Hallo Zusammen,

McAfee hat auf meinem System (Winxp) einen speicherresidenten Trojaner mit dem Namen "New Mailware!bot" in der Datei C:\Windows\System32\updates.pif gefunden. Ich kann ihn weder löschen, reinigen noch in Quarantäne stellen.

Wie werde ich diesen lästigen Parasiten wieder los??

Für Eure Hilfe schon mal vielen Danke

@engele1976

Zitat:

McAfee hat auf meinem System (Winxp)

Hat dein WinXP noch SP?

Zitat:

speicherresidenten Trojaner mit dem Namen "New Mailware!bot" in der Datei C:\Windows\System32\updates.pif

Versuche mal
1. Datei bei www.virustotal.com online zu überprüfen.
2. Falls versagt: im abgeischerten Modus zu starten und die Datei umzubenennen in z.B. updates.txt, danach Punkt 1 wiederholen.
Zwischenzeitlich kannst du dieser Anleitung nachgehen.

poste erstmal ein HJT-Logfile
dann lass die datei updates.pif im ordner c:\windows\system32 bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis
und natürlich auf SP2 updaten, falls noch nicht geschehen.

Zitat:

Zitat von Rene-gad

@engele1976

Hat dein WinXP noch SP?

nachgehen.

Ich hab' noch SP1 drauf

Zitat:

Zitat von Chris14

poste erstmal ein HJT-Logfile

Logfile of HijackThis v1.99.1
Scan saved at 10:15:18, on 28.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\PROGRA~1\mcafee.com\agent\McDash.exe
C:\PROGRA~1\mcafee.com\shared\mghtml.exe
c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\Hijack\HijackThis.exe
C:\WINDOWS\System32\updates.pif
C:\WINDOWS\System32\updates.pif

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.mcafee.com/virusInfo/defau...0-48&langid=52
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [System Updates Service] updates.pif
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\RunServices: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunServices: [System Updates Service] updates.pif
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CC283B2-3BB1-4808-B911-844C3A23F4C3}: NameServer = 217.237.151.161 217.237.151.33
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe (file missing)

Zitat:

Zitat von Chris14

dann lass die datei updates.pif im ordner c:\windows\system32 bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis

Dr.Web hat folgenden gefunden: Win32.HLLW.MyBot

@engele1976

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Von SP2 hat Chris14 schon mal gesagt.
Hast du schon versucht, die Datei umzubenennen und danach zu löschen?

Zitat:

C:\WINDOWS\System32\updates.pif

Die Einträge fixen.

Zitat:

O4 - HKLM\..\Run: [System Updates Service] updates.pif
O4 - HKLM\..\RunServices: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [System Updates Service] updates.pif
O4 - HKCU\..\RunServices: [System Updates Service] updates.pif
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Das macht mich unsicher, denn das ein Zeichen von Rbot-ALS ist.

Zitat:

O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe (file missing)

Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Zitat:

Zitat von Rene-gad

@engele1976


Hast du schon versucht, die Datei umzubenennen und danach zu löschen?

Er bringt mir die Meldung, dass es eine Systemdatei ist, und das System evtl. nicht mehr richtig ausgeführt werden kann...soll ich es trotzdem versuchen zu löschen?

Bitte auch mal die Datei


C:\WINDOWS\System32\updates.pif

hier hochladen:

http://www.malwareupload.com/

Teile uns das Ergebnis mit.

Das sieht mir aber wirklich nicht gut aus- wie rene-gad schon erwähnte.

Zitat:

Zitat von cronos

Bitte auch mal die Datei


C:\WINDOWS\System32\updates.pif

hier hochladen:

http://www.malwareupload.com/

Teile uns das Ergebnis mit.

Das sieht mir aber wirklich nicht gut aus- wie rene-gad schon erwähnte.

Hier das Ergebnis:


Dateiname Dateigröße Datum Kommentar MD5¹ Virencheck² Status Unsere Antwort
updates.pif 162816 Bytes 28.08.2005
e66d7d1510a528472828321cc6c7ae8c
Keine Viren gefunden Noch nicht bearbeitet

@ engele

Das dauert da immer etwas länger, da die Dateien meines Wissens noch von Hand analysiert werden.
Derweil schon mal Escan durchführen.

ähm ihr wisst schon das Dr. Web den vorhin als backdoor erkannt hat?
Win32.HLLW.MyBot -> Backdoor.Win32.Rbot.pm
http://article.gmane.org/gmane.comp....v.virusdb/1024

Zitat:

Zitat von Chris14

ähm ihr wisst schon das Dr. Web den vorhin als backdoor erkannt hat?
Win32.HLLW.MyBot -> Backdoor.Win32.Rbot.pm
http://article.gmane.org/gmane.comp....v.virusdb/1024

Dann mal ne ganz blöde Frage: Was mach ich nun? Ich bin zwar kein PC-Laie, aber auch kein Profi....

Zitat:

Zitat von Chris14

ähm ihr wisst schon das Dr. Web den vorhin als backdoor erkannt hat?

Jepp!
Denke auch, dass das ein Backdoor ist.
Hier gehts eher darum abschließend 100%ige Gewissheit darüber zu erlangen, um mit bester Gewissheit eine Empfehlung aussprechen zu können.

@engele mach weiter wie von cronos gepostet (also escan durchführen wie in der anleitung beschrieben) http://www.trojaner-board.de/showthread.php?t=17492