Wir Lösche ich Worm Alcra.B?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
13.10.2005, 02:02
...neu hier
Beiträge: 5 |
||
 
|
|
|
|
13.10.2005, 09:30
Member
 Beiträge: 669 |
#2
Bitte durchlesen:
http://virus-protect.org/hjtkurz.html und das Log in diesem Thread posten. Mods: ihr verschiebt den Thread netterweise doch sicher in die richtige Rubrik?  __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
|
|
|
|
13.10.2005, 18:01
...neu hier
Themenstarter Beiträge: 5 |
#3
Das hier is der Log...und nun?
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\msxct.exe C:\Programme\winsupdater\winsupdater.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Gemeinsame Dateien\Windows\services32.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Gemeinsame Dateien\services.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\MsMovies\MsMovies.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\LimeWire\LimeWire.exe C:\WINDOWS\SYSTEM32\cidaemon.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\Familie\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ebay.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - (no file) O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Programme\DNS\Catcher.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [msxct] msxct.exe O4 - HKLM\..\Run: [winsupdater] C:\Programme\winsupdater\winsupdater.exe /auto O4 - HKLM\..\Run: [] winlog.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [MsMovies] C:\Programme\MsMovies\MsMovies.exe /auto O4 - HKLM\..\RunServices: [] winlog.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-58-12-0000137.exe O4 - HKCU\..\Run: [DNS] C:\Programme\Gemeinsame Dateien\mc-58-12-0000137.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {AF62454B-E279-4BDC-9551-6EFD9D94E6AF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {AF62454B-E279-4BDC-9551-6EFD9D94E6AF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ O15 - Trusted Zone: *.moove.com O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/WebsiteAccess/ie/bridge-c9.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/188a20c74e6d64b85819/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101056739687 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1B3406FE-672D-4C1C-B5F8-C0C6D769DC72}: NameServer = 62.72.64.237 62.72.64.241 O17 - HKLM\System\CS1\Services\Tcpip\..\{1B3406FE-672D-4C1C-B5F8-C0C6D769DC72}: NameServer = 62.72.64.237 62.72.64.241 O20 - AppInit_DLLs: PAVWAIT.DLL O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PavFnSvr.exe (file missing) O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - C:\Programme\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Panda IManager Service (PSIMSVC) - Unknown owner - C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
|
|
|
|
13.10.2005, 19:35
Member
 Beiträge: 4730 |
#4
Ich würde Dir empfehlen, den PC zu formatieren und Windows neu zu installieren, da Du nicht nur Alcra.B hast.
Außerdem in Zukunft vermeiden, zwei Virenscanner zu installieren! __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
14.10.2005, 01:43
...neu hier
Themenstarter Beiträge: 5 |
#5
ich habs gemerkt aber ich habe alles ausser alcra.b gelöscht!was soll ich den gez mit alcra.b machen?
|
|
|
|
|
|
|
14.10.2005, 03:25
Member
Beiträge: 4730 |
#6
Hast Du das "gelöscht" nachdem Du den Log erstellt hast oder bevor? Wenn bevor, dann ist da immer noch ne Menge drauf, was nicht drauf gehört (und dann bleibe ich bei der Empfehlung zu formatieren). Wenn danach, dann mache bitte noch ein HJT-Log und poste es hier, aber verändere nix mehr an Deinem System, da sonst unsere Anweisungen teilweise ad absurdum geführt werden würden.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
15.10.2005, 00:01
...neu hier
Themenstarter Beiträge: 5 |
#7
jop hab alles gelöscht ausser alcra.b!!!!also erst habe ich den log erstellt bevor ich irgendwas gelöscht habe!!!danach habe ich mit einem virenprogram alles ausser Alcra.B gelöscht!!!!aber wie bekomme ich denn jetzt den wurm runter????
|
|
|
|
|
|
|
15.11.2005, 21:44
...neu hier
Beiträge: 4 |
#8
Hey habe das gleiche Problem.
Was muss ich nun tun??? |
|
|
|
|
|
|
16.11.2005, 22:40
Ehrenmitglied
 Beiträge: 29434 |
#9
MEETLOAF
bitte nicht doppeltposten http://board.protecus.de/t20125.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
16.11.2005, 22:42
Ehrenmitglied
Beiträge: 29434 |
#10
AlcraB-Opfer
du bist kein AlcraB--Opfer, denn den Trojaner bekommt man leicht geloescht...dein PC ist , wie schon gesagt wurde, schwer kompromitiert und du solltest doch formatieren. Auf deinem PC wimmelt es nur so von anonymen FTP-Servern .........................die vollen Zugriff auf das System haben und runterladen, was sie wollen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.11.2005, 13:22
...neu hier
Beiträge: 3 |
#11
Hab mir den AlcraB auch eingefangen und wollt mal fragen ob jemand weiß wie ich in los bekomme?
Hier noch mein Scan Disc. Danke schonmal! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\BearShare\BearShare.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Winamp\winamp.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\iexplore.exe F:\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.insideall.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118586960718 O17 - HKLM\System\CCS\Services\Tcpip\..\{28559D94-7CEE-4EC2-89B6-8B261B1F693D}: NameServer = 217.237.150.141 217.237.150.97 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe |
|
|
|
|
|
|
27.11.2005, 13:37
Ehrenmitglied
Beiträge: 29434 |
#12
LaRaza
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto Pc neustarten Loesche: mit der Killbox http://virus-protect.org/killbox.html C:\Windows\System32\cmd.com C:\Windows\System32\bszip.dll C:\Windows\System32\netstat.com C:\Windows\System32\ping.com C:\Windows\System32\regedit.com C:\Windows\System32\taskkill.com C:\Windows\System32\tasklist.com C:\Windows\System32\tracert.com PC neustarten wende CleanUp an http://virus-protect.org/cleanup.html scanne mit Ewido - Virenscanner http://virus-protect.org/ewido.html deainstalliere Ewido und lade:counterspy http://virus-protect.org/counterspy.html nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.11.2005, 14:07
...neu hier
Beiträge: 3 |
#13
Die Killbox reagiert nicht wenn ich auf Delete on Reboot klicke und den Löschen will. Kann ich auch Standard file kill machen oder kann ich da was andres machen?
|
|
|
|
|
|
|
28.11.2005, 14:08
Ehrenmitglied
Beiträge: 29434 |
#14
ja, mache Standard, aber auch dann wird die Killbox nicht reagieren, kopiere dennoch alles rein und starte nach der letzten den PC neu
dann scanne mit ewido __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.11.2005, 15:38
...neu hier
Beiträge: 3 |
#15
Hab den Wurm jetzt los. Alles super bis auf eines. Mein Rechner zeigt beim hochfahren das Pentium4 Zeichen glaube ich fast zwei Minuten lang. An was kann das denn liegen. Im Windows ist er überhauptnicht langsam. Was kann ich da machen?
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
habe mir auch den Worm Alcra.B eingefangen!
Nun weiß ich nicht , wie ich diesen beseitigen kann!
Ich habe mir diverse Themen angeschaut, wo es um das gleiche geht!
Mein Problem ist, das ich nicht weiß, wie ich einen LOG mache oder finde!
Ich habe zwar von vielen Sachen in dem Bereich Computer Ahnung, aber von Würmern etc.Nicht!
Bitte um Hilfe!
Mfg-D.Anders