Ich hab ein Wurm (worm/alcra.b)!

#46 ok mach ich


12.10.2005 16:42 26.324 nvapps.xml
11.10.2005 13:35 2.184 wpa.dbl
09.10.2005 17:59 2 cmd.com
09.10.2005 17:59 2 regedit.com
09.10.2005 17:59 2 taskkill.com
09.10.2005 17:59 2 tasklist.com
09.10.2005 17:59 2 tracert.com
09.10.2005 17:59 2 ping.com
09.10.2005 17:59 2 netstat.com
09.10.2005 13:42 62.464 bszip.dll
28.08.2005 13:25 28.672 f3PSSavr.scr
13.08.2005 21:41 118.784 sirenacm.dll
07.08.2005 17:41 98.304 CmdLineExt.dll


12.10.2005 21:46 5.409 drmtemp01170496.htm
12.10.2005 16:54 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}4917.html
12.10.2005 16:53 65.536 ~DF5B4B.tmp
12.10.2005 16:43 16.384 ~DFA143.tmp
12.10.2005 16:43 16.384 Perflib_Perfdata_7b8.dat
12.10.2005 16:42 16.384 ~DFF6C8.tmp
12.10.2005 16:42 512 ~DFA2A0.tmp
12.10.2005 16:42 16.384 ~DF827A.tmp


12.10.2005 21:46 5.409 drmtemp01170496.htm
12.10.2005 16:54 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}4917.html
12.10.2005 16:53 65.536 ~DF5B4B.tmp
12.10.2005 16:43 16.384 ~DFA143.tmp
12.10.2005 16:43 16.384 Perflib_Perfdata_7b8.dat
12.10.2005 16:42 16.384 ~DFF6C8.tmp
12.10.2005 16:42 512 ~DFA2A0.tmp
12.10.2005 16:42 16.384 ~DF827A.tmp


13.10.2005 00:23 0 sys.txt
13.10.2005 00:22 3.950 system.txt
13.10.2005 00:22 707 systemtemp.txt
13.10.2005 00:21 94.046 system32.txt
12.10.2005 16:42 1.207.959.552 pagefile.sys
02.07.2005 18:28 0 MSDOS.SYS
02.07.2005 18:28 0 IO.SYS
02.07.2005 18:28 0 CONFIG.SYS
02.07.2005 18:10 194 boot.ini
20.11.2003 11:11 214 AUTOEXEC.BAT
18.08.2001 07:00 45.124 NTDETECT.COM
18.08.2001 07:00 4.952 bootfont.bin
18.08.2001 07:00 224.032 ntldr

#47 The_Hulk

ah je...ohne Pfadangabe oben, eine doppelt, andere fehlt....nun ja....so finde ich den Rootkit vom Backdoor nicht.....

ist wahrscheinlich in den temporaeren Dateien: und sollte geloescht werden
drmtemp01170496.htm


KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINNT\system32\regedit.com
C:\WINNT\system32\cmd.com
C:\WINNT\system32\ntsf.exe
C:\WINNT\system32\taskkill.com
C:\WINNT\system32\tasklist.com
C:\WINNT\system32\tracert.com
C:\WINNT\system32\ping.com
C:\WINNT\system32\netstat.com
C:\WINNT\system32\bszip.dll

PC neustarten

ccleaner (loesche alle temp-Dateien)
http://virus-protect.org/temp.html

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

scenn mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#48 Hallo,
habe mir auch den Worm Alcra.B eingefangen!
Nun weiß ich nicht , wie ich diesen beseitigen kann!
Ich habe mir diverse Themen angeschaut, wo es um das gleiche geht!
Mein Problem ist, das ich nicht weiß, wie ich einen LOG mache oder finde!
Ich habe zwar von vielen Sachen in dem Bereich Computer Ahnung, aber von Würmern etc.Nicht!
Bitte um Hilfe!
Mfg-D.Anders

#49 Hallo@AlcraB-Opfer

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above --> just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

kopiere hier die 4 logs
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Bitte um Hilfe hab worm/Alcra.B auf meienm Computer und der geht nicht mehr löschen.



Logfile of HijackThis v1.99.1
Scan saved at 15:40:00, on 27.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\BadBoy\Desktop\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B7984889-35D2-9C74-8431-7BC2B135C802} - C:\DOKUME~1\BadBoy\ANWEND~1\Elselong\readme nurb.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Idol Mfcd Plan Hide] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cdromdentidolmfcd\thunkerror.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [bowsinside] C:\DOKUME~1\BadBoy\ANWEND~1\FRAGMA~1\livejugs.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

#51 Hallo@birke

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {B7984889-35D2-9C74-8431-7BC2B135C802} - C:\DOKUME~1\BadBoy\ANWEND~1\Elselong\readme nurb.exe
O4 - HKLM\..\Run: [Idol Mfcd Plan Hide] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cdromdentidolmfcd\thunkerror.exe
O4 - HKCU\..\Run: [bowsinside] C:\DOKUME~1\BadBoy\ANWEND~1\FRAGMA~1\livejugs.exe

PC neustarten

loeschen:
C:\Dokumente und Einstellungen\BadBoy\Anwendungsdaten\FRAGMA....
C:\Dokumente und Einstellungen\BadBoy\Anwendungsdaten\Elselong
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cdromdentidolmfcd

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:

C:\WINNT\system32\regedit.com
C:\WINNT\system32\cmd.com
C:\WINNT\system32\ntsf.exe
C:\WINNT\system32\taskkill.com
C:\WINNT\system32\tasklist.com
C:\WINNT\system32\tracert.com
C:\WINNT\system32\ping.com
C:\WINNT\system32\netstat.com
C:\WINNT\system32\bszip.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

ccleaner (loesche alle temp-Dateien)
http://virus-protect.org/temp.html

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit