Help - BDS/Afcore blockiert alles
 

Hallo zusammen,
ich hoffe, ihr könnt mir helfen.

Habe seit soeben die Meldung,dass eine meiner dlls eine Signatur des Backdoorprogrammes BDS/Afcore.AH2 enthält. Mein Antivir würde ja gerne löschen, verschieben, umbennen, nur blockiert der der Mist jegliche Option. Ich kann Antivir auch nicht ausschalten, das Ding hat sich festgehakt. Von Hand löschen ist auch nicht drin... :headbang:

Wer kann mir bitte helfen diesen Mist zu entfernen.

Vielen Dank
Sorceress

Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Anschließend poste mal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Hier mein Log.
Hab Trendmicro drüberlaufen lassen, a², Spybot,TrojancheckGuard installiert, nix.... ich wette, wenn ich Antivir wieder draufmache, erzählt er mir, dass die Datei infiziert ist.
Die Datei lässt sich natürlich auch nicht löschen oder umbenennen....

Danke im Voraus fürs schauen.

Logfile of HijackThis v1.97.7
Scan saved at 21:02:41, on 28.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Meine empfangenen Dateien\mwav.exe
C:\WINDOWS\System32\notepad.exe
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://h7539.serverkompetenz.net/wbb/portal.php
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {098536DC-36BE-2D60-618F-129DCC876DFF} - C:\WINDOWS\System32\kbdgan.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/ado...etaStream3.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8213.447337963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Bitte benutze die aktuelle Version von HijackThis ( 1.98.2 )

Ups sorry, hatte die falsche Datei gestartet.


Logfile of HijackThis v1.98.2
Scan saved at 21:33:44, on 28.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://h7539.serverkompetenz.net/wbb/portal.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: kbdgan - {098536DC-36BE-2D60-618F-129DCC876DFF} - C:\WINDOWS\System32\kbdgan.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/ado...etaStream3.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

Fixe mit HijackThis dies:

O2 - BHO: kbdgan - {098536DC-36BE-2D60-618F-129DCC876DFF} -
C:\WINDOWS\System32\kbdgan.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/ad...MetaStream3.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Lösche die Datei C:\WINDOWS\System32\kbdgan.dll im abgesicherten Modus.

@Sorceress

du könntest dein system mal wieder updaten

chaosman

kbdgan.dll lässt sich nicht löschen, auch nicht im absgesicherten modus.

@chaosman... falls du das sp2 meinst, da verzichte ich aufgrund der bugs momentan noch dankend drauf.
ich sitze hier mit 3 pcs, dieser eine hier sollte eigentlich gar nicht ins web, sondern nur als 3d workstation dienen. leider hatte ich heute kids zu besuch, die sich auch an diesem pc verbotenerweise zu schaffen gemacht haben.

@Sorceress
*Christian* schrieb
"Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Anschließend poste mal ein HijackThis-Log: www.klaffke.de"


hast du das schon gemacht?

chaosman

@chaosman... wenn ich richtig lese und ich denke, ich kann richtig lesen...heisst es.. scanne zuerst und poste dann... und lass mich überlegen... ja ich habe gescannt und dann gepostet.

und um deiner nächsten frage zuvorzukommen... weder blond noch blauäugig.
leider weiß ich nicht, wo sich die kids innerhalb von 10 minuten rumgetrieben haben, sonst müsste ich diese blödsinnige entfernungsprozedur nicht mitmachen.

sorry chaosman, aber nicht jede frau die am pc sitzt hat grundsätzlich keinerlei ahnung.

@Sorceress

war nicht böse gemeint,
viele lesen zwar schnell, scannen und posten dann wieder.
sie vergessen oft vorher in den abgesicherten modus zu gehen, und die XP systemwiederherstellung auszuschalten.
nach dem neustart kann man den wieder einschalten.
das hat du natürlich gemacht, oder? :D
hast du keinen virenscanner auf dein system?
chaosman

Friede sei mit dir. :snyper:

Ich geh mal davon aus, dass ich mittlerweile übermüdet und genervt bin.

Und ja hab ich gemacht. Und jetzt mach ich die Kisten aus und werde mich morgen dem Problem nochmal in aller Ruhe widmen. Nix für ungut Chaosman, heute ist nicht mein Tag, mir hat so ein Mist wirklich noch gefehlt. :teufel1:

Vielleicht hab ich ja morgen noch die göttliche Eingebung.
Cya tomorrow.

Edith nachwerf: Doch ich hatte Antivir drauf, seit vorgestern das dritte Update drauf, und der hat mir die Datei auch angezeigt und blockiert. Nur bremst der Mist alles aus, so dass ich Antivir deinstallieren musste um überhaupt irgendwas am PC machen zu können.

@Sorceress

versuche raus zu finden mit welchem programm diese dll zusammenarbeitet.
dann beende dieses programm, und lösche den dll.

ansonsten fällt mir spontan nix mehr ein.

chaosman

Moin *gähn*... wie müsste ich das machen? Im Autostart hat sich mal nix versteckt. In der config seh ich auch nix... das einzige.. die Registry von Hand zu Fuss zu durchsuchen. Aber da wäre es ja einfacher mir XP nochmal draufzurödeln... nunja, schau mer mal heut mittag.

Danke noch für die Tips. Ich schrei, wenns nimmer weiter geht.

Ich weiss nicht genau, ob es exakt dieselbe Version ist, aber hier zumindest einige Infos zu einem nahen Verwandten:

http://www.f-secure.com/v-descs/afcore_q.shtml
http://www.sophos.de/virusinfo/analy...jafcoreaj.html

Dort wird zumindest F-secure als möglicher Workaround empfohlen, beim Scanner nicht auf Nachfrage sondern auf automatische Entfernung zu stellen.

Andererseits handelt es sich hier um ein Backdoorprogramm mit weitreichenden Manipulationsmöglichkeiten, wenn es tatsächlich aktiv war, würde ich zu einer Neuinstallation raten. Auch wenn du das meiste sicher selbst weiß:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen