Ich hab ein Wurm (worm/alcra.b)!

Thema ist geschlossen!
Thema ist geschlossen!
#0
27.09.2005, 22:08
...neu hier

Beiträge: 1
#16 Logfile of HijackThis v1.99.1
Scan saved at 22:02:26, on 27.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\DigitalPersona\Bin\DPAgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\msmsgs.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\ANYCOM\Blue USB-120-240\BTTray.exe
C:\WINDOWS\system32\LVComS.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://spweb.whenu.com/installed.html?src=BearShare
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [DPAgnt] C:\Programme\DigitalPersona\Bin\DPAgnt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRA~1\MESSEN~1\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
Seitenanfang Seitenende
27.09.2005, 22:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Hallo@jo1985ker

warum postest du hier das Log vom HijackThis ? Waeren nicht einige Worte der Erklaerung angebracht ??????

lade dir mal LSPfix herunter:
http://www.spychecker.com/program/lspfix.html

Nach dem Starten hast du im linken Fenster einige Einträge und den Eintrag der in HijackThis ( spacklsp.dll ) auftauchte beförderst du vom linken Fenster Keep in das Fenster Remove und dann über Finish reparieren.

CCleaner--> loesche alle *temp-Datein

http://virus-protect.org/temp.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://spweb.whenu.com/installed.html?src=BearShare

PC neustarten

poste alle 4 Logs hier, bitte
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.10.2005, 14:29
...neu hier

Beiträge: 2
#18 Hi Leute!

könnt ihr mir bitte auch helfen? hab auch diesen "alcra.b worm"

Logfile of HijackThis v1.99.1
Scan saved at 13:58:42, on 02.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\pspvideo9\pspVideo9.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Dokumente und Einstellungen\Tom\Desktop\Neuer Ordner (2)\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://asiankiss.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PSPVideo9] C:\Programme\pspvideo9\pspVideo9.exe -t
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095011051500
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

datFind:

Verzeichnis von C:\WINDOWS\system32

02.10.2005 13:42 13'732 wpa.dbl
29.09.2005 18:16 391'000 perfh007.dat
29.09.2005 18:16 380'350 perfh009.dat
29.09.2005 18:16 52'764 perfc009.dat
29.09.2005 18:16 63'580 perfc007.dat
14.09.2005 20:27 786'220 PerfStringBackup.INI
09.09.2005 05:08 2'006'368 MRT.exe
24.08.2005 19:45 3'741 jupdate-1.5.0_04-b05.log
22.08.2005 23:39 400'045 Wav0000.wav
13.08.2005 21:41 118'784 sirenacm.dll
28.07.2005 16:50 98'304 CmdLineExt.dll
20.07.2005 04:04 3'012'096 mshtml.dll
08.07.2005 18:28 76'800 remotesp.tsp
08.07.2005 18:28 249'344 tapisrv.dll
03.07.2005 04:15 474'112 shlwapi.dll
03.07.2005 04:15 1'484'288 shdocvw.dll
03.07.2005 04:15 605'696 urlmon.dll
03.07.2005 04:15 664'064 wininet.dll
03.07.2005 04:15 39'424 pngfilt.dll
03.07.2005 04:15 146'432 msrating.dll
03.07.2005 04:15 448'512 mshtmled.dll
03.07.2005 04:15 1'019'904 browseui.dll
03.07.2005 04:15 96'768 inseng.dll
03.07.2005 04:15 152'064 cdfview.dll
03.07.2005 04:15 251'392 iepeers.dll
30.06.2005 04:05 119'296 umpnpmgr.dll
29.06.2005 03:49 254'976 icm32.dll
29.06.2005 03:49 74'240 mscms.dll
15.06.2005 19:49 295'936 kerberos.dll
11.06.2005 01:53 57'856 spoolsv.exe
03.06.2005 03:52 127'078 javaws.exe
03.06.2005 03:52 49'265 jpicpl32.cpl
03.06.2005 02:24 49'250 javaw.exe
03.06.2005 02:24 49'248 java.exe
27.05.2005 04:04 155'136 itircl.dll
27.05.2005 04:04 137'216 itss.dll
27.05.2005 04:04 41'472 hhsetup.dll
27.05.2005 04:04 546'304 hhctrl.ocx
26.05.2005 04:16 173'536 wuweb.dll
26.05.2005 04:16 41'240 wups.dll
26.05.2005 04:16 1'343'768 wuaueng.dll
26.05.2005 04:16 18'200 wups2.dll
26.05.2005 04:16 75'544 cdm.dll

Verzeichnis von C:\WINDOWS

02.10.2005 13:43 50 wiaservc.log
02.10.2005 13:43 1'521'764 WindowsUpdate.log
02.10.2005 13:42 2'048 bootstat.dat
01.10.2005 15:42 32'546 SchedLgU.Txt
01.10.2005 15:22 99'048 wmsetup.log
01.10.2005 14:28 49 NeroDigital.ini
30.09.2005 14:06 1'409 QTFont.for
30.09.2005 14:06 54'156 QTFont.qfn
29.09.2005 18:57 2'908 COM+.log
26.09.2005 20:22 957'687 setupapi.log
25.09.2005 23:57 1'125 winamp.ini
21.09.2005 18:31 10'267 cdPlayer.ini
24.08.2005 19:45 5'515 mozver.dat
15.08.2005 00:14 88'466 ntdtcsetup.log
15.08.2005 00:14 1'374 imsins.log
15.08.2005 00:14 61'487 iis6.log
15.08.2005 00:14 23'706 ocmsn.log
15.08.2005 00:14 161'698 tsoc.log
15.08.2005 00:14 145'400 comsetup.log
15.08.2005 00:14 36'380 KB899587.log
15.08.2005 00:14 219'642 ocgen.log
15.08.2005 00:14 21'019 msgsocm.log
15.08.2005 00:14 398'977 FaxSetup.log
15.08.2005 00:14 17'814 updspapi.log
15.08.2005 00:14 1'374 imsins.BAK
15.08.2005 00:14 35'479 KB899591.log
15.08.2005 00:14 35'804 KB893756.log
15.08.2005 00:14 34'584 KB896423.log
15.08.2005 00:14 36'014 KB896727.log
15.08.2005 00:13 26'786 KB899588.log
15.08.2005 00:13 26'311 KB894391.log
14.08.2005 17:30 622 win.ini
28.07.2005 16:20 86'664 DirectX.log
22.07.2005 15:57 15'975 yacs.log
17.07.2005 12:52 14'560 KB901214.log
17.07.2005 12:52 5'607 KB903235.log


Verzeichnis von C:\

02.10.2005 14:26 0 sys.txt
02.10.2005 14:23 8'445 system.txt
02.10.2005 14:19 225'164 systemtemp.txt
02.10.2005 14:17 100'991 system32.txt
02.10.2005 13:42 1'610'612'736 pagefile.sys
04.08.2005 22:55 5'644'846 AVSEQ14.wav
04.08.2005 22:54 793'846 Bodyslam - Chee wit pen kong rao.wav
29.09.2004 23:09 11 CONFIG.SYS
12.09.2004 20:23 397 BOOT.BKK
12.09.2004 20:23 397 boot.ini
12.09.2004 20:21 47'564 NTDETECT.COM
12.09.2004 20:21 251'184 ntldr
12.09.2004 19:17 0 MSDOS.SYS
12.09.2004 19:17 0 IO.SYS
12.09.2004 19:17 0 AUTOEXEC.BAT
02.04.2003 14:00 4'952 bootfont.bin

danke im voraus ;)[/u]
Dieser Beitrag wurde am 02.10.2005 um 14:44 Uhr von DarkDesire editiert.
Seitenanfang Seitenende
02.10.2005, 23:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Hallo@DarkDesire

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [PSPVideo9] C:\Programme\pspvideo9\pspVideo9.exe -t
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

PC neustarten

im datfindbat kann ich nichts sehen, also scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

P.S: schreibe mir bitte, wann und wo du dieses Tool geladen hast, ob eine CD dazugehoert usw. -->[PSPVideo9
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2005, 15:00
...neu hier

Beiträge: 1
#20 Hallo zusammen,

ich habe anscheinend auch diesen alcra.b worm. Könnte jemand mir bitte hierbei weiterhelfen?

Logfile of HijackThis v1.99.1
Scan saved at 14:50:08, on 03.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\WINDOWS\agfguard.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\TextBridge Pro 9.0\Bin\Ereg\Remind32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp\Rar$EX02.015\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 9.0\Bin\Ereg\Remind32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: ISDN Guard.lnk = C:\WINDOWS\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
Seitenanfang Seitenende
03.10.2005, 23:28
...neu hier

Beiträge: 2
#21 Hier noch mein Scan-Report von Ewido:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 23:25:07, 03.10.2005
+ Report-Checksumme: F0B18B48

+ Scanergebnis:

