Hallo an alle
Ich war in der letzte Nacht unvorsichtig und hatte die Firewall Zonealarm ausgestellt.
Bis ich einen komischen Download bemerkte. Danach fand ich das hier.
MCAFE32.EXE die Variante schreibt sich ständig um. So in etwa
MCAFE32.EXE-0595774B.pf.
Jetzt habe ich öfter gelesen das dies ein Troyaner sei.
Ein Scan mit AVG Virenscanner brachte nichts. Ad-aware zeigt auch nichts an. Komisch ist aber, dass seitdem Generic Host for Win32 Service bei einer Internetsitzung immer einen Pulsartigen Traffic anzeigt.
Das war vorher nicht.
Was ist das MCAFE32.EXE? Und wenn ein Virus oder Troyaner!? Wie kriege ich das Ding weg. Habe ein komisches Gefühl bei der Sache
Danke für Antworten
Gruß Sevenup

Erstelle und poste ein Hijackthis-Logfile:

http://www.trojaner-board.de/51130-a...bedeutet_FIXEN

Wahrscheinlich ist es ein Rbot-Variante, alsoe ein Backdoor. Unvorsichtig warst du in diesem Fall übrigens schon sehr viel früher, dass du infiziert wurdest, lag nicht daran, dass du deine FW ausgeschaltet hattest.

@sevenup
schau mal nach ob diese dateien auf den HD sind
navprotect.exe
crp386.exe
tcpxp.exe
cvgijt.exe

falls du der niederländische sprache verstehst, hier ein link
http://www.antispywareoffensief.nl/f...=8139#post8139
es scheint sich um etwas neues zu handeln, etwas was schwer zu entfernen wäre.

Damit andere Virenscanner die Datei zukünftig auch erkennen, solltest du sie gepackt und mit Passwort versehen an partytime-germany.ice@web.de schicken (Passwort in der Mail angeben und auf diesen Thread verweisen)
Zitat Haui45
chaosman

@mountainking

Ich habe einen Logfile erstellt ...

Logfile of HijackThis v1.99.0
Scan saved at 20:51:35, on 23.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\minilog.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Grisoft\AVG Free\avgcc.exe
C:\Programme\Grisoft\AVG Free\avgemc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\iGrafx\Image\1.0\IGXIMG.EXE
C:\WINDOWS\System32\mcafe32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.********.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\Ontrack\SYSTEM~1\MemCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Media Player] mcafe32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\RunServices: [Windows Media Player] mcafe32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Media Player] mcafe32.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {1BE7B301-ED56-4E47-BCA8-68D80A44DCB8} - http://www.medionshop.de/ (file missing) (HKCU)
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe
O23 - Service: Ontrack SystemSuite 2000-Task-Manager - Ontrack Data International - C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@chaosman
ich kann überhaupt kein holländisch
Was soll ich machen? ist das was Neues ?! oder ?

Danke für weitere Hilfe
sevenup

@sevenup
schau bitte mal nach ob diesen dateien auf deiner festplatte sind
navprotect.exe
crp386.exe
tcpxp.exe
cvgijt.exe
wenn ja, dann könnte es was neues sein

Damit andere Virenscanner die Datei zukünftig auch erkennen, solltest du sie gepackt und mit Passwort versehen an partytime-germany.ice@web.de schicken (Passwort in der Mail angeben und auf diesen Thread verweisen)
Zitat Haui45
schicke bitte MCAFE32.EXE wie obenbeschrieben an den ebenfalls genannten emailadresse

chaosman

Zitat:

O4 - HKLM\..\RunServices: [Windows Media Player] mcafe32.exe

Könnte dies hier sein -> http://www.answersthatwork.com/Taskl...tasklist_m.htm

Damit Gewissheit herrscht ->
Beende die mcafe32.exe im TaskManager und überprüfe diese bei http://virusscan.jotti.org/deund poste das Ergebnis.

oh ich sehe da ein programm das mir überhaupt nicht da drin gefällt..
lass mal die datei mcafe32.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.

