|
MCAFE32.EXE und Generic Host komischer Internetraffic??? Hallo an alle Ich war in der letzte Nacht unvorsichtig und hatte die Firewall Zonealarm ausgestellt. Bis ich einen komischen Download bemerkte. Danach fand ich das hier. MCAFE32.EXE die Variante schreibt sich ständig um. So in etwa MCAFE32.EXE-0595774B.pf. Jetzt habe ich öfter gelesen das dies ein Troyaner sei. Ein Scan mit AVG Virenscanner brachte nichts. Ad-aware zeigt auch nichts an. Komisch ist aber, dass seitdem Generic Host for Win32 Service bei einer Internetsitzung immer einen Pulsartigen Traffic anzeigt. Das war vorher nicht. Was ist das MCAFE32.EXE? Und wenn ein Virus oder Troyaner!? Wie kriege ich das Ding weg. Habe ein komisches Gefühl bei der Sache ;) Danke für Antworten Gruß Sevenup |
Erstelle und poste ein Hijackthis-Logfile: http://www.trojaner-board.de/51130-a...bedeutet_FIXEN Wahrscheinlich ist es ein Rbot-Variante, alsoe ein Backdoor. Unvorsichtig warst du in diesem Fall übrigens schon sehr viel früher, dass du infiziert wurdest, lag nicht daran, dass du deine FW ausgeschaltet hattest. |
@sevenup schau mal nach ob diese dateien auf den HD sind navprotect.exe crp386.exe tcpxp.exe cvgijt.exe falls du der niederländische sprache verstehst, hier ein link http://www.antispywareoffensief.nl/f...=8139#post8139 es scheint sich um etwas neues zu handeln, etwas was schwer zu entfernen wäre. Damit andere Virenscanner die Datei zukünftig auch erkennen, solltest du sie gepackt und mit Passwort versehen an partytime-germany.ice@web.de schicken (Passwort in der Mail angeben und auf diesen Thread verweisen) Zitat Haui45 chaosman |
@mountainking Ich habe einen Logfile erstellt ... Logfile of HijackThis v1.99.0 Scan saved at 20:51:35, on 23.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\ZoneLabs\minilog.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\Programme\QuickTime\qttask.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\Grisoft\AVG Free\avgcc.exe C:\Programme\Grisoft\AVG Free\avgemc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\iGrafx\Image\1.0\IGXIMG.EXE C:\WINDOWS\System32\mcafe32.exe C:\Programme\WinRAR\WinRAR.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.********.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\Ontrack\SYSTEM~1\MemCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windows Media Player] mcafe32.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\RunServices: [Windows Media Player] mcafe32.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Windows Media Player] mcafe32.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {1BE7B301-ED56-4E47-BCA8-68D80A44DCB8} - http://www.medionshop.de/ (file missing) (HKCU) O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: TrueVector Basic Logging Client - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe O23 - Service: Ontrack SystemSuite 2000-Task-Manager - Ontrack Data International - C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe @chaosman ich kann überhaupt kein holländisch ;) Was soll ich machen? ist das was Neues ?! oder ? Danke für weitere Hilfe sevenup |
@sevenup schau bitte mal nach ob diesen dateien auf deiner festplatte sind navprotect.exe crp386.exe tcpxp.exe cvgijt.exe wenn ja, dann könnte es was neues sein Damit andere Virenscanner die Datei zukünftig auch erkennen, solltest du sie gepackt und mit Passwort versehen an partytime-germany.ice@web.de schicken (Passwort in der Mail angeben und auf diesen Thread verweisen) Zitat Haui45 schicke bitte MCAFE32.EXE wie obenbeschrieben an den ebenfalls genannten emailadresse chaosman |
Zitat:
Damit Gewissheit herrscht -> Beende die mcafe32.exe im TaskManager und überprüfe diese bei http://virusscan.jotti.org/deund poste das Ergebnis. |
oh ich sehe da ein programm das mir überhaupt nicht da drin gefällt.. lass mal die datei mcafe32.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis. |
Zitat:
Hallo Der Scan gab folgendes Ergebnis Service load: 0% 100% File: mcafe32.exe Status: INFECTED/MALWARE Packers detected: PE_PATCH, MEW AntiVir Worm/Rbot.AAN (0.15 seconds taken) Avast Win32:SpyBot-A334 (1.51 seconds taken) BitDefender Backdoor.RBot.E5D4F2C7 (0.60 seconds taken) ClamAV No viruses found (0.42 seconds taken) Dr.Web No viruses found (0.53 seconds taken) F-Prot Antivirus No viruses found (0.90 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (0.69 seconds taken) mks_vir Win32 (probable variant) (0.21 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (0.56 seconds taken) Norman Virus Control No viruses found (0.95 seconds taken Dieser File wurde gescannt ... C:\WINDOWS\System32\mcafe32.exe Weitere Hilfe wäre sehr schön ;) Gruß Sevenup |
@sevenup schlechte nachrichten http://www.sophos.com/virusinfo/analyses/w32rbotby.html http://www.viruslist.com/en/viruses/...?virusid=56713 da kann man dich nur empfehlen dein system neu aufzusetzen(format C ) hier eine hilfestellung http://www.trojaner-board.de/showpos...28&postcount=2 sry chaosman |
ja! das wusste ich doch schon irgendwie! bei einem backdoor heißt es nur eines; windows neuinstallieren befolge auch diese Anleitung um eine weitere Infektion zu verhindern. |
Zitat:
Danke für eure Hilfe. Bin jetzt mit einem anderen System im Internet und komme wohl nicht um eine neuinstallation rum :( Käse! Danke nochmals Gruß Sevenup |
Hi Habe doch nochmal eine Frage? Kann ich irgendwie erkennen ob Passwörter schon abgefragt wurden oder jemand auf dem Rechner war? Das ganze läuft über ein Netzwerk-Router. Habe den verseuchten PC abgekappt. Noch eins ... Gibt es irgendeine Möglichkeit wichtige php,html-Seiten und Bilder .jpg .gif vom verseuchten PC zu übernehmen .Oder kann sich da auch was eingenistet haben und habe das Zeugs wieder auf dem Compi? Wäre sonst viel Arbeit :( Danke nochmals an alle die geholfen haben :) sevenup |
Inwieweit jemand was mit oder an deinem Rechner gemacht hat, lässt sich nicht mehr nachvollziehen, das ist leider eine der speziellen Tücken dieser Backdoors. Dokumente (also echte, manchmal können ja auch Dateiendungen gefaked sein) kannst du im Regelfall sichern, ich würde sie aber auf jeden Fall noch mal komplett mit Scannern überprüfen und ein gewisses Risiko besteht aus obigem Grund theoretisch trotzdem noch. Nicht übernehmen solltest du vor allem aus dem Netz geladene Programme/Archive. |
Danke MountainKing Kann mir jemand sagen, wie ich sowas demnächst vermeide? AVG 7.0 hat da total versagt und Windows war upgedatet Servicepack für Netzwerk . Aktive x war und ist aus. Und auf dem Router lief auch eine Firewall. Nur Original-Software in den Laufwerken. :( Nur weil ich Zonealarm aus hatte??? Ich begreifs nicht :( Gruß Sevenup |
Benutzt du vielleicht Kazaa oder emule? Hast du den PC als DMZ im Router definiert? Surfst du mit IE? Es gibt mehrere Möglichkeiten ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board