Home » Viren, Trojaner & Malware Forum » worm/alcra.b wie bekomm ich ihn weg » Themenansicht

worm/alcra.b wie bekomm ich ihn weg
#0
16.11.2005, 00:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo@thehate

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll
O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{F3D79~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{F3D79~1\reboot.ini -l0x7
O4 - HKLM\..\RunOnce: [InstallShieldSetup1] C:\PROGRA~1\INSTAL~1\{F3D79~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{F3D79~1\reboot.ini -l0x7
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029YYDE_ZNxmk133YYDE
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int7.exe
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemplates/AktiveSekurity.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} - http://advnt01.com/dialer/internazionale_ver11.CAB

PC neustarten

deinstaliere/loesche.
C:\Programme\MyWebSearch
C:\Programme\Kwyshell

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

ewido
http://virus-protect.org/ewido.html

counterspy
http://virus-protect.org/counterspy.html

nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2005, 21:17
thehate
...neu hier

Beiträge: 2
#17 hallo sabina habe nun alles befolgt was du geschrieben hast nun noch mal die log file ob denn alles weg ist danke schon mal im vorraus



Logfile of HijackThis v1.99.1
Scan saved at 21:18:44, on 16.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunServer.exe
C:\Dokumente und Einstellungen\thehate07\Desktop\desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.juspo-die-zweite.de.vu/
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programme\Save Flash\SaveFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [CounterSpyCleaner] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunASCleaner.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099305586406
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/de/de/tools/activex/fpu.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://weststadt.dyndns.org:81/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5831A715-3BA5-4C64-9511-1302AB2CA386}: NameServer = 62.72.64.237 62.72.64.241
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Programme\YAMAHA\MidRadio Player\midradio.ocx
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


sorry noch eine frage wie verhält es sich denn mit den antivirenproggies und diesem counter spy soll ich beide anlassen ( ewido und Counter ) ich hatte vorher immer antivir und adware an . falls ich nun diesen beiden benutzen möchte solte ich dann besser antivir und adware deinstalieren?
Dieser Beitrag wurde am 16.11.2005 um 21:20 Uhr von thehate editiert.
Seitenanfang Seitenende
16.11.2005, 22:14
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 ewido und counter sind nur 14 Tage free, dann musst du die Tools kaufen.
Wenn du das nicht vorhast...deinstalliere sie wieder.
Der PC ist sauber ...ich sehe nichts mehr.
Alles Gute ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.11.2005, 18:59
MEJAMILE
...neu hier

Beiträge: 1
#19 Hi! Also mein Virenscanner hat angezeigt, dass ich diesen Wum habe.
Aber leider verstehe ich diese ganzen Anweisungen hier nicht.
Ich habe jetzt zwei Dateien geloescht (C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe) und auf einmal hat sich das Design von meinem Computer veraendert.

Ich hoffe ich kopiere hier das richtige:

Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
C:\

WARNUNG! Zugriffsfehler/Datei gesperrt!
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002

WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\User\Complete
Ability Mail Server 2.52.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Ace Utilities 3.0.0.4037.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Advanced File Woker 2.03.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Advanced Internet Kiosk 2.8.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Amigo Easy Video Converter 4.29.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
AVD Graphic Studio 6.5.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
BSplayer Pro 1.36.825.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Clean Disk Security 7.52.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
CodeDrawer 1.8.2.0.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Colin McRae Rally 2005.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Daemon Tools 4.00.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Drome Racers.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
DVD Rebuilder Pro 1.03.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Easy DVD CD Burner 3.0.58.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Easy DVD To DVD Copy 3.0.23.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Easy File Sharing Web Server 3.1.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Glarysoft DVD Ripper 1.1.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Hard Disk Sentinel 1.02.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Inetpromoter Web Rank 3.0.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Land of the Dead Road to Fiddlers Green.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
LiveSync 1.0.0.1020.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Mindsoft Utilities XP 9.0.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
MP3 To Ringtone Gold 3.16.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
NBA Live 2006.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Need For Speed Most Wanted Alcohol.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Need For Speed Most.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Neverwinter Nights.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
NFS Most Wanted.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Ocean FTP Server 1.0.5.0.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Pamela Professional 1.30.20051109.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
PhotoFiltre Studio 7.2.1.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Pixarra TwistedBrush 7.5.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Public PC Desktop 2.6.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Public PC Desktop 2.8.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Riddick Intermezzo - Dark Fury.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Search Engine Studio 3.0.2.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
SpamMonster 1.70.09.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Super Clone DVD 4.0.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
TextPipe Pro 7.6.3.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Ultima Online Samurai Empire.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
WW 2 Tank Commander.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
C:\Documents and Settings\User\Desktop\rtp

WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\User\Local Settings\Temp
~DF489B.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DF4BB4.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DF51E7.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DF52CB.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DFE63A.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
C:\Documents and Settings\User\Local Settings\Temp\Temporary Directory 1 for winmx354beta4.zip

WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\User\Shared
The Sims 2Nightlife.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
C:\Program Files\winupdates
a.tmp
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
WURDE GELÖSCHT!
a.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\SoftwareDistribution\EventCache
{E1917DD9-4110-4834-84F7-41D602A6B410}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ich hoffe ihr koennt mir das erklaeren, denn ich bin wirklich hilflos...
Danke
Seitenanfang Seitenende
20.11.2005, 20:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 MEJAMILE

