Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Backdoor.Win32.Afcore.ca - Entfernung bisher erfolglos (https://www.trojaner-board.de/16431-backdoor-win32-afcore-ca-entfernung-bisher-erfolglos.html)

Finnstroem 09.04.2005 11:04
Backdoor.Win32.Afcore.ca - Entfernung bisher erfolglos
 
Hallo!

Hoffe, mir kann hier geholfen werde: Bin schon seit Tagen hier im Forum auf der Suche nach Hilfe, aber hatte bisher keinen Erfolg. Daher jetzt hiermeine eigene Anfrage:

- eScan meldet den Virus: Backdoor.Win32.Afcore.ca
- befallen ist die Datei: c:\windows\system32\wmadfoe.dll

Entfernung der Datei war bisher nicht möglich, habs unter der Dos-Eingabeaufforderung versucht.

Neustart des Rechners im abgesicherten Modus geht überhaupt nicht, er stürzt immer wieder ab.

Außerdem meldet eScan auch noch einige Spyware, die Spybot nicht findet.

Wer kann mir helfen, all den Mist wieder loszuwerden?!

Vielen Dank schon mal für die Mühe und bis hoffentlichbald,

Finnstroem :heulen:

Sagamore 09.04.2005 11:19
Das Löschen funktioniert nicht, weil es sich um einen laufenden Prozess handelt, der durch eine Regsitryeintrag mit jedem Systemstart aufgerufen wird. Du musst den Prozess vorher beenden um die Datei löschen zu können.

Versuchs mal damit: http://www.sysinternals.com/ntw2k/fr.../procexp.shtml

Downloadlinks am Ende der Seite, bitte für dein Betriebssystem auswählen.

Danach müssen noch die Autostarteinträge in der Registry gelöscht werden.

Erstelle mal ein Hijackthis-Logfile.

Chris14 09.04.2005 11:22
@sagamore bist du dir bei einem backdoor wirklich sicher das system zu bereinigen? nur mal so der link zu dem trojaner:
http://www.sophos.de/virusinfo/analy...jafcoreaj.html

gary 09.04.2005 11:23
Hier noch eine Alternative KillBox gary

Finnstroem 09.04.2005 11:31
Zitat:
Zitat von Chris14
@sagamore bist du dir bei einem backdoor wirklich sicher das system zu bereinigen? nur mal so der link zu dem trojaner:
http://www.sophos.de/virusinfo/analy...jafcoreaj.html

Hi!

Soll ich Deiner Antwort entnehmen, daß Du bei einem "Backdoor" eher für ein Neuaufsetzen des Systems bist?

Grüße, Finnstroem

P.S.: Vielen Dank an dieser Stelle für Eure schnellen Antworten!!!

Chris14 09.04.2005 11:33
jep. ich frage mich, warum der aspekt des "pc formatieren bei kompromittierung" plötzlich so ignoriert wird.

Rene-gad 09.04.2005 11:36
@Finnstroem
Zitat:
Soll ich Deiner Antwort entnehmen, daß Du bei einem "Backdoor" eher für ein Neuaufsetzen des Systems bist?
Und nicht nur er. Hier bitte lesen.
Zitat:
You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there....The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.

Sagamore 09.04.2005 11:40
Zitat:
Zitat von Chris14
jep. ich frage mich, warum der aspekt des "pc formatieren bei kompromittierung" plötzlich so ignoriert wird.
Du hast Recht, dass ich diesen Umstand besser hätte erwähnen sollen.

Als Nachtrag daher die Pflichtlektüre:
http://www.trojaner-board.de/showthread.php?t=12154

Wenn es Finnstroem nix ausmacht, besser Neuaufsetzen, alles andere ist nur Flickschusterei.

Lesetipp: http://www.trojaner-board.de/showthread.php?t=12784

Asche auf mein Haupt! :D

Finnstroem 09.04.2005 11:58
Hallo zusammen!

Also, vielen Dank für Eure Antworten.

Ich bin gerne für die sichere Variante und lege mein System neu an. Wie sieht es mit der Datensicherung aus?

Ich habe zwei Festplatten: Auf der ersten gibt es zwei Partitionen:

1. Partition: Windows und alle Programm
2. Partition: der Ordner "Eigene Dateien" mit allen Daten

Die zweite Festplatte hat drei Daten-Partitionen für Filme, Fotos, etc.

Hier meine Fragen:

1. Reicht es, wenn ich die Windows/Programm-Partition neu mache oder ist zu befürchten, daß der Virus auch auf den anderen Partitionen wütet?

2. Wenn ich Daten sichern möchte und sie vor dem System-Reset noch von den Platten runterbrenne, kann es dann sein, daß mir der Virus auch auf meine Sicherungs-CDs gerät?

Grüße, Finnstroem

Finnstroem 09.04.2005 12:01
Und noch eine Frage fällt mir ein:

(Bin gerade ganz groß am System neu installieren - der Rechner einer Freundin steht hier neben meinem eigenen und hat einen Worm/RBot)

Was schlagt Ihr an Partitionen vor:

Die Platte vom PC der Freundin hat 76 GB. Möchte vielleicht eine Partition für Windos, eine für die Programm und eine für die Daten machen.

Wie sehr Ihr das und wie groß würdet Ihr die Partitionen machen?

Grüße, Finnstroem

Sagamore 09.04.2005 12:06
Zitat:
Zitat von Finnstroem
Und noch eine Frage fällt mir ein:
Die Platte vom PC der Freundin hat 76 GB. Möchte vielleicht eine Partition für Windos, eine für die Programm und eine für die Daten machen.
Hier ein Hinweis zur Installation, Partitionierung und Absicherung:

http://www.trojaner-board.de/showthread.php?t=9546

Rene-gad 09.04.2005 12:08
@Finnstroem
Zitat:
Reicht es, wenn ich die Windows/Programm-Partition neu mache oder ist zu befürchten, daß der Virus auch auf den anderen Partitionen wütet?
Rein theoretisch würde es reichen, wenn man nur die Systempartition platt macht. Praktisch aber müssen alle Dateien an allen Partitionen, als mögliche Quelle der bestehenden und, ergo einer künftigen Infection betrachtet werden.
Die Backdoors befallen nur die Systemdateien, um das System in die vorgegebene Richtung umzuschalten, somit schließe ich die Infizierung einer Word- oder Excel-Datei hier aus. Die Dateien, die über P2P oder IM heruntergeladen wurden, fallen dagegen stark unter Verdacht, verseucht zu sein. Dito - die E-Mail-Anhänge.
Also einen Check mit einem, besser mit 2, aktuellen Antivirus-Programmen würde ich für die Datenbereiche jedenfalls empfehlen.

Finnstroem 09.04.2005 12:20
O.K., Renegade, das heißt, ich installiere das system neu und checke hinterher die datem?

Oder soll ich zuerst die Daten checken und dann entscheiden, wie es weitergeht?

Und was ist bei einer Datensicherung? Muß ich Angst haben, daß mir auf meinen CD-Roms, auf die ich vor der System-Installation noch meine Daten sichere, hinterher auch der Virus drauf ist?

Rene-gad 09.04.2005 12:26
@Finnstroem
Zitat:
ich installiere das system neu und checke hinterher die datem?
Oder soll ich zuerst die Daten checken und dann entscheiden, wie es weitergeht?
Zitat:
...a fully compromised system can’t be trusted. Even virus scanners must at some level rely on the system to not lie to them.
Quelle
Alles klar? ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:03 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28