Backdoor.Win32.Afcore.ca - Entfernung bisher erfolglos

Finnstroem · 09.04.2005, 11:04

Hallo!

Hoffe, mir kann hier geholfen werde: Bin schon seit Tagen hier im Forum auf der Suche nach Hilfe, aber hatte bisher keinen Erfolg. Daher jetzt hiermeine eigene Anfrage:

- eScan meldet den Virus: Backdoor.Win32.Afcore.ca
- befallen ist die Datei: c:\windows\system32\wmadfoe.dll

Entfernung der Datei war bisher nicht möglich, habs unter der Dos-Eingabeaufforderung versucht.

Neustart des Rechners im abgesicherten Modus geht überhaupt nicht, er stürzt immer wieder ab.

Außerdem meldet eScan auch noch einige Spyware, die Spybot nicht findet.

Wer kann mir helfen, all den Mist wieder loszuwerden?!

Vielen Dank schon mal für die Mühe und bis hoffentlichbald,

Finnstroem

Sagamore · 09.04.2005, 11:19

Das Löschen funktioniert nicht, weil es sich um einen laufenden Prozess handelt, der durch eine Regsitryeintrag mit jedem Systemstart aufgerufen wird. Du musst den Prozess vorher beenden um die Datei löschen zu können.

Versuchs mal damit: http://www.sysinternals.com/ntw2k/fr.../procexp.shtml

Downloadlinks am Ende der Seite, bitte für dein Betriebssystem auswählen.

Danach müssen noch die Autostarteinträge in der Registry gelöscht werden.

Erstelle mal ein Hijackthis-Logfile.

Chris14 · 09.04.2005, 11:22

@sagamore bist du dir bei einem backdoor wirklich sicher das system zu bereinigen? nur mal so der link zu dem trojaner:
http://www.sophos.de/virusinfo/analy...jafcoreaj.html

Finnstroem · 09.04.2005, 11:31

Zitat:

Zitat von Chris14

@sagamore bist du dir bei einem backdoor wirklich sicher das system zu bereinigen? nur mal so der link zu dem trojaner:
http://www.sophos.de/virusinfo/analy...jafcoreaj.html

Hi!

Soll ich Deiner Antwort entnehmen, daß Du bei einem "Backdoor" eher für ein Neuaufsetzen des Systems bist?

Grüße, Finnstroem

P.S.: Vielen Dank an dieser Stelle für Eure schnellen Antworten!!!

Chris14 · 09.04.2005, 11:33

jep. ich frage mich, warum der aspekt des "pc formatieren bei kompromittierung" plötzlich so ignoriert wird.

Sagamore · 09.04.2005, 11:40

Zitat:

Zitat von Chris14

jep. ich frage mich, warum der aspekt des "pc formatieren bei kompromittierung" plötzlich so ignoriert wird.

Du hast Recht, dass ich diesen Umstand besser hätte erwähnen sollen.

Als Nachtrag daher die Pflichtlektüre:
http://www.trojaner-board.de/showthread.php?t=12154

Wenn es Finnstroem nix ausmacht, besser Neuaufsetzen, alles andere ist nur Flickschusterei.

Lesetipp: http://www.trojaner-board.de/showthread.php?t=12784

Asche auf mein Haupt!

Rene-gad · 09.04.2005, 11:36

@Finnstroem

Zitat:

Soll ich Deiner Antwort entnehmen, daß Du bei einem "Backdoor" eher für ein Neuaufsetzen des Systems bist?

Und nicht nur er. Hier bitte lesen.

Zitat:

You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there....The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.

gary · 09.04.2005, 11:23

Hier noch eine Alternative KillBox gary

Backdoor.Win32.Afcore.ca - Entfernung bisher erfolglos

Log-Analyse und Auswertung: Backdoor.Win32.Afcore.ca - Entfernung bisher erfolglos