Zitat:

Zitat von Chris14

oh ich sehe da ein programm das mir überhaupt nicht da drin gefällt..
lass mal die datei mcafe32.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.

Hallo
Der Scan gab folgendes Ergebnis

Service load: 0% 100%

File: mcafe32.exe
Status: INFECTED/MALWARE
Packers detected: PE_PATCH, MEW

AntiVir Worm/Rbot.AAN (0.15 seconds taken)
Avast Win32:SpyBot-A334 (1.51 seconds taken)
BitDefender Backdoor.RBot.E5D4F2C7 (0.60 seconds taken)
ClamAV No viruses found (0.42 seconds taken)
Dr.Web No viruses found (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.90 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (0.69 seconds taken)
mks_vir Win32 (probable variant) (0.21 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.56 seconds taken)
Norman Virus Control No viruses found (0.95 seconds taken


Dieser File wurde gescannt ...
C:\WINDOWS\System32\mcafe32.exe

Weitere Hilfe wäre sehr schön

Gruß Sevenup

@sevenup
schlechte nachrichten
http://www.sophos.com/virusinfo/analyses/w32rbotby.html
http://www.viruslist.com/en/viruses/...?virusid=56713
da kann man dich nur empfehlen dein system neu aufzusetzen(format C )

hier eine hilfestellung
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman

ja! das wusste ich doch schon irgendwie!
bei einem backdoor heißt es nur eines; windows neuinstallieren
befolge auch diese Anleitung um eine weitere Infektion zu verhindern.

Zitat:

Zitat von Chris14

ja! das wusste ich doch schon irgendwie!
bei einem backdoor heißt es nur eines; windows neuinstallieren
befolge auch diese Anleitung um eine weitere Infektion zu verhindern.

Hallo Chris14 und andere
Danke für eure Hilfe.
Bin jetzt mit einem anderen System im Internet und komme wohl nicht um eine Neuinstallation rum
Käse!

Danke nochmals
Gruß Sevenup

Hi
Habe doch nochmal eine Frage?
Kann ich irgendwie erkennen ob Passwörter schon abgefragt wurden oder jemand auf dem Rechner war?
Das ganze läuft über ein Netzwerk-Router. Habe den verseuchten PC abgekappt.
Noch eins ...
Gibt es irgendeine Möglichkeit wichtige php,html-Seiten und Bilder .jpg .gif vom verseuchten PC zu übernehmen .Oder kann sich da auch was eingenistet haben und habe das Zeugs wieder auf dem Compi?
Wäre sonst viel Arbeit
Danke nochmals an alle die geholfen haben
sevenup

Inwieweit jemand was mit oder an deinem Rechner gemacht hat, lässt sich nicht mehr nachvollziehen, das ist leider eine der speziellen Tücken dieser Backdoors. Dokumente (also echte, manchmal können ja auch Dateiendungen gefaked sein) kannst du im Regelfall sichern, ich würde sie aber auf jeden Fall noch mal komplett mit Scannern überprüfen und ein gewisses Risiko besteht aus obigem Grund theoretisch trotzdem noch. Nicht übernehmen solltest du vor allem aus dem Netz geladene Programme/Archive.

Danke MountainKing

Kann mir jemand sagen, wie ich sowas demnächst vermeide?
AVG 7.0 hat da total versagt und Windows war upgedatet Servicepack für Netzwerk . Aktive x war und ist aus. Und auf dem Router lief auch eine Firewall. Nur Original-Software in den Laufwerken.
Nur weil ich Zonealarm aus hatte??? Ich begreifs nicht
Gruß Sevenup

Benutzt du vielleicht Kazaa oder emule? Hast du den PC als DMZ im Router definiert? Surfst du mit IE?

Es gibt mehrere Möglichkeiten