Mfreedft.dll blockt Mcafee Updates

#1 Hallo,
habe mir auf meinem WinXP SP2 PC offensichtlich einen Virus/Trojaner eingefangen, der sich (wohl auch) in der Windows Registry eingenistet hat, und nun diverse Programme an der Ausführung hindert - es kommt immer das Windows Fehlerprotokoll, zB hier mal das von McAfee SecurityCenter Update Engine:

McAfee SecurityCenter Update Engine hat ein Problem festgestellt und muss beendet werden....
AppName: mcupdate.exe AppVer: 6.0.0.8 ModName: mfreedft.dll
ModVer: 0.0.0.0 Offset: 000022b7

Ursächlich scheint mir die "mfreedft.dll" zu sein - andere Progs führen auch immer diese DLL auf. Nur - diese DLL gibt es auf meinem PC nicht. (Habe gestern schon einige Files per Hand gelöscht, die über den IE6 offensichtlich ins Windows-Verzeichnis gedownloadet wurden...)

Habe dann die Windows Registery durchsucht: dort findet sich folgender Eintrag
HKEY_LOCAL_MACHINE\Software \Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mfreedft
dort steht einiges an Unterschlüsseln, u.a. ein Hinweis auf den Anmelde-Namen.

Der Eintrag läßt sich nicht löschen - soll hei0en: löscht man ihn und drückt anschließend gleich wieder F5 Taste (Aktualisierung), ist er wieder eingetragen.

mfreedft.dll muß irgendwas mit der Windows Anmeldung zu tun haben - leider finde ich im Web (außer auf einer spanischsprachigen Webseite vom 6.July2006) nichts zu mfreedft.dll

Hoffe, hier kann jemand helfen, wie ich das Ding loswerden kann, ohne "Format C:/". Danke für einen Tipp!

#2 Pruef die Datei am besten bei Jotti und poste die informationen aus diesem Thread:
http://board.protecus.de/t23188.htm

#3

Zitat

Gastaccount postete
Pruef die Datei ....

Welche Datei? Die Registry?

#4 Ich meinte dir Datei c:\windows\system32\mfreedft.dll
Falls du die Datei nicht finden kannst, versuche es mit diesem Tipp. http://people.freenet.de/rene-gad/invisible.html

#5

Zitat

Gastaccount postete
Ich meinte dir Datei c:\windows\system32\mfreedft.dll
Falls du die Datei nicht finden kannst, versuche es mit diesem Tipp. http://people.freenet.de/rene-gad/invisible.html

Lol... wenn es 'nur' das wäre, das Einschalten ausgeblendeter Systemfiles ;-)
Nee, ist schon ein paar ganze Ecken schwieriger gewesen, den Virus zu löschen:

die besagte mfreedft.dll ist nur im abgesicherten Modus auffindbar, wird im normalen System-Modus offensichtlich in den RAM geladen und auf der HD gelöscht.
Im abgesicherten Modus mußte ich auch ein Verrenkungen bezüglich Rechtevergabe für die Datei anstellen, bevor ich sie umbennenen und schließlich löschen konnte.
Habe ein paar Tipps aus einem anderen Board bekommen - dann alles "per Hand" gemacht incl. Reg-cleaning.
Läuft wieder alles :-)))

Zumindest für diesem Fall halte ich den ganzen Aufwand mit HijackThis LOG und online-Scanner für Blödsinn - KEIN Scanner hat den Virus erkannt. Und das die Datei im Windows Logon/Notify drinstand, wußte ich schon vor dem Hijack-Log: das haben mir die Fehlerreports der geblockten Progs selber mitgeteilt ... das Ganze mit den Hijack-Log finde ich irgendwie wie auf'm Amt:
"Füllen Se das Formular aus und ziehen Se sich ne Nummer. Werden in 6 Stunden aufgerufen ..." ;-)

Aber trotzdem SCHÖNEN DANK!
Bye

#6 Nicht jede Malware ist so nett und teilt einem gleich seinen Dateinamen mit. Bist du dir denn nun sicher, das alles weg ist, bzw was dir diese Malware so alles "geklaut" hat?
Eigeninitiative finde ich immer bewundernswert und wuerde ich mir manchmal auch in anderen Situationen oeffter wuenschen!
__________
MfG Ralf
SEO-Spam Hunter

#7 ich denke auch, dass sich bestimmt noch mehr auf dem Rechner befindet...was da nicht hingehoert... diese dll ist nur ein Teil vom Virus.
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Naja, ich hatte ja bereits gestern einiges per Hand gelöscht. Bin ziemlich sicher, daß meine Kiste nun wieder recht sauber ist. Aber man soll ja niemals nie sagen...
In der Registry trägt sich nichts mehr "wie von selbst" ein, mein PC hat den "alten Speed" wieder... Mein McAfee (für die Afee-Haßer: benutze ich seit 1993 und sicher auch noch die nächsten 93 Jahre ...) läuft wieder einwandfrei, Dreamweaver läuft auch wieder (vorher Absturz sofort nach dem Launch).
McAfee und zwei andere Trojan Scanner finden nix mehr (jedenfalls nichts, wo ich nicht wüßte, das es unschädlich ist).

Auf jeden Fall war's mal wieder ein Beweis, wie Schei... Google und der IE6 sind - die Infektion über eine Google-High-Ranking Website (weiß leider nicht mehr, welche, aber nix xxx oder war*hier nicht!*, war irgendwie eine Forums-Site...) dauerte nur ein paar Sekunden - das Cleaning 2 Tage...

Ich muß ihn mir jetzt wirklich mal abgewöhnen, den IE6.
So long