Druckversion des Themas

Geschrieben von: berg 05.08.2003, 21:10

Mein Rechner ist mit dem Trojaner TrojanDropper.JS.Mimail.b infiziert.
Weiß jemand wie ich den entfernen kann, mein Antivirus (NormanAntivirus) kann ihn nicht löschen?

Geschrieben von: Rokop 05.08.2003, 21:11

Nimm am besten den Link aus folgender Mail:

Geschrieben von: berg 05.08.2003, 21:20

unter diesem Link findet sich leider kein tool zum entfernen dieses speziellen trojaners.

Geschrieben von: Rokop 05.08.2003, 21:27

http://www.bitdefender.com/download/Antimimail-en.exe

http://www.symantec.com/avcenter/venc/data/w32.mimail.a@mm.removal.tool.html

Bei beiden wird Version A angegeben, probieren würde ich es trotzdem einmal.

Geschrieben von: Bo Derek 05.08.2003, 22:00

@Roman: bist Du Dir da sicher? Ich dachte immer, der Trojandropper Mimail-b sei ein Alias für den Troj/Mimail-a und nicht den W32/Mimail-a!

Mir ist jetzt nicht bekannt, dass der Trojandropper sich im System einnistet. Er kommt vielmehr als E-Mail Attachment und kann vielleicht deshalb nicht vom Virenprogramm gelöscht werden.

Such in Deinem E-Mail Programm nach unbekannten Mails bzw. solchen mit einem Attachment namens readme.htm oder readme.zip. Wenn Du solch eine Mail findest, so lösche sie komplett aus Deinem E-Mail Programm - auch aus dem Papierkorb!

Geschrieben von: Rokop 05.08.2003, 22:08

Nee, sicher bin ich mir nicht, dazu müßte ich die Datei sehen. Ich hab mich ehrlich gesagt mit Mimail auch nicht so beschäftigt, da er in Deutschland (noch ?) nicht so verbreitet ist.

Geschrieben von: Bo Derek 05.08.2003, 22:19

Der Trojandropper wird sich sicher auch nicht so schnell mehr weiter verbreiten. Die Webseite, von der aus die Datei heruntergeladen werden sollte, ist schon lange wieder offline.

Geschrieben von: berg 05.08.2003, 22:25

ich habe sowohl die Tools probiert als auch meine emails durchforstet, beides leider ohne erfolg?!

Geschrieben von: Bo Derek 05.08.2003, 22:33

Norman Antivirus zeigt Dir doch sicher an, wo sich der nicht zu entfernende Trojandropper befindet?

Geschrieben von: JFK 06.08.2003, 05:53

Hier sind Infos zu http://www.symantec.com/avcenter/venc/data/downloader.mimail.html

JFK

Geschrieben von: wizard 06.08.2003, 06:57

Geschrieben von: JFK 06.08.2003, 07:41

Geschrieben von: berg 06.08.2003, 23:12

Ich habe weder Norton Antivirus noch Sophos Antivirus, daher helfen mir die Updates leider auch nicht.
Mein Norman Virus Control erkennt den Virus nicht und kann ihn daher nicht entfernen.

Geschrieben von: Bo Derek 06.08.2003, 23:16

Ich dachte, Dein Norman Virus könne ihn nur nicht löschen, wohl aber erkennen!? Woher weisst Du denn, dass Du diesen Trojandropper auf Deinem System hast?

Geschrieben von: berg 06.08.2003, 23:19

Es wird auch keine Datei oder Pfadangabe angegeben, sondern lediglich eine Meldung der Systemsteuerung dass der virus vorhanden ist und ich die Seite www.anti.cc aufrufen soll, um Abhilfe zu schaffen. Hier wird man erstmal aufgefordert eine Zugangssoftware downzuloaden, die kostenpflichtig ist und mit "securecheck" verbindet (etwas dubios, daher hab ichs abgebrochen)...

