Hallo,

KAVpro brachte gestern bei mir die Meldung den Backdoor Virus Afcore.ae gefunden zu haben. Ich wählte die Option zum löschen des Virus, was wohl auch geschah.
Als ich nämlich im temporären Ordner nachsah (wo der Virus in einer .exe Datei war), konnte ich nichts mehr finden.

Als ich heute den PC neustartete und online ging, brachte KAV wieder die Meldung den Virus gefunden zu haben. Diesmal wieder im temporären Ordner in einer anderslautenden .exe Datei.
Ich löschte den Virus wieder und ließ danach mal den KAV Anti-Virus-Scanner laufen, jedoch ohne Ergebniss.
Danach fand ich heraus, daß sich nach jedem Neustart und dem Versuch online zu gehen KAV wieder meldet, mit der Nachricht den Virus gefunden zu haben, immer in einer anderslautenden .exe Datei im temporären Ordner und ich diesen danach löschen kann [img]graemlins/heulen.gif[/img] .

Meine Frage wäre nun, was ich tun kann um den wirklichen Urheber bzw. den vielleicht versteckten Afcore.ae Virus zu finden?
Vielleicht hat sich der Virus auf dem Computer auch noch nicht ausgebreitet oder es läuft ein spezielles Programm, daß sich der Virus immer wieder herstellen kann?
Leider kenne ich micht nicht so sehr mit diesem Thema aus....
Danke für jede Hilfe im voraus.

shau mal hier: http://www.trendmicro.com/vinfo/viru...CORE.D&VSect=T

Vieleicht findet KAV die Dropper Datei nicht? Poste mal ein Hijcakthis log ( www.hjt.klaffke.de) und/oder versuche den Cleaner von KAV: ftp://ftp.kaspersky.com/utils/clrav.zip

Hallo,

das mit dem KAV Removal-Tool habe ich gestern schon probiert, es wurde aber nichts gefunden.

Hier mal das Hijack This-Log, vielleicht kann mir jemand damit weiterhelfen:

Logfile of HijackThis v1.97.7
Scan saved at 19:33:44, on 04.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Speed Disk\nopdb.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christian.GIGAN\Eigene Dateien\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [vabkib] "C:\WINDOWS\System32\vabkib.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: Kaspersky Anti-Virus Monitor.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {13B03B06-C0DF-4522-BDBA-E0B2365C72A5} (Flatcast Viewer 4.7) - http://www.1mal1.com/flatcast/NpFv47.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...862.1885300926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0ECCDDB-D3D9-4749-A1E7-F52E48BCDB17}: NameServer = 212.185.252.73 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3361FFA-3866-4C13-92F9-5A7A33B4FA70}: NameServer = 192.168.122.252,192.168.122.253

moin,

das, was mir auf den ersten blick auffällt, ist dieser eintrag hier:

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [vabkib] "C:\WINDOWS\System32\vabkib.exe" </font>[/QUOTE]

Schicke die Datei mal an virus@rokop-security.de