Ich hab ein Wurm (worm/alcra.b)!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
13.10.2005, 00:23
...neu hier
Beiträge: 3 |
||
|
||
13.10.2005, 01:27
Ehrenmitglied
Beiträge: 29434 |
#47
The_Hulk
ah je...ohne Pfadangabe oben, eine doppelt, andere fehlt....nun ja....so finde ich den Rootkit vom Backdoor nicht..... ist wahrscheinlich in den temporaeren Dateien: und sollte geloescht werden drmtemp01170496.htm KILLBOX http://www.bleepingcomputer.com/files/killbox.php Anleitung: (bebildert) http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINNT\system32\regedit.com C:\WINNT\system32\cmd.com C:\WINNT\system32\ntsf.exe C:\WINNT\system32\taskkill.com C:\WINNT\system32\tasklist.com C:\WINNT\system32\tracert.com C:\WINNT\system32\ping.com C:\WINNT\system32\netstat.com C:\WINNT\system32\bszip.dll PC neustarten ccleaner (loesche alle temp-Dateien) http://virus-protect.org/temp.html scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html scenn mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.10.2005, 02:25
...neu hier
Beiträge: 5 |
#48
Hallo,
habe mir auch den Worm Alcra.B eingefangen! Nun weiß ich nicht , wie ich diesen beseitigen kann! Ich habe mir diverse Themen angeschaut, wo es um das gleiche geht! Mein Problem ist, das ich nicht weiß, wie ich einen LOG mache oder finde! Ich habe zwar von vielen Sachen in dem Bereich Computer Ahnung, aber von Würmern etc.Nicht! Bitte um Hilfe! Mfg-D.Anders |
|
|
||
13.10.2005, 15:33
Ehrenmitglied
Beiträge: 29434 |
#49
Hallo@AlcraB-Opfer
Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above --> just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" kopiere hier die 4 logs http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.10.2005, 15:46
...neu hier
Beiträge: 1 |
#50
Bitte um Hilfe hab worm/Alcra.B auf meienm Computer und der geht nicht mehr löschen.
Logfile of HijackThis v1.99.1 Scan saved at 15:40:00, on 27.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\BadBoy\Desktop\Neuer Ordner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {B7984889-35D2-9C74-8431-7BC2B135C802} - C:\DOKUME~1\BadBoy\ANWEND~1\Elselong\readme nurb.exe O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Idol Mfcd Plan Hide] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cdromdentidolmfcd\thunkerror.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [bowsinside] C:\DOKUME~1\BadBoy\ANWEND~1\FRAGMA~1\livejugs.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
|
|
||
27.10.2005, 16:02
Ehrenmitglied
Beiträge: 29434 |
#51
Hallo@birke
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {B7984889-35D2-9C74-8431-7BC2B135C802} - C:\DOKUME~1\BadBoy\ANWEND~1\Elselong\readme nurb.exe O4 - HKLM\..\Run: [Idol Mfcd Plan Hide] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cdromdentidolmfcd\thunkerror.exe O4 - HKCU\..\Run: [bowsinside] C:\DOKUME~1\BadBoy\ANWEND~1\FRAGMA~1\livejugs.exe PC neustarten loeschen: C:\Dokumente und Einstellungen\BadBoy\Anwendungsdaten\FRAGMA.... C:\Dokumente und Einstellungen\BadBoy\Anwendungsdaten\Elselong C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cdromdentidolmfcd KILLBOX http://virus-protect.org/killbox.html Delete File on Reboot -- anhaken reinkopieren: C:\WINNT\system32\regedit.com C:\WINNT\system32\cmd.com C:\WINNT\system32\ntsf.exe C:\WINNT\system32\taskkill.com C:\WINNT\system32\tasklist.com C:\WINNT\system32\tracert.com C:\WINNT\system32\ping.com C:\WINNT\system32\netstat.com C:\WINNT\system32\bszip.dll und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten ccleaner (loesche alle temp-Dateien) http://virus-protect.org/temp.html scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Windir%\tasks /a h > files.txt notepad files.txt - Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.10.2005 16:42 26.324 nvapps.xml
11.10.2005 13:35 2.184 wpa.dbl
09.10.2005 17:59 2 cmd.com
09.10.2005 17:59 2 regedit.com
09.10.2005 17:59 2 taskkill.com
09.10.2005 17:59 2 tasklist.com
09.10.2005 17:59 2 tracert.com
09.10.2005 17:59 2 ping.com
09.10.2005 17:59 2 netstat.com
09.10.2005 13:42 62.464 bszip.dll
28.08.2005 13:25 28.672 f3PSSavr.scr
13.08.2005 21:41 118.784 sirenacm.dll
07.08.2005 17:41 98.304 CmdLineExt.dll
12.10.2005 21:46 5.409 drmtemp01170496.htm
12.10.2005 16:54 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}4917.html
12.10.2005 16:53 65.536 ~DF5B4B.tmp
12.10.2005 16:43 16.384 ~DFA143.tmp
12.10.2005 16:43 16.384 Perflib_Perfdata_7b8.dat
12.10.2005 16:42 16.384 ~DFF6C8.tmp
12.10.2005 16:42 512 ~DFA2A0.tmp
12.10.2005 16:42 16.384 ~DF827A.tmp
12.10.2005 21:46 5.409 drmtemp01170496.htm
12.10.2005 16:54 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}4917.html
12.10.2005 16:53 65.536 ~DF5B4B.tmp
12.10.2005 16:43 16.384 ~DFA143.tmp
12.10.2005 16:43 16.384 Perflib_Perfdata_7b8.dat
12.10.2005 16:42 16.384 ~DFF6C8.tmp
12.10.2005 16:42 512 ~DFA2A0.tmp
12.10.2005 16:42 16.384 ~DF827A.tmp
13.10.2005 00:23 0 sys.txt
13.10.2005 00:22 3.950 system.txt
13.10.2005 00:22 707 systemtemp.txt
13.10.2005 00:21 94.046 system32.txt
12.10.2005 16:42 1.207.959.552 pagefile.sys
02.07.2005 18:28 0 MSDOS.SYS
02.07.2005 18:28 0 IO.SYS
02.07.2005 18:28 0 CONFIG.SYS
02.07.2005 18:10 194 boot.ini
20.11.2003 11:11 214 AUTOEXEC.BAT
18.08.2001 07:00 45.124 NTDETECT.COM
18.08.2001 07:00 4.952 bootfont.bin
18.08.2001 07:00 224.032 ntldr