der sich derart verhalten hätte.
Was aus dem System32 kommt, und eine reguläre Datei ist, dem kannst du trauen.
mom.. switche mal...
Verzeichnis von C:\Programme\Support Tools
7.08.2001 14:59 30.720 rasdiag.exe
1 Datei(en) 30.720 Bytes
Verzeichnis von C:\WINDOWS\$NtServicePackUninstall$
3.08.2001 14:00 54.784 rasphone.exe
1 Datei(en) 54.784 Bytes
Verzeichnis von C:\WINDOWS\ServicePackFiles\i386
4.08.2004 00:58 57.344 rasphone.exe
1 Datei(en) 57.344 Bytes
Verzeichnis von C:\WINDOWS\system32
3.08.2001 14:00 11.776 rasautou.exe
3.08.2001 14:00 11.776 rasdial.exe
4.08.2004 00:58 57.344 rasphone.exe
3 Datei(en) 80.896 Bytes
Verzeichnis von C:\WINDOWS\system32\dllcache
3.08.2001 14:00 11.776 rasautou.exe
3.08.2001 14:00 11.776 rasdial.exe
2 Datei(en) 23.552 Bytes
So, die Dinger sind absolut koscher; wie auf jedem System hier.
du besorgst dir von www.sysinternals.com
autoruns
procexp
dann startest du abgesichert, am besten sogar im nur Console Modus.
lasse deine Palette an Tools laufen, scanner, lavasoft, cwshredder.
Autoruns und eleminiere - deaktiviere was du als Schadsoftware erkennst.
Schwierig wirds für dich bei den Explorer-Hooks, aber mit irgendwas muss ich ja auch Brötchen verdienen.
Alles was du nicht identifizieren kannst im Autostart, deaktivieren.
Dann unterlasse es, den Taskmanager zu starten, der ist meist auch ersetzt und lädt deinen Mül wieder.
Basterl mal, du wirst deine helle Freude haben, und eine garantie gibt es nicht, bist du nicht geübt darin.
mfg
Michael Bormann
Antwort 7 von Orschd
Danke Michael !
Ich bin immer noch am basteln, aber langsam komm ich dem Ding auf die Spur (glaube ich)
Ich schreib morgen nochmal rein wie der stand der dinge ist.
Danke !
Bis morgen also !!!
Ich bin immer noch am basteln, aber langsam komm ich dem Ding auf die Spur (glaube ich)
Ich schreib morgen nochmal rein wie der stand der dinge ist.
Danke !
Bis morgen also !!!
Antwort 8 von Orschd
Alles gemacht (Puh)
Problem immer noch da
Hobby - Tastatur nehmen und auf den Boden werfen
Wortkarg!
Em Ende
Deprimiert und Seil gekauft
Weinend in den Sonnenuntergang gelaufen
Nochmal probiert
Schweiss floss
Kann nich mehr
Kannnn....nich.................
Problem immer noch da
Hobby - Tastatur nehmen und auf den Boden werfen
Wortkarg!
Em Ende
Deprimiert und Seil gekauft
Weinend in den Sonnenuntergang gelaufen
Nochmal probiert
Schweiss floss
Kann nich mehr
Kannnn....nich.................
Antwort 9 von Das_Urmel
Hallo Orschd
;(
tut mir leid dass du nicht Erfolgreich warst.
Mit deinem hoffentlich nur virtuellem Absturz teilst
du wohl mit - er gehorcht dir nicht?
Eigentlich ist oben schon alles relevante aufgezählt worden.
Ich fürchte, so offline sehe ich kaum noch Möglichkeiten.
Dich mit weiteren Werkzeugen totzuwerfen halte ich auch für wenig sinnvoll.
Skizziere doch, was du gemacht hast, was passiert.
eine generelle neuinstalation ist sicher eine Lösung, aber ein Dialer, wenns so war, läßt sich mundtot machen.
mfg
Michael Bormann
;(
tut mir leid dass du nicht Erfolgreich warst.
Mit deinem hoffentlich nur virtuellem Absturz teilst
du wohl mit - er gehorcht dir nicht?
Eigentlich ist oben schon alles relevante aufgezählt worden.
