</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion:
ich hab die Zeilen verschoben, was passiert wenn ich sie mal irrtuemlich loesche?</font>[/QUOTE]Welche Zeilen?

</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
@mmk: naja ich hätte sie gelöscht aber dann (Quarantäne) ist es klar.</font>[/QUOTE]Die Gründe für das Nicht-Löschen sondern das stattdessen empfohlene Verschieben in Quarantäne sind die folgenden:

1.) Mit Hilfe der Datei wird eine exakte Identifizierung möglich.
2.) Sie sollte den Signaturen der AV-Programme hinzugefüht werden, damit eine Erkennung gewährleistet ist. Und in diesem Fall liegt zumindest schon einmal von KAV keine Erkennung vor. </font>[/QUOTE]OT @ mmk:
Flasch verstanden: Ich für mich auf meinem PC hätte sie OHNE Virenscanner gelöscht.

Mit AV-Programm bzw. mit Erkennung durch das AV-Programm als Malware ist das was anderes. Und wenn Du dann damit noch was nützliches(!) anstellen kannst schon dreimal.

</font><blockquote>Zitat:</font><hr />OT @ mmk:
Flasch verstanden: Ich für mich auf meinem PC hätte sie OHNE Virenscanner gelöscht.</font>[/QUOTE]OK, Ack. Ich schreibe auch gerade an einer Anleitung zur Entfernung der restlichen Malware.

</font><blockquote>Zitat:</font><hr />Und wenn Du dann damit noch was nützliches(!) anstellen kannst schon dreimal.</font>[/QUOTE]Jepp, so ist's gedacht. [img]smile.gif[/img]

Befolge bitte folgende Anleitung Schritt für Schritt:

1.) Öffne erneut den Taskmanager, markiere und beende sodann die folgenden Prozesse:

C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\syslaunch.exe

Gehe dann in die entsprechenden Ordner und verfahre wie bereits bei der msconfig32.exe geschehen (Dateien ausschneiden und dann in einen anderen Ordner einfügen).

Rufe HijackThis auf, klicke "Scan". Setze dann neben den folgenden Einträgen einen Haken:

O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [iehelper] C:\Program Files\syslaunch.exe
O4 - HKLM\..\Run: [Microsoft Config Loader] msconfig32.exe
O4 - HKLM\..\RunServices: [Microsoft Config Loader] msconfig32.exe
O4 - HKCU\..\Run: [sws.exe] c:\program files\GlobalDialer\domer00046\gd-domer00046_de.exe -remove

...und wähle sodann "Fix Checked".


Jetzt bleibt noch die Entfernung des Backdoor.Afcore:

Mache nun Folgendes:

1.) Klicke &gt;Start &gt;Ausführen.
2.) Gibt dort die folgenden drei Buchstaben ein: CMD
3.) Drücke die Enter-Taste.
4.) Im nun erschienenen DOS-Fenster gib ein:
rundll32 C:\WINDOWS\System32:auwaknb.dll,Uninstall
5.) Drücke erneut die Enter-Tastee.
6.) Der Trojaner sollte deinstalliert sein - entferne ggf. verbliebene
Reste mit Hilfe von HijackThis bzw. poste danach ein neues LogFile!

[ 25. Januar 2004, 16:40: Beitrag editiert von: mmk ]

WICHTIG @ bigcunfusion
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:

Jetzt bleibt noch die Entfernung des Backdoor.Afcore:

Mache nun Folgendes:

1.) Klicke &gt;Start &gt;Ausführen.
2.) Gibt dort die folgenden drei Buchstaben ein: CDM
3.) Drücke die Enter-Taste.
</font>[/QUOTE]Muss heißen CMD

Hat sich erledigt!
kann leider Beitrag nicht löschen

</font><blockquote>Zitat:</font><hr />Muss heißen CMD</font>[/QUOTE]Danke - hab zu schnell getippselt.

Ich bin soweit durch auf den dos command hab ich folgenden Fehler bekommen

errror in C:\windows\system32:cuwaknb.dll
missing entry uninstall

Du hast dich vertippt: "a" statt "c" am Anfang des Daitenamens der dll:

auwaknb.dll

hab mich auch vertippt,

heisst richtig

errror in C:\windows\system32:auwaknb.dll
missing entry uninstall

im moment hat meine dos zeile noch folgenden vorlauf

c:\ documetns and settings\Axel&gt;

ich denk das ist nicht so gedacht

was soll ich tun?

Axel

Stelle sicher, dass du den Pfad zur Datei korrekt eingegeben und dich nicht vertippt hast. Führe die Prozedur ggf. im abgesicherten Modus durch!

Sollte auch dies erfolglos bleiben, halte dich an diese Anleitung:
http://www.trendmicro.com/vinfo/viru...=BKDR_AFCORE.D


Des Weiteren: Wie sieht es inzwischen aus bei dir? Was hast du derweil durchgeführt? Welche Probleme bestehen noch, und welche nicht mehr?

Nächster Schritt sollte nun sein, den aktuellen RPC-Patch für Windows zu installieren, da sich der Backdoor.Agobot (welcher als solcher leider noch nicht eindeutig indentifiziert werden konnte -&gt; ich warte da noch immer auf die Datei von dir ) ebenfalls wie der Blaster über die RPC-Sicherheitslücke verbreitet.

Hi Markus, Shadow, Christian,

mein NAV laeuft jetzt, ich hoffe es war klug die installation in der Zwischenzeit zu machen.