Geschrieben von: Bo Derek 06.08.2003, 23:27

Ach - ich glaube eher, dass Du den Nachrichtendienst ausschalten solltest. In Windows Betriebssystemen gibt es einen Dienst namens "Nachrichtendienst", mit dem man sich im lokalen Netzwerk Meldungen zuschicken kann. Da poppt dann ein Windows Fenster mit einer Meldung auf. Böse Schlingel haben einen Weg gefunden, diese Nachrichten auch über das Internet zu verschicken und Leute wie Dich mit falschen Sicherheitsmeldungen zu nerven. Deshalb schaltest Du diesen Dienst am besten aus. Wie das geht, steht hier:

http://www.tu-berlin.de/www/software/winmsg.shtml

Geschrieben von: Bo Derek 06.08.2003, 23:31

Ach ja, Du solltest sicher gehen, dass Du Dir keinen Dialer eingefangen hast und falls Du Dich mit einem Modem oder ISDN einwählen kannst, eine Sicherheitssoftware wie z.Bsp. http://www.dialer-control.de/ installieren.

Geschrieben von: Markus 06.08.2003, 23:44

Nichts weiter als ein übler Trick, dir einen Dialer unterzuschieben.
Scanne mal mit dem YAW 3.5 Final: http://yaw.at

Wenn du nur von dieser Meldung aus auf den Wurm geschlossen hast, dann brauchst du dir (hinsichtlich des Wurmes) keine Sorgen zu machen.

Geschrieben von: Fusilier 19.08.2003, 12:38

Gleicher Fehler, gleiche Meldungen..... ABER:

zeitgleich kam bei mir die Meldung dazu, das der SVCHOST beendet wird. Die MEldung kommt immer kurz nach dem Einwählen ins Net. Ca. 3-5 Minuten. Im Anschluß läßt sich kein Link mehr aufrufen.

Gibt es da einen Zusammenhang?

Geschrieben von: Rokop 19.08.2003, 16:09

Ja, das könnte sein. Könntest Du vielleicht mal einen Screenshot Deiner laufenden Prozesse posten oder einen Report mit TrojanCheck machen ?

Geschrieben von: Fusilier 19.08.2003, 17:58

TrojanCheck?

Die weiter oben angegebenen Programme haben nix gefunden und der Norton Anti Virus auch nicht. Ebensowenig Panda Active Scan.

Die Prozessliste kann ich mal vom Screen schießen, wenn der Fehler wieder auftaucht. Aktuell enthlt Sie folgendes:

System
SMSS.exe
CSRSS.exe
WINLOGON.EXE
Services.exe
LSASS.exe
svchost.exe
Spoolsv.exe
regsvc.exe
MStask.exe
MSPMSPSv.exe
svchost.exe
inetinfo.exe
WSRasMon.exe - Wildsoft Rasmon zur Verbindung mit Commundo
explorer.exe
IEXPLORE.exe
internat.exe
AcroTray.exe
ISATRAY.exe
Taskmgr.exe
svchost.exe

Momentan funktioniert wieder mal nix. Keine Links wenn Sie nicht zu Schaltflächen gehören. Der Fehler wurde aber nicht angezeigt. Er lautet Übrigens:

SVCHOST.exe hat einen Fehler verursacht und wird beendet.

Geschrieben von: Rokop 19.08.2003, 19:44

Hm, sagt mir im Moment nichts. Ich muß erstmal passen Vielleicht hat Jemand anders eine Idee !?

Geschrieben von: raman 20.08.2003, 12:38

Geschrieben von: Bo Derek 20.08.2003, 13:01

Aaaalso:

Internat.exe ist das kleine blaue Icon im Tray, mit dem man verschiedene Spracheingaben machen kann.

isatray.exe könnte die MS Firewall sein, da bin ich mir aber nicht sicher.

Geschrieben von: raman 20.08.2003, 13:14

Ich sagte ja, muss nicht zwangslaeufig Malware sein. Warten wir mal, wo sich die Dateien befinden.

@Fusilier: Du kannst ja mal das ergebniss von Startuplist( http://www.tomcoyote.org/hjt/startuplist.zip ) hier posten.

Geschrieben von: Fusilier 24.08.2003, 08:18

ISATray.exe liegt im Verzeichnis für die MS Firewall und betrifft diese auch. Nach beenden des Prozesses war das entsprechende Icon weg.

Internat.exe ist die Startupdatei für die Weltzeituhr. Die habe ich allerdings schon seit ca. 1,5 Jahren auf dem Rechner.



Hier die Startup List: (nützliches Tool!!)

