|
Hallo, KAVpro brachte gestern bei mir die Meldung den Backdoor Virus Afcore.ae gefunden zu haben. Ich wählte die Option zum löschen des Virus, was wohl auch geschah. Als ich nämlich im temporären Ordner nachsah (wo der Virus in einer .exe Datei war), konnte ich nichts mehr finden. Als ich heute den PC neustartete und online ging, brachte KAV wieder die Meldung den Virus gefunden zu haben. Diesmal wieder im temporären Ordner in einer anderslautenden .exe Datei. Ich löschte den Virus wieder und ließ danach mal den KAV Anti-Virus-Scanner laufen, jedoch ohne Ergebniss. Danach fand ich heraus, daß sich nach jedem Neustart und dem Versuch online zu gehen KAV wieder meldet, mit der Nachricht den Virus gefunden zu haben, immer in einer anderslautenden .exe Datei im temporären Ordner und ich diesen danach löschen kann [img]graemlins/heulen.gif[/img] . Meine Frage wäre nun, was ich tun kann um den wirklichen Urheber bzw. den vielleicht versteckten Afcore.ae Virus zu finden? Vielleicht hat sich der Virus auf dem Computer auch noch nicht ausgebreitet oder es läuft ein spezielles Programm, daß sich der Virus immer wieder herstellen kann? Leider kenne ich micht nicht so sehr mit diesem Thema aus.... Danke für jede Hilfe im voraus. |
shau mal hier: http://www.trendmicro.com/vinfo/viru...CORE.D&VSect=T Vieleicht findet KAV die Dropper Datei nicht? Poste mal ein Hijcakthis log ( www.hjt.klaffke.de) und/oder versuche den Cleaner von KAV: ftp://ftp.kaspersky.com/utils/clrav.zip |
Hallo, das mit dem KAV Removal-Tool habe ich gestern schon probiert, es wurde aber nichts gefunden. Hier mal das Hijack This-Log, vielleicht kann mir jemand damit weiterhelfen: Logfile of HijackThis v1.97.7 Scan saved at 19:33:44, on 04.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\sstray.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\Speed Disk\nopdb.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Christian.GIGAN\Eigene Dateien\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [vabkib] "C:\WINDOWS\System32\vabkib.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - Startup: Kaspersky Anti-Virus Monitor.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\AvpM.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {13B03B06-C0DF-4522-BDBA-E0B2365C72A5} (Flatcast Viewer 4.7) - http://www.1mal1.com/flatcast/NpFv47.dll O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...862.1885300926 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/kdx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D0ECCDDB-D3D9-4749-A1E7-F52E48BCDB17}: NameServer = 212.185.252.73 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3361FFA-3866-4C13-92F9-5A7A33B4FA70}: NameServer = 192.168.122.252,192.168.122.253 |
moin, das, was mir auf den ersten blick auffällt, ist dieser eintrag hier: </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [vabkib] "C:\WINDOWS\System32\vabkib.exe" </font>[/QUOTE] |
Schicke die Datei mal an virus@rokop-security.de |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board