C:\Dokumente und Einstellungen\Tom\Complete\13 Metal Albums.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\3D Studio Max 7.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\ABBYY FineReader Professional 7.0.0.963.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\AbsoluteTelnet 3.85.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Acronis Disk Director Suite 9.0.549.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Apollo DVD Copy 4.20.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Ashampoo PowerUp XP Platinum 2 2.20.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\AutoRun Pro Enterprise 2.0.0.16.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Avant Browser 10.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Bee Gees - Number Ones.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Bizzare - Hannicap Circus.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\BlackICE PC Protection 3.6.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Blaze DVD Copy 3.5.9.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Boilsoft RM Converter 3.15.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\ClickAndHide.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\CodeLogic for C Sharp 2.0.0351.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\CuteFTP Pro 7.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Deep Forest - Comparsa.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Digital Media Converter 2.40.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\DirectX 9.0c Redistributable.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Download Studio 2.2.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\DSL speed up 2.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\dvd Copy Platinum 4.0.4.15.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\East-Tec Eraser 2005 6.0.0.125.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Easy Watermark 3.1.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\eBook Build Your Own Smart Home.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\eBook Mastering Java Server Faces.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\eBook Syngress Hacking the Code ASP.NE.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Elecard DVD Player 1.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Elecard Mobile Converter 1.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Elecard StreamEye Tools 2.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Erotic Lounge De Luxe.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Europe- Out of This World & The Final co.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\FantasyDVD Player Pro 8.22.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\File Mass Opener 1.13.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\File Security Manager 1.0.11.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\FileRecoveryAngel 1.04.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Filerecoveryangel 1.13.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\FlashGet 1.71.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Fleetmate 1.2.028.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\GFI LANguard Network Security Scanner 6.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Good Charlote-The Chronicles of Life.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\HistoryKill 2005.1.94.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Lavalys Everest Ultimate Edition 2.20.405.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Louis Armstrong - What A Wonderful World.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Magic DVD Copier 3.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\MSN Content Adder 2.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Natso Backup Pro 2005 4.21.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Nero 7 Premium.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Nickelback - The Long Road.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Nirvana - In Utero.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Office DocumentsRescue Pro 2.7.73.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\PaintshopPro 10.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Password Agent 2.3.4.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Paul McCartney - Chaos And Creation In T.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\PC Manager 1.20.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Phone Call Logger 2.3.7.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Photo2DVD Studio 4.8.0.1.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Power Backup 2.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Prince - The Rainbow Children.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\R.E.M. - The Best Of.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\RaceCar Engineering July 2005.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Remote Administrator 3.0.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Robbie Williams - Tripping.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Songs from Y McBEAL.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Soundtracks - Trainspotting II.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Spyware And Adware Removal 1.0J.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Strawbs - Burning For You.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Super Ad Blocker 1.0.0.1670.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\SuperVideoCap 4.19.390.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Systerac XP Tools 4.53.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\The Chemical Brothers - Dig your own hol.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Trapt - Someone in Control.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\WinAce 2.6.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Winamp 5.093 Pro.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\Windows 2003 SP1 8in1.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\WinMPG Video Convert 5.7.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\WinXP Manager 4.92.2.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Complete\ZZ Top - Greatest Hits.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@axa.addcontrol[1].txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@burstnet[2].txt -> Spyware.Cookie.Burstnet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@com[2].txt -> Spyware.Cookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@e-2dj6wjkyqhd5gap.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@oewabox[1].txt -> Spyware.Cookie.Oewabox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@paypopup[2].txt -> Spyware.Cookie.Paypopup : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@ppms.popularix[1].txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Tom\Cookies\tom@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winupdates.VIR -> Worm.VB.an : Gesäubert mit Backup
C:\Programme\winupdates\a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup


::Report Ende
Seitenanfang Seitenende
03.10.2005, 23:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Hallo@DarkDesire

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto

PC neustarten

KILLBOX<---falls die Dateien drauf sind, (oder nicht)...die killbox wird es anzeigen...probiere alles durch ;)
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\temp.zip
C:\x.txt
C:\z.txt
C:\z.tmp
C:\xz.exe
C:\WINDOWS\system32\p2pnetwork.exe
C:\WINDOWS\system32\scvhost.exe
C:\Programme\winupdates\winupdates.exe
C:\Programme\winupdates
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\bszip.dll

PC neustarten

ueberpruefe, ob das hier geloescht ist:
C:\Programme\winupdates
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.10.2005, 15:59
...neu hier

Beiträge: 2
#23 ich habe auf meinem pc den worm/alcra.b und ich weis nicht wie ich diesen wurm löschen kann!
ich hab gelesen wie ihr den anderen geholfen habt. bitte helft mir auch!
Seitenanfang Seitenende
07.10.2005, 00:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Hallo@Tim 1991

Info:W32/Alcra-B
http://virus-protect.org/artikel/spyware/alcrab.html

CCleaner
http://www.ccleaner.com/ccdownload.asp
(man bei CCleaner als Administrator angemeldet sein)
lösche alle temp-Dateien


KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\Programme\winupdates\a.zip
C:\Programme\winupdates\a.zip/Setup.exe
C\Windows\System32\cmd.com
C\Windows\System32\bszip.dll
C\Windows\System32\netstat.com
C\Windows\System32\ping.com
C\Windows\System32\regedit.com
C\Windows\System32\taskkill.com
C\Windows\System32\tasklist.com
C\Windows\System32\tracert.com

PC neustarten

C:\Programme\winupdates <--loeschen

ewido scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2005, 09:21
...neu hier

Beiträge: 6
#25 Hallo zusammen
Ich hab schon seit einigen Tagen das Problem, dass ich bei Scans von AntiVir immer wieder die Meldung von dem Wurm Alcra.B und Rbot.adx bekomme. Ich habe meine Festplatte sofort formatiert, aber gleich nachdem ich XP wieder drauf hatte und AntiVir zur Sicherheit durchlaufen habe lassen, bekam ich wie die Meldung von den Würmern. Da ich gesehen habe, dass ihr hier wirklich helfen könnt, wollte ich um Hilfe bitten. Dazu muss gesagt werden, dass ich nicht unbedingt ein PC Profi bin.
In Bezug auf Alcra.B habe ich mir den CCleaner gesaugt und damit unötiges gelöscht. Danach habe ich mit Killbox, die von Sabina erwähnten Dateien löschen lassen. Da ich gelesen habe, dass Bearshare mir den Wurm auf die Festplatte gebracht haben könnte, habe ich es natürlich sofort gelöscht.
Wäre schön wenn mir jemand helfen könnte.
Seitenanfang Seitenende
07.10.2005, 10:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Hallo@worming

da hast du ja schon alles abgearbeitet...fehlt nur noch ewido ;=

ewido scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2005, 11:53
...neu hier

Beiträge: 6
#27 Also ich hab gerade mal ewido durchlaufen lassen und hier ist der Scanreport in der Hoffung, dass Sabina was damit anzufangen weiß

+ Erstellt am: 11:50:46, 07.10.2005
+ Report-Checksumme: F6D0BFF5

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07} -> Spyware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{C285D18D-43A2-4AEF-83FB-BF280E660A97} -> Spyware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\RunMSC.Loader\CLSID\\ -> Spyware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\RunMSC.Loader.1\CLSID\\ -> Spyware.SaveNow : Gesäubert mit Backup
:mozilla.24:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Etracker : Gesäubert mit Backup
:mozilla.31:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.36:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.37:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.38:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.40:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.41:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
:mozilla.42:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.49:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
:mozilla.50:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
:mozilla.51:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
:mozilla.52:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
:mozilla.55:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.56:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup
:mozilla.57:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup
:mozilla.58:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup
:mozilla.59:C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\m2xdjaz2.default\cookies.txt -> Spyware.Cookie.Serving-sys : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Chris\Cookies\chris@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Chris\Cookies\chris@weborama[2].txt -> Spyware.Cookie.Weborama : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winlog.VIR -> Backdoor.Rbot.adx : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winlog.VIR00 -> Backdoor.Rbot.adx : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winlog.VIR01 -> Backdoor.Rbot.adx : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winlog.VIR02 -> Backdoor.Rbot.adx : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winlog.VIR03 -> Backdoor.Rbot.adx : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winlog.VIR04 -> Backdoor.Rbot.adx : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winlog.VIR05 -> Backdoor.Rbot.adx : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winlog.VIR06 -> Backdoor.Rbot.adx : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winlog.VIR07 -> Backdoor.Rbot.adx : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\winupdates.VIR -> Worm.VB.an : Gesäubert mit Backup
C:\Programme\winsupdater\a.tmp -> Worm.VB.an : Gesäubert mit Backup
C:\Programme\winsupdater\a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\Programme\winupdates\a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup


::Report Ende
Seitenanfang Seitenende
07.10.2005, 12:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Hallo@worming

wenn du die anderen Dateien mit der Killbox geloescht hast (siehe weiter oben), muesste der PC clean sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2005, 12:26
...neu hier

Beiträge: 6
#29 Also wenn ich die obigen Ordner suchen lasse, bekomme ich nur die Meldung, dass es ein ungültiger Ordner ist, was in meinen Augen so viel heißt wie gelöscht. Wenn dem so ist, ist mein PC wohl endlich frei von den lästigen Würmern.
Vielen Dank Sabina!
Super Forum habt ihr hier auf die Beine gestellt!
Seitenanfang Seitenende
07.10.2005, 12:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 worming..nun, besser, wir schauen mal nach:

poste die 4 logs (20 Tage vom Datum her reichen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende