Problem mit Trojaner/Afcore.Q

#0
13.10.2003, 08:40
...neu hier

Beiträge: 6
#1 Ich hab gestern nen trojaner bei mir gefunden der heis TR/Afcore.Q und versteckt sich anscheinend in C:/WINDOWS/SYSTEM32:NJEATCI.DLL.
fackt is ich find die datei nicht und kann das ding nicht mittels meinem AV löschen, da es von irgendwas verwendet wird.
Kann mir jemand helfen das prob zu fixen?
Seitenanfang Seitenende
13.10.2003, 09:50
Moderator
Avatar joschi

Beiträge: 6466
#2 Hi Loki !
Hast Du die Registryzweige mal durchsucht nach verdächtigen Einträgen ?
s.a.: http://board.protecus.de/t6300.htm

Etwas übersichtlicher geht es auch mit dem Autostartmanager von http://toolpool.biz/Central/

Quelle Viruslist.com:

Zitat

Backdoor.Afcore.q

Afcore is a backdoor Trojan program that appears as a Windows application file (.dll file) with a size of about 110KB. The Trojan has numerous functions that give 'evildoers' almost full control of victim computers.

Infected message body text contains the following:

If you read this, then this program was probably stolen from our laboratory. Author of this software is not responsible for any harm that may be caused by incompetent or malicious persons who use this software possibly running on your machine. Therefore, please remove this software as soon as possible. Click the "Start" menu, select "Run", enter there: rundll32 ,Uninstall and click "OK"

Upon being launched (executed) the backdoor program installs itself into the supplemental file stream of the NTFS that is associated with the system32 catalog system.

The backdoor registers itself into the system registry auto run key:


HKLM\Software\Microsoft\Windows\CurrentVersion\Run (assigned name) =
rundll32 (path to the backdoor program),(options)

The file name is formed from a combination of arbitrary symbols.

The backdoor program has several options that it can use:

DebugBreakpoint
DebugInit
Init
InitService
SpawnedInit
Uninstall

To remotely uninstall itself from victim machines the backdoor uses the following command:


rundll32 ÄÉÓË:\%windir%\system32:(name of the backdoor.dll file),Uninstall

When the uninstall command is sent, the afcore virus uninstalls itself from the system registry and remaining only in the file stream and is no longer managed by the start system. To remove the afcore backdoor program from the file stream it is necessary to use a special utility.


oder:
http://www.f-secure.com/v-descs/afcore_q.shtml
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
13.10.2003, 10:36
Member
Avatar Xeper

Beiträge: 5291
#3 @joschi

C:/WINDOWS/SYSTEM32:NJEATCI.DLL

Wird Windows jetzt doch endlich UNIX konform - wann verschwinden endlich die Laufwerke? ;)
Sach mir bitte bescheid wenns soweit ist :p
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
13.10.2003, 17:48
...neu hier

Themenstarter

Beiträge: 6
#4 sorry aba gibts den obenstehenden text auch auf deutsch?
bin nicht gut in englisch
Seitenanfang Seitenende
13.10.2003, 19:37
Moderator
Avatar joschi

Beiträge: 6466
#5 Nein, habe nichts vergleichbares auf Deutsch gefunden.
Aber es gibt Seiten wie leo.org oder auch Google bietet einen Übersetzungs-Service (...auch ganze Textpassagen oder Seiten).

Mit
rundll32.exe \%windir%\system32:(name of the backdoor.dll file),Uninstall
über Start, Ausführen sollte es aber auch getan sein.
Zusätzlich wie oben beschrieben auch die Registryzweige checken, bzw. säubern
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
13.10.2003, 19:57
...neu hier

Themenstarter

Beiträge: 6
#6 wenn ich "rundll32.exe \%windir%\system32:NJEATCI.dll,Uninstall" eingebe sagt er mir das er das modul nicht finden konnte
Seitenanfang Seitenende
13.10.2003, 21:58
Moderator

Beiträge: 7805
#7 Kaempfe dich mal durch den Thread: http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic&f=12&t=002303
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.10.2003, 22:30
...neu hier

Themenstarter

Beiträge: 6
#8 ich hab versucht was raman meinte hat nicht geholfen, hab ka wieso ich den nicht weg krig.
Seitenanfang Seitenende
13.10.2003, 23:54
...neu hier
Avatar Cp6o

Beiträge: 8
#9 Oft hilft es wenn du dein Rechner frisch startest und dann sofort den Trojaner löscht. Wenn du glück hast ist er in der Anfangsfase nicht im Betrieb. So habe ich 3 Trojaner terminiert.
__________
Mit dem Internet bist du nie allein, ob du es willst oder nicht.
Seitenanfang Seitenende
14.10.2003, 09:12
Moderator
Avatar joschi

Beiträge: 6466
#10 Ich würde gerne mal das Protokoll des Virenscanners hier gepostet sehen.

Zitat

....Fakt is ich find die datei nicht...

...und der Virenscanner, findet er die Datei noch ? Welcher wird denn verwendet?
Ist denn unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run (assigned name) = rundll32 (path to the backdoor program),(options)
der Eintrag für die NJEATCI.DLL überhaupt vorhanden ?

Bitte um ein paar klare Aussagen auf meine Fragen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
14.10.2003, 10:20
Moderator

Beiträge: 7805
#11

Zitat

Loki postete
hab ka wieso ich den nicht weg krig.


Hast du dir den Thread von Anfang bis Ende durchgelesen? Der ist wirklich informativ. Besonders die Postings vom HBEDV Mitareiter. Du haettest noch die Moeglichkeit den Rechner im Abgesicherten Modus zu starten, dann deinen Virenscanner, dann den Explorer mit hilfe des Taskmanagers abschiessen und den scanner dann scannen lassen.
Aber wie bereits gesagt der Tipp, die DLL zu entladen/deinstallieren ist natuerlich genial und einfacher. Ist in dem Thread schoen beschrieben.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.10.2003, 22:15
...neu hier

Themenstarter

Beiträge: 6
#12 ich muss es mal so sagen mein av findet den trojaner auch nicht aber mein kontroll programm und das is das einzige das ihn sieht.
und ja bei run steht njeatic mit drin.
ich benutze den Antivir personaledition
Seitenanfang Seitenende
14.10.2003, 22:48
Moderator
Avatar joschi

Beiträge: 6466
#13 tjo....also nochmal:
Hast Du Dir wie oben schon gesagt den Autostartmanager runtergeladen ?
Entweder mit diesem Tool den Eintrag in der registry entfernen oder eben von Hand löschen.
Was dein Kotrollprogramm zum Alarm verhilft, ist evtl genau dieser Eintrag, kann das sein ? Auf jeden Fall: Weg damit !
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
14.10.2003, 22:50
...neu hier

Themenstarter

Beiträge: 6
#14 der kommt immer wieder sooft ich den auch lösche und reboote
Seitenanfang Seitenende
14.10.2003, 22:52
Moderator
Avatar joschi

Beiträge: 6466
#15 Schön, dass man die Informationen so tröpchenweise erhält.
Ich halte mich hier jetzt raus.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: