speicherresidenten Trojaner New Mailware!bot
 

Hallo Zusammen,

McAfee hat auf meinem System (Winxp) einen speicherresidenten Trojaner mit dem Namen "New Mailware!bot" in der Datei C:\Windows\System32\updates.pif gefunden. Ich kann ihn weder löschen, reinigen noch in Quarantäne stellen.

Wie werde ich diesen lästigen Parasiten wieder los??

Für Eure Hilfe schon mal vielen Danke

@engele1976
Hat dein WinXP noch SP?
Versuche mal
1. Datei bei www.virustotal.com online zu überprüfen.
2. Falls versagt: im abgeischerten Modus zu starten und die Datei umzubenennen in z.B. updates.txt, danach Punkt 1 wiederholen.
Zwischenzeitlich kannst du dieser Anleitung nachgehen.

poste erstmal ein HJT-Logfile
dann lass die datei updates.pif im ordner c:\windows\system32 bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis
und natürlich auf SP2 updaten, falls noch nicht geschehen.

Ich hab' noch SP1 drauf

Logfile of HijackThis v1.99.1
Scan saved at 10:15:18, on 28.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\PROGRA~1\mcafee.com\agent\McDash.exe
C:\PROGRA~1\mcafee.com\shared\mghtml.exe
c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\Hijack\HijackThis.exe
C:\WINDOWS\System32\updates.pif
C:\WINDOWS\System32\updates.pif

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.mcafee.com/virusInfo/defau...0-48&langid=52
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [System Updates Service] updates.pif
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\RunServices: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunServices: [System Updates Service] updates.pif
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CC283B2-3BB1-4808-B911-844C3A23F4C3}: NameServer = 217.237.151.161 217.237.151.33
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe (file missing)

Dr.Web hat folgenden gefunden: Win32.HLLW.MyBot

@engele1976
Von SP2 hat Chris14 schon mal gesagt.
Hast du schon versucht, die Datei umzubenennen und danach zu löschen?
Die Einträge fixen.
Das macht mich unsicher, denn das ein Zeichen von Rbot-ALS ist.
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Er bringt mir die Meldung, dass es eine Systemdatei ist, und das System evtl. nicht mehr richtig ausgeführt werden kann...soll ich es trotzdem versuchen zu löschen?

Bitte auch mal die Datei


C:\WINDOWS\System32\updates.pif

hier hochladen:

http://www.malwareupload.com/

Teile uns das Ergebnis mit.

Das sieht mir aber wirklich nicht gut aus- wie rene-gad schon erwähnte.

Hier das Ergebnis:


Dateiname Dateigröße Datum Kommentar MD5¹ Virencheck² Status Unsere Antwort
updates.pif 162816 Bytes 28.08.2005
e66d7d1510a528472828321cc6c7ae8c
Keine Viren gefunden Noch nicht bearbeitet

@ engele

Das dauert da immer etwas länger, da die Dateien meines Wissens noch von Hand analysiert werden.
Derweil schon mal Escan durchführen.

ähm ihr wisst schon das dr.web den vorhin als backdoor erkannt hat?
Win32.HLLW.MyBot -> Backdoor.Win32.Rbot.pm
http://article.gmane.org/gmane.comp....v.virusdb/1024

Dann mal ne ganz blöde Frage: Was mach ich nun? Ich bin zwar kein PC-Laie, aber auch kein Profi.... :heulen:

Jepp!
Denke auch, dass das ein Backdoor ist.
Hier gehts eher darum abschließend 100%ige Gewissheit darüber zu erlangen, um mit bester Gewissheit eine Empfehlung aussprechen zu können.

@engele mach weiter wie von cronos gepostet (also escan durchführen wie in der anleitung beschrieben) http://www.trojaner-board.de/showthread.php?t=17492