Hallo, ich bin mal wieder.

Vor gut einer stunde hatte ich mir einen backdoor trojaner in einem Programm heruntergeladen. Kav hat ihn sofort erkannt und ich hab ihn sofort löschen lassen. Habe dann nach dem backdoor bei google gesucht und auch was gefunden, z.B. wie man ihn löscht. Nun merke ich, dass sich der trojaner trotzdem installiert hat: Bei windows start: explorer: 0 remote access
und Kernel32.dli im Hintergrund.

Damit ich eure Hilfe in anspruch nehmen kann, muss ich ja den Backdoor-typ kennen, da ich den aber vergessen hab frage ich mich nun, wo die lögfiles von KAV sind, ich finde nur die reporte meiner letzten vollscans


NetDevil 1.5 ist der Name, bitte helfen, wie ich den sauber entfernen kann. Danke

HKLM\Software\Microsoft\Windows\CurrentVersion\Run "kernel32" (nachträgliche bedenken)
HKEY_CLASSES_ROOT\.dlI "(Default)"
HKCR\dlIfile\shell\open\command "(Default)"

das habe ich gelöscht, das war von dem backdoor (ich hoffe das es der erste eintrag auch war)

[ 05. August 2003, 16:27: Beitrag editiert von: Darkbeat ]

Offenbar hast du nicht alle betreffenden RegistryKeys bereinigt.
Hier ist noch eine Entfernungsanleitung
für NetDevil, mit weiteren Angaben:
http://www.waynescomputerworld.com/netdevilfix.html

Nach getaner Handarbeit den Rechner neu im abgesicherten
Modus starten, alle Verzeichnisse und alle Dateien
nochmal scannen, infiziertes entfernen.

Das ist ja genau das problem, KAV hat nach dem löschen der zip datei nichts mehr gefunden, hab 2 mal den windows filder gescannt...
kernel32.dli war im system32 ordner, habe ich auch gelöscht

Kernel32.dli läuft nicht mehr im hintergrund nach reboot


der auf der seite beworbene virenscanner hat ebenfalls nichts gefunden.

[ 05. August 2003, 16:49: Beitrag editiert von: Darkbeat ]

Kernel32.dli ist keine Systemdatei gewesen, die Löschung war richtig.
http://securityresponse.symantec.com...tdevil.15.html

Wenn du nun also den gesamten Rechner mit KAV gescannt hast
( nicht nur den Windows-Folder), je nach BS zuvor die
Systemwiederherstellung deaktiviert hast (bei ME+XP),
KAV mit den o.g. Einstellungen nichts mehr findet,
ein Onlinescan auch nichts mehr meldet,
würde ich sagen, du bist ihn los.

Vielleicht waren es ja 2 Backdoors, einer der per Mail gekommen ist und den KAV erkannt hat, und einer der unerkannt im System war.Möglicherweise wurde der 2 Trojaner (der im System) gepatched, und zwar auf eine recht geschickte weise...