Ich fürchte, so offline sehe ich kaum noch Möglichkeiten.
Dich mit weiteren Werkzeugen totzuwerfen halte ich auch für wenig sinnvoll.
Skizziere doch, was du gemacht hast, was passiert.
eine generelle neuinstalation ist sicher eine Lösung, aber ein Dialer, wenns so war, läßt sich mundtot machen.
mfg
Michael Bormann
Antwort 10 von orschd
So Leute.....
Bin zwar ne weile nicht da gewesen, Aber folgendes zur info :
1. Gegoogelt und nach ähnlichen fällen gesucht.
2. regedit - alle bekannten Dateien (Dialer) gelöscht.
3. cmb - rasautou -s - zeigte keine Verbindungen mehr an
4. Dialer allerdings noch aktiv - aber nur wenn ich IE öffne.
5. Im IE Verzeichnis nach dem Problem gesucht, sowie in regedit
6. Nochmal im puren Windows Zustand alle Anti-Progs probiert. - Nix gefunden.
7. Nochmal IE aufgemacht - Dialer war da.
8. Spools durchgechekt und herausgefunden, dass spools auch verseucht waren!
9. Windows auf neuer Partition neu installiert. - Dort läuft es normal!
10. Firewall angewiesen, den Dialer und seine Unterprogramme nicht mehr in den I-Net Dienst zu lassen.
11. Oprea 8 heruntergeladen . IE deinstalliert
12. Erneut regedit aufgesucht, weil Taskmanager die infizierte rasautou erneut geladen hat
13. cmb...direkt nach dateien gesucht, die nicht in die regedit gehören (1 Woche)
14. Endlich eingedämmt, und keine vorfälle mehr, seit der deinstallation von MS IE
16. OUT OF MEMORY STREAM....gefunden und gekillt.
17 Opera 8 installiert!
18. Opera läuft. ras kommt nicht mehr als dialer!
19. Daten sind noch auf PC, aber eingesperrt und nicht mehr zur verfielfältigung frei gegeben.
20 ......................Ich hab ich !!!! Zwar noch auf HD, aber nicht mehr schädlich..
PUH
Dass war ein hartnäckiges kleines Prog. Aber solang er nur auf der HD is, aber keinen Schaden mehr anrichtet, müsste dass doch reichen, oder!
Bin zwar ne weile nicht da gewesen, Aber folgendes zur info :
1. Gegoogelt und nach ähnlichen fällen gesucht.
2. regedit - alle bekannten Dateien (Dialer) gelöscht.
3. cmb - rasautou -s - zeigte keine Verbindungen mehr an
4. Dialer allerdings noch aktiv - aber nur wenn ich IE öffne.
5. Im IE Verzeichnis nach dem Problem gesucht, sowie in regedit
6. Nochmal im puren Windows Zustand alle Anti-Progs probiert. - Nix gefunden.
7. Nochmal IE aufgemacht - Dialer war da.
8. Spools durchgechekt und herausgefunden, dass spools auch verseucht waren!
9. Windows auf neuer Partition neu installiert. - Dort läuft es normal!
10. Firewall angewiesen, den Dialer und seine Unterprogramme nicht mehr in den I-Net Dienst zu lassen.
11. Oprea 8 heruntergeladen . IE deinstalliert
12. Erneut regedit aufgesucht, weil Taskmanager die infizierte rasautou erneut geladen hat
13. cmb...direkt nach dateien gesucht, die nicht in die regedit gehören (1 Woche)
14. Endlich eingedämmt, und keine vorfälle mehr, seit der deinstallation von MS IE
16. OUT OF MEMORY STREAM....gefunden und gekillt.
17 Opera 8 installiert!
18. Opera läuft. ras kommt nicht mehr als dialer!
19. Daten sind noch auf PC, aber eingesperrt und nicht mehr zur verfielfältigung frei gegeben.
20 ......................Ich hab ich !!!! Zwar noch auf HD, aber nicht mehr schädlich..
PUH
Dass war ein hartnäckiges kleines Prog. Aber solang er nur auf der HD is, aber keinen Schaden mehr anrichtet, müsste dass doch reichen, oder!