StartupList report, 24.08.2003, 09:12:32
StartupList version: 1.52
Started from : C:\Temp\startuplist\StartupList.EXE
Detected: Windows 2000 SP2 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv50.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\Microsoft Firewall Client\ISATRAY.EXE
C:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Comundo\Comundo.exe
c:\programme\comundo\WsRasMon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Temp\startuplist\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart]
Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
Firewallclient-Konnektivitätsmonitor.LNK = C:\Programme\Microsoft Firewall Client\ISATRAY.EXE
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime
APVXDWIN = "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe
IridiumTimeWizard = C:\Temp\Geklaut\Weltzeit\iridium.exe

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - (no file) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[ActiveScan Installer Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\asinst.dll
CODEBASE = http://www.pandasoftware.com/activescan/as5/asinst.cab

[Live365Player Class]
InProcServer32 = C:\WINNT\DOWNLO~1\Play365.dll
CODEBASE = http://www.live365.com/players/play365.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 4.812 bytes
Report generated in 0,450 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only



Vielleicht ist da was drin??

Geschrieben von: raman 24.08.2003, 09:36

Hm, da kann man so nicht viel sehen. Du hast alle derzeitigen Ms Patches und Servicepacks installiert?

Geschrieben von: Bo Derek 24.08.2003, 09:51

Mal ne ganz andere Frage: wann wurde das System denn installiert?

Geschrieben von: Fusilier 01.09.2003, 07:17

Auch mal wieder online.......

1. Keine Ahnung ob ich alle Patches und Updates installiert habe. Das kann ich nur im Büro testen. Da ich aber mit Lungenentzündung im Bett liege....

2. Das System wurde vor 1,5 Jahren installiert, nachdem ein Kollege den Klez Virus eingeschleppt hatte.


Was mir aber noch einfällt:
Es dauert immer unterschiedlich lange bis das System aussteigt. Im Büro passiert das auch überhaupt nicht. (Internet läuft da über einen Zentralen Anschluß)

Geschrieben von: Bo Derek 01.09.2003, 08:35

Ich frage nur deshalb, weil man Windows und Konsorten ab und zu mal neu installieren muss. So eine Installation hält eben nicht ewig. Der Fehler könnte deshalb auch im System liegen und nichts mit irgendwelcher Malware zu tun haben.

Geschrieben von: Fusilier 01.09.2003, 09:12

Das habe ich auch schon befürchtet. Da eine Neuinstallation mit den ganzen Softwareanpassungen aber recht aufwendig ist (ca. 2 Wochen!!) wollte ich erst alle anderen Möglichkeiten ausschließen.

Und bevor jemand fragt warum ich zwei Wochen lang Windows installiere.... ich brauche für den Job auch noch Apertuer, sowie Oracle mit diversen Anpassungen.

Geschrieben von: raman 01.09.2003, 09:28

Geschrieben von: Bo Derek 01.09.2003, 09:30

Dann überleg Dir doch mal das Folgende:

Ich mach immer eine Neuinstallation, passe das System meinen Bedürfnissen an und erstelle dann ein Backup der kompletten Systempartition. Voraussetzung für diese vorgehensweise ist natürlich, dass z.Bsp. auf C:\ das Betriebssystem, Programme und ähnliches und auf einer anderen Partition bzw. anderen Partitionen alle Daten sind, die Du selbst erstellt hast. Auf diese Weise kannst Du ein komplettes Backup der Systempartition C:\ machen, dieses auf CD brennen oder auf einer anderen Partiton als C:\ ablegen. Sollte dann irgendwas nicht mehr einwandfrei laufen, so kannst Du die gesamte Partition C:\ innerhalb weniger Minuten wieder herstellen. Diese ist danach immer so "frisch", als sei sie eben gerade installiert worden.

Ein sehr gutes Programm für diesen Zweck ist http://www.acronis.com/products/trueimage/.

Geschrieben von: Fusilier 08.09.2003, 09:46

Danke, das werde ich mal versuchen.

Das Problem mit den Datenbanken ist, das ich für die verschiedenen Kunden jeweils eine eigene Datenbank vorhalten muss und die Kunden verschiedenste Programmversionen nutzen.

Das Problem hat sich übrigens auch geklärt. Ich habe die Win2000 Sicherheitsupdates ein zweites mal installiert. Dann ging es. Warum? Keine Ahnung. Windows halt.

Scheint tatsächlich am Blaster gelegen zu haben.

Dafür hab ich dann jetzt auch endlich diese lästigen Meldungen über den NAchrichtendienst weg.

Danke an alle für die Hilfe.