Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   speicherresidenten Trojaner New Mailware!bot (https://www.trojaner-board.de/21291-speicherresidenten-trojaner-new-mailware-bot.html)

engele1976 28.08.2005 08:58

speicherresidenten Trojaner New Mailware!bot
 
Hallo Zusammen,

McAfee hat auf meinem System (Winxp) einen speicherresidenten Trojaner mit dem Namen "New Mailware!bot" in der Datei C:\Windows\System32\updates.pif gefunden. Ich kann ihn weder löschen, reinigen noch in Quarantäne stellen.

Wie werde ich diesen lästigen Parasiten wieder los??

Für Eure Hilfe schon mal vielen Danke

Rene-gad 28.08.2005 09:08

@engele1976
Zitat:

McAfee hat auf meinem System (Winxp)
Hat dein WinXP noch SP?
Zitat:

speicherresidenten Trojaner mit dem Namen "New Mailware!bot" in der Datei C:\Windows\System32\updates.pif
Versuche mal
1. Datei bei www.virustotal.com online zu überprüfen.
2. Falls versagt: im abgeischerten Modus zu starten und die Datei umzubenennen in z.B. updates.txt, danach Punkt 1 wiederholen.
Zwischenzeitlich kannst du dieser Anleitung nachgehen.

Chris14 28.08.2005 09:08

poste erstmal ein HJT-Logfile
dann lass die datei updates.pif im ordner c:\windows\system32 bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis
und natürlich auf SP2 updaten, falls noch nicht geschehen.

engele1976 28.08.2005 09:12

Zitat:

Zitat von Rene-gad
@engele1976

Hat dein WinXP noch SP?

nachgehen.


Ich hab' noch SP1 drauf

engele1976 28.08.2005 09:16

Zitat:

Zitat von Chris14
poste erstmal ein HJT-Logfile


Logfile of HijackThis v1.99.1
Scan saved at 10:15:18, on 28.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\PROGRA~1\mcafee.com\agent\McDash.exe
C:\PROGRA~1\mcafee.com\shared\mghtml.exe
c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\Hijack\HijackThis.exe
C:\WINDOWS\System32\updates.pif
C:\WINDOWS\System32\updates.pif

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.mcafee.com/virusInfo/defau...0-48&langid=52
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [System Updates Service] updates.pif
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\RunServices: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunServices: [System Updates Service] updates.pif
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CC283B2-3BB1-4808-B911-844C3A23F4C3}: NameServer = 217.237.151.161 217.237.151.33
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe (file missing)

engele1976 28.08.2005 09:20

Zitat:

Zitat von Chris14
dann lass die datei updates.pif im ordner c:\windows\system32 bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis


Dr.Web hat folgenden gefunden: Win32.HLLW.MyBot

Rene-gad 28.08.2005 09:32

@engele1976
Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Von SP2 hat Chris14 schon mal gesagt.
Hast du schon versucht, die Datei umzubenennen und danach zu löschen?
Zitat:

C:\WINDOWS\System32\updates.pif
Die Einträge fixen.
Zitat:

O4 - HKLM\..\Run: [System Updates Service] updates.pif
O4 - HKLM\..\RunServices: [System Updates Service] updates.pif
O4 - HKCU\..\Run: [System Updates Service] updates.pif
O4 - HKCU\..\RunServices: [System Updates Service] updates.pif
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Das macht mich unsicher, denn das ein Zeichen von Rbot-ALS ist.
Zitat:

O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe (file missing)
Mach bitte noch Folgendes:
1.Systemwiederherstellung abschalten
2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.
3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen.
4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

engele1976 28.08.2005 10:26

Zitat:

Zitat von Rene-gad
@engele1976


Hast du schon versucht, die Datei umzubenennen und danach zu löschen?


Er bringt mir die Meldung, dass es eine Systemdatei ist, und das System evtl. nicht mehr richtig ausgeführt werden kann...soll ich es trotzdem versuchen zu löschen?

cronos 28.08.2005 10:29

Bitte auch mal die Datei


C:\WINDOWS\System32\updates.pif

hier hochladen:

http://www.malwareupload.com/

Teile uns das Ergebnis mit.

Das sieht mir aber wirklich nicht gut aus- wie rene-gad schon erwähnte.

engele1976 28.08.2005 10:40

Zitat:

Zitat von cronos
Bitte auch mal die Datei


C:\WINDOWS\System32\updates.pif

hier hochladen:

http://www.malwareupload.com/

Teile uns das Ergebnis mit.

Das sieht mir aber wirklich nicht gut aus- wie rene-gad schon erwähnte.


Hier das Ergebnis:


Dateiname Dateigröße Datum Kommentar MD5¹ Virencheck² Status Unsere Antwort
updates.pif 162816 Bytes 28.08.2005
e66d7d1510a528472828321cc6c7ae8c
Keine Viren gefunden Noch nicht bearbeitet

cronos 28.08.2005 10:43

@ engele

Das dauert da immer etwas länger, da die Dateien meines Wissens noch von Hand analysiert werden.
Derweil schon mal Escan durchführen.

Chris14 28.08.2005 10:44

ähm ihr wisst schon das dr.web den vorhin als backdoor erkannt hat?
Win32.HLLW.MyBot -> Backdoor.Win32.Rbot.pm
http://article.gmane.org/gmane.comp....v.virusdb/1024

engele1976 28.08.2005 10:51

Zitat:

Zitat von Chris14
ähm ihr wisst schon das dr.web den vorhin als backdoor erkannt hat?
Win32.HLLW.MyBot -> Backdoor.Win32.Rbot.pm
http://article.gmane.org/gmane.comp....v.virusdb/1024


Dann mal ne ganz blöde Frage: Was mach ich nun? Ich bin zwar kein PC-Laie, aber auch kein Profi.... :heulen:

cronos 28.08.2005 10:53

Zitat:

Zitat von Chris14
ähm ihr wisst schon das dr.web den vorhin als backdoor erkannt hat?

Jepp!
Denke auch, dass das ein Backdoor ist.
Hier gehts eher darum abschließend 100%ige Gewissheit darüber zu erlangen, um mit bester Gewissheit eine Empfehlung aussprechen zu können.

Chris14 28.08.2005 10:55

@engele mach weiter wie von cronos gepostet (also escan durchführen wie in der anleitung beschrieben) http://www.trojaner-board.de/showthread.php?t=17492


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131