Markus Liste ist abgearbeitet jedoch ohne den letzten Punkt. Wird NAV das erledigen?

Ich hab mir hier die Nacht um die Ohren geschlagen aber ich denke es war absolut lohnenswert. Danke fuer eure Hilfe.

Ich hab den beiden msconfig32 files an Markus geschickt, hoffentlich hilft es euch weiter die armen Verzweifelten wieder an das internet glauben zu lassen.

Fuer mich werde ich meinen Benutzernamen in no confusion aendern.

Herzlichen Dank nochmals.

Wenn Ihr noch iregend welche tips fuer mich und meinen Rechner habt und obendrein noch musse (mir fehlt dass scharfe S auf der Tastatur) mir die zu schreiben waere ich euch sehr dankbar.

Liebe Gruesse aus Californien

Axel

Das mit dem Aldi-PC von Shadow kannst schnell vergessen. Er ist immernoch einer der empfehlenswertesten.
[img]tongue.gif[/img]
Mit deinem scharfen "ß" kann ich dir leider nicht weiterhelfen.
Aber ein paar Tipps zur Sicherheit deines PC findest du hier: http://www.trojaner-info.de/report_pcsicherheit.shtml

Damit du solche Erlebnisse nicht so schnell wieder bekommst.

</font><blockquote>Zitat:</font><hr />Original erstellt von bigconfusion:
mein NAV laeuft jetzt, ich hoffe es war klug die installation in der Zwischenzeit zu machen.</font>[/QUOTE]Dass NAV läuft, weist zumindest darauf hin, dass es gelungen ist, den (wahrscheinlichen) Backdoor.Agobot zu enfernen.

</font><blockquote>Zitat:</font><hr />Markus Liste ist abgearbeitet jedoch ohne den letzten Punkt. Wird NAV das erledigen?</font>[/QUOTE]Wenn du mit dem "letzten Piunkt" den wahrscheinlichen Backdoor.Afcore meinst - nein! Hast du die Maßnahmen aus meinem letzten Posting zu diesem Thema durchgeführt? Mit welchem Erfolg?

</font><blockquote>Zitat:</font><hr />Ich hab den beiden msconfig32 files an Markus geschickt, hoffentlich hilft es euch weiter die armen Verzweifelten wieder an das internet glauben zu lassen.</font>[/QUOTE]Bisher kam noch nichts an, aber danke soweit!

</font><blockquote>Zitat:</font><hr />Herzlichen Dank nochmals.</font>[/QUOTE]Bitte, aber es sind noch ein paar Maßnahmen zu treffen, soweit noch nicht geschehen:
1.) Verifizierung / Entfernung des Afcore.
2.) Aufspielen des aktuellen RPC-Patches.
3.) Beenden der Systemwiederherstellung mit darauffolgendem Neustart.
4.) Ändern von Benutzernamen und Passwörtern, da dein System in erhbelicher Weise kompromittiert wurde.
5.) Willst du ganz sichergehen, solltest du das System gar komplett neu aufsetzen.

</font><blockquote>Zitat:</font><hr />Wenn Ihr noch iregend welche tips fuer mich und meinen Rechner habt...</font>[/QUOTE]Siehe dazu den Link von *Christian*.

Finally,

Norton hat seinen job getan.

das war das resultat&gt;

The compressed file natasha[1].exe within C:\Documents and Settings\My Documents\My Photos\Content.IE5\8HQZGT63\natasha[1].exe is a Dialer threat.
The compressed file 730968718.dat.file within C:\Program Files\YAW 3.5\Quarantäne\730968718.dat.file is a Dialer threat.
The compressed file gd-domer00046_de.exe within C:\gd-domer00046_de.exe is a Dialer threat.
The file C:\Documents and Settings\Axel\My Documents\My Music\msconfig32.exe is infected with the W32.HLLW.Gaobot.gen virus
The file C:\Documents and Settings\Axel\My Documents\My Music\msconfig32.exe.poly is infected with the W32.HLLW.Gaobot.gen virus.
The file C:\WINDOWS\system32\winhlpp32.exe is infected with the W32.HLLW.Gaobot.gen virus.
The file C:\WINDOWS\system32\audio.exe.tcf is infected with the Download.Trojan virus.
The file C:\WINDOWS\system32\audio.exe.tcf is infected with the Download.Trojan virus.
The file C:\Q121103.exe is infected with the Download.Trojan virus
The file C:\WINDOWS\wininet.exe is infected with the Download.Trojan virus.
The file C:\Program Files\YAW 3.5\Quarantäne\730968718.dat.file is a Dialer threat.
The compressed file Ajolie[1].exe within C:\Documents and Settings\Local Settings\Temporary Internet Files\Content.IE5\6IZOSZ3U\Ajolie[1].exe is a Dialer threat.
The compressed file Alavigne[1].exe within C:\RECYCLER\S-1-5-21-3592416314-684053459-2410149259-1005\Dc30\Alavigne[1].exe is a Dialer threat.
The compressed file Gamer.AG-geg-10260.exe within C:\WINDOWS\Gamer.AG-geg-10260.exe is a Dialer threat.
The file C:\gd-domer00046_de.exe is a Dialer threat.
The file C:\gd-domer00046_de.exe is a Dialer threat.
The compressed file natasha[1].exe within C:\Documents and Settings\My Documents\My Photos\Content.IE5\8HQZGT63\natasha[1].exe is a Dialer threat.

Ich hoffe es hilft euch

Axel