ich habe den wurm alecra.b

#1 Hallo wertes protect team, ich habe mir auch den worm alcra.B reingezogen,hätte ihn aber gerne wieder los und das möglichst bald, könntet ihr mir bitte helfen sonst muß ich meinen rechner zusammenschlagen!:-) kleiner scherz! na egal , das mit der log habsch glaub ich verstanden hier ist sie:

Scan saved at 08:46:38, on 14.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
E:\Norton Utilities\NPROTECT.EXE
E:\Speed Disk\nopdb.exe
E:\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
E:\Norton Utilities\SYSDOC32.EXE
E:\WinZip\WZQKPICK.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\Programme\ESET\nod32.exe
E:\Download Software\HijackThis.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] E:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "E:\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\delus.exe
O4 - Global Startup: Norton System Doctor.lnk = E:\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {AB412523-C908-4A57-8922-806A1A207C04} - E:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {AB412523-C908-4A57-8922-806A1A207C04} - E:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{07C77AB0-D1DB-4E3F-ACEF-B167CE32B485}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{07C77AB0-D1DB-4E3F-ACEF-B167CE32B485}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - E:\Norton Utilities\NPROTECT.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Sygate\SPF\smc.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\Speed Disk\nopdb.exe
O23 - Service: VPNonDemand - Unknown owner - C:\WINDOWS\VPN.exe (file missing)

#2 Hallo@Tale

willkommen an board

http://virus-protect.org/datfindbat.html
poste die 4 logs (2 Monate vom Datum her reichen, mit der Pfadangabe oberhalb)
__________
MfG Sabina

rund um die PC-Sicherheit

#3

Zitat

15.10.2005 11:01 8.458 ModemLog_SoftV92 Data Fax Modem.txt
15.10.2005 11:00 0 0.log
15.10.2005 11:00 2.048 bootstat.dat
14.10.2005 12:52 22.252 SchedLgU.Txt
14.10.2005 12:52 6.040 WindowsUpdate.log
14.10.2005 09:11 216 wiadebug.log
14.10.2005 06:56 50 wiaservc.log
05.09.2005 20:33 839 GatorPdpLoudInstaller.log
05.09.2005 17:13 1.907 AceGain LiveUpdate Setup Log.txt
05.09.2005 17:12 729.088 iun6002.exe
05.09.2005 17:12 28.943 Battlecraft Vietnam Setup Log.txt
05.09.2005 17:08 8.311 BFVCC Server Manager Setup Log.txt
05.09.2005 17:00 554 eReg.dat
05.09.2005 15:44 596.633 setupapi.log
05.09.2005 14:58 25.263 wmsetup.log
16.08.2005 08:07 173 Clony2.ini
16.08.2005 07:37 197.320 setupact.log
12.08.2005 10:10 28.949 spupdsvc.log
12.08.2005 10:10 360 DtcInstall.log
12.08.2005 10:10 316.640 WMSysPr9.prx
12.08.2005 10:10 150.998 iis6.log
12.08.2005 10:10 33.879 comsetup.log
12.08.2005 10:10 22.994 ntdtcsetup.log
12.08.2005 10:10 4.696 imsins.log
12.08.2005 10:10 38.545 tsoc.log
12.08.2005 10:10 3.898 tabletoc.log
12.08.2005 10:10 4.612 ocmsn.log
12.08.2005 10:10 3.703 medctroc.Log
12.08.2005 10:10 59.988 ocgen.log
12.08.2005 10:10 3.748 msgsocm.log
12.08.2005 10:10 58.601 FaxSetup.log

__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hallo@Tale

scanne mit ewido und kopiere den Scanreport hier
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 C:\RECYCLER\NPROTECT\00012031.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00012032.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00012033.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00012034.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00012035.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00012060.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00013200.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00013221.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00013239.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00013266.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00013272.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00013297.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00013304.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00013315.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00013321.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00013332.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014051.TXT -> Spyware.Cookie.247realmedia : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014052.TXT -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014053.TXT -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014054.TXT -> Spyware.Cookie.Clickhype : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014055.TXT -> Spyware.Cookie.Adtech : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014056.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014057.TXT -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014058.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014059.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014060.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014061.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014062.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014063.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014064.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014065.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014066.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014067.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014068.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014069.TXT -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014070.TXT -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014071.TXT -> Spyware.Cookie.Popularix : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014072.TXT -> Spyware.Cookie.Pro-market : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014073.TXT -> Spyware.Cookie.Qksrv : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014074.TXT -> Spyware.Cookie.Revenue : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014075.TXT -> Spyware.Cookie.Spylog : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014076.TXT -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014077.TXT -> Spyware.Cookie.Etracker : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014078.TXT -> Spyware.Cookie.Adserver : Gesäubert mit Backup
C:\RECYCLER\NPROTECT\00014079.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup


::Report Ende

#6 Hallo@Tale

öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\delus.exe

neustarten

CCleaner (loesche alle temp-Dateien)
http://virus-protect.org/temp.html

scanne mit Counterspy und poste hier den Scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit