HAbe mir Alcra.B gefangen, -und bin überfordert

20.08.2005, 08:53
Member

Beiträge: 13
#1 Hallo zusammen,
Ich habe mir gestern (zwei Tage nach DSL Einrichtung) wohl den Wurm Alcr.B gefangen! AntiVir sagt mir jetzt alle 5 min. das die Datei winupdates die Signatur des Wurmes enthällt.
Was kann ich da machen???
Habe mein xp und AntiVir dierekt upgedatet, falls ihr sonst noch was braucht schreibt einfach!
Wäre echt nett wenn mir da jemand helfen könnte, da ich weiß Gott kein Experte bin!
Vielen Dank schonmal!!!
Seitenanfang Seitenende
20.08.2005, 09:05
Member

Beiträge: 291
#2 Könntest du bitte ein volständiges HijackThis Log erstellen?

http://80.237.140.193/downloads/hijackthis_199.zip
http://board.protecus.de/t9391.htm
Seitenanfang Seitenende
20.08.2005, 09:50
Member

Themenstarter

Beiträge: 13
#3 Jo, hoffe das wars wqas du gemeint hast!


Scan saved at 09:47:00, on 20.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\anti VIR\AVGUARD.EXE
D:\Programme\anti VIR\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DeltTray.exe
D:\Programme\anti VIR\AVGNT.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Player\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\programme\180searchassistant\salm.exe
C:\Programme\winupdates\winupdates.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\cidaemon.exe
D:\Documents And Settings\LimeWire\LimeWire.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\Office\Win Rar\WinRAR.exe
D:\Programme\Security\HijackThis.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.info/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programme\180searchassistant\salmhook.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\anti VIR\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Player\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://D:\PROGRA~1\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://start.online-dialer.com/MaConnect.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCF6F0F3-675B-4A58-AC8E-E34182A14875}: NameServer = 217.237.149.161 217.237.150.97
O18 - Filter: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msvsres.dll
O18 - Filter: text/plain - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msvsres.dll
O19 - User stylesheet: C:\WINDOWS\hh.htt (file missing) (HKLM)
O20 - AppInit_DLLs: cpan.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\anti VIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\anti VIR\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke schonmal für deine bemühungen, wenn ich das sehe!
Seitenanfang Seitenende
20.08.2005, 11:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Tobi79

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.info/
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programme\180searchassistant\salmhook.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://start.online-dialer.com/MaConnect.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O19 - User stylesheet: C:\WINDOWS\hh.htt (file missing) (HKLM)
O20 - AppInit_DLLs: cpan.dll

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

C:\WINDOWS\hh.htt
c:\programme\180searchassistant\salmhook.dll
C:\programme\180searchassistant\salm.exe
c:\programme\180searchassistant
C:\Programme\winupdates\winupdates.exe
C:\Programme\winupdates
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

deinstallieren:

Media Gateway

Zitat

A new Windupdates adware variant
WindUpdates is responsible for downloading adware.
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

loeschen/
C:\Programme\MyWay\myBar
c:\programme\180searchassistant
C:\Programme\winupdates
C:\Program Files\Media Gateway

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Microsoft Windows Antispy
http://virus-protect.org/ms.html

ewido (poste dasLog vom Scan)
http://virus-protect.org/ewido.html

•Ad-aware SE Personal
http://virus-protect.org/antispywaretools.html
Laden--> Updaten-->Konfigurieren
http://virus-protect.org/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen
--------------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2005, 12:08
Member

Themenstarter

Beiträge: 13
#5 Thanx Sabrina!!
Deine Anleitung scheint ja Idoit zu sein, .... nicht lachen, aber wie gehe ich in den abgesicherten Modus?? *schähm*
Seitenanfang Seitenende
20.08.2005, 12:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6

Zitat

Tobi79 postete
Thanx Sabrina!!
Deine Anleitung scheint ja Idoit zu sein, .... nicht lachen, aber wie gehe ich in den abgesicherten Modus?? *schähm*
das Idoit haettest du dir sparen koennen...

*gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
F8 druecken, wenn der PC hochfaehrt und sich als Administrator anmelden
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2005, 12:31
Member

Themenstarter

Beiträge: 13
#7 .... meinte auch "Idoit", war auf meine Unfähigkeit bezogen!
Sorry!
Seitenanfang Seitenende
20.08.2005, 12:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ach so...dann ist ja gut ;)
Arbeite alles ab .....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2005, 13:27
Member

Themenstarter

Beiträge: 13
#9 So bis zum CCleaner bin ich durch!
Aber wie sieht das denn mit dem Antispy- Programm aus?
Kann ich das denn so einfach machen, ohne das Mr. Gates mitbekommt, dass ich da lauter Programme auf dem Rechner habe die ich eigentlich gar nicht haben dürfte?
... Kostet das?
Ewido muss ich machen, ist klar! Und was ist mit der Ad-aware?
Seitenanfang Seitenende
20.08.2005, 13:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 er wird es nicht mitbekommen, du kannst es bedenkenlos laden (ueberdenke aber mal, ob du nicht besser alles korrekt/ legal auf deinem PC installiert bekommst, dann wirst du auch nie probleme haben und ueberfordert sein, wie du schriebst.
die 70 Euro fuer eine legale XP-Home-Version wirst du doch bestimmt haben....

Dann vermeide suspekt Progs zu laden...dann bleibt der PC auch sauber ;)

AdAware SE ist free und ewido 15 Tage free
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2005, 13:47
Member

Themenstarter

Beiträge: 13
#11 Windows ist sogar orginal (zwar geliehen aber immer hin!)

Aber die Probleme nehmen trotzdem kein Ende, ich kannden Vorgang nicht zu Ende führen, statt dessen geht ein Fenster auf das mir sagt:

mshta.exe - Abbild fehlerhaft
Die Anwendung oder dll C:\Windows\systhem32 msvsrers.dll ist keine gülltige Windows Datei.
Und weiterhin das ich dies mit der Startdikette(die ich nicht habe) Überprüfen soll!
Ich hoffe ich nerv dich nicht zu sehr!
Seitenanfang Seitenende
20.08.2005, 14:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 dann lasse MS und nehme die anderen Tools
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2005, 16:51
Member

Themenstarter

Beiträge: 13
#13 So da bin ich wieder!

Schon mal im voraus many many thanx to Sabina, for geduld und so!
Hier ist jetzt noch der letzte Scan von ewido...

ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 16:39:52, 20.08.2005
+ Report-Checksumme: 370876A8

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10} -> Spyware.MySearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F80-00104B107C96} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{53B95204-7D77-11D2-9F80-00104B107C96} -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\CLSID -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\CurVer -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav -> Spyware.KeenValue : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
:mozilla.22:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup
:mozilla.28:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.30:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.31:C:\Dokumente und Einstellungen\Tobias
C:\Dokumente und Einstellungen\Tobias Kroczek\Lokale Einstellungen\Temp\res46.tmp -> Spyware.180Solutions : Gesäubert mit Backup
C:\Programme\winupdates\a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-1123561945-813497703-854245398-1004\Dc1\1.bin\MY2NS.EXE -> Spyware.MyWay : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-1123561945-813497703-854245398-1004\Dc1\1.bin\MYWAYPLUGINPROXY.CLASS -> Spyware.MyWay : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-1123561945-813497703-854245398-1004\Dc1\1.bin\NPMYWAY.DLL -> Spyware.MyWay : Gesäubert mit Backup
C:\WINDOWS\base64.tmp -> Worm.Netsky.Q : Gesäubert mit Backup
D:\Programme\anti VIR\INFECTED\A.TMP.VIR -> Worm.VB.an : Gesäubert mit Backup
D:\Programme\Security\backups\backup-20050820-123420-458.dll -> Spyware.180Solutions : Gesäubert mit Backup


::Report Ende

... war ganz schön was los würd ich sagen!
Und nochmal vielen vielen Dank!
Seitenanfang Seitenende
20.08.2005, 21:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo@Tobi79

der ewido hat alles in den Backup "verstaut"...also diese bitte nie mehr zurueckspielen...am besten loeschen ;)

•Ad-aware SE Personal
http://virus-protect.org/antispywaretools.html
Laden--> Updaten-->Konfigurieren
http://virus-protect.org/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen-->poste den Report vom Scan

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2005, 10:19
Member

Themenstarter

Beiträge: 13
#15 Wie wende ich denn das Language pack an? Ich versuch die ganze Zeit zu updaten, aber er macht das nicht so wirklich,vielleicht komm ich da in Deutsch ein bißchen weiter!
Seitenanfang Seitenende