Zitat

http://virus-protect.org/artikel/spyware/alcrab.html
Der Wurm kopiert sich in freigegebene Ordner, die von beliebten Peer-to-Peer (P2P)-Dateiaustauschanwendungen benutzt werden. Dabei enthält der Pfad zu dem jeweiligen Ordner Folgendes:

Ares\My Shared Folder
Bearshare\Shared
Edonkey2000\Incoming
eMule\Incoming
gnucleus\downloads
grokster\my grokster
Kazaa\My Shared Folder
Limewire\Shared
morpheus\My Shared Folder
My Shared Folder
rapigator\share
shareaza\downloads shared
Loesche: mit der Killbox http://virus-protect.org/killbox.html

C:\Windows\System32\cmd.com
C:\Windows\System32\bszip.dll
C:\Windows\System32\netstat.com
C:\Windows\System32\ping.com
C:\Windows\System32\regedit.com
C:\Windows\System32\taskkill.com
C:\Windows\System32\tasklist.com
C:\Windows\System32\tracert.com

scanne mit Ewido - Virenscanner http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 19:17
monkiii
...neu hier

Beiträge: 4
#21 moin,ich denke mal das hier wird nich der letzte leg-dreck sein den ihr lesen muesst,sorry aber mich kotzt dieser Schei... wurm jetz echt an ;) Waer echt cool von euch mir ma zu helfen,denn ich komm nich mehr in mein lieblingsspiel rein und ich bin leider sehr suechtich danach :p



Logfile of HijackThis v1.99.1
Scan saved at 19:07:46, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
D:\WICHTICH\AntiVir\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\WICHTICH\AntiVir\AVPersonal\AVGUARD.EXE
D:\WICHTICH\AntiVir\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Ventrilo\Ventrilo.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\WICHTICH\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\WICHTICH\AntiVir\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] D:\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCfox000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6895D27C-F403-4C39-8D5D-AC4BD44F3586}: NameServer = 213.191.92.84 213.191.74.12
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\WICHTICH\AntiVir\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\WICHTICH\AntiVir\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

ich hoffe ihr antwortet schnell :*(
Seitenanfang Seitenende
23.11.2005, 19:47
Wagmi
Member

Beiträge: 11
#22 Hi,
bei mir ist auch der Wurm drin.
Ich hab die oberen Einträge zwar gelesen, verstehe aber nicht
was ich mit killbox löschen soll.
Habe auch keine Lust mir so ein 14 Tage antivirus prog runterzuladen.

benutze ad-aware und antivir, bringt nix im Bezug auf WORM/Alcra.B.

Ach ja, antivir sagt mir, dass irgendwelche infizierten Dateien in der
Datei a.zip und mailpv.zip enthalten sind, das kann aber angeblich nicht
gelöscht werden.

Bitte helft mir.

PS: Was kann man denn sonst so an dem Logfile sehen, ist vielleicht noch etwas nicht in Ordnung? Hab das schon mal im Netz analysieren lassen, stand dann
aber nur bei eineigen Einträgen EVENTUELL bösartig und unbekannt.

Danke schon mal im Voraus,
Gruß Wagmi

Hier meine HijackThis logfile:


Logfile of HijackThis v1.99.1
Scan saved at 19:40:41, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Internet download\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /firstlogon
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [BearShare] "C:\Internet download\Bearshare\BearShare.exe" /pause
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Internet download\CloneDVD\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117050723787
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123752636026
O18 - Protocol: bw+0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {A8D9DA10-B7B9-4FA5-ACF9-3B6ADB3A9014} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Internet download\Si Sandra\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Internet download\Si Sandra\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Dieser Beitrag wurde am 23.11.2005 um 19:50 Uhr von Wagmi editiert.
Seitenanfang Seitenende
23.11.2005, 19:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Wagmi

Zitat

O4 - HKLM\..\Run: [BearShare] "C:\Internet download\Bearshare\BearShare.exe" /pause

Zitat

Der Wurm kopiert sich in freigegebene Ordner, die von beliebten Peer-to-Peer (P2P)-Dateiaustauschanwendungen benutzt werden. Dabei enthält der Pfad zu dem jeweiligen Ordner Folgendes:

Ares\My Shared Folder
Bearshare\Shared
Edonkey2000\Incoming
eMule\Incoming
gnucleus\downloads
grokster\my grokster
Kazaa\My Shared Folder
Limewire\Shared
morpheus\My Shared Folder
My Shared Folder
rapigator\share
shareaza\downloads shared
Loesche: mit der Killbox http://virus-protect.org/killbox.html
C:\Windows\System32\cmd.com
C:\Windows\System32\bszip.dll
C:\Windows\System32\netstat.com
C:\Windows\System32\ping.com
C:\Windows\System32\regedit.com
C:\Windows\System32\taskkill.com
C:\Windows\System32\tasklist.com
C:\Windows\System32\tracert.com

scanne mit Ewido - Virenscanner http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 19:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 monkiii

Loesche: mit der Killbox http://virus-protect.org/killbox.html

C:\Windows\System32\cmd.com
C:\Windows\System32\bszip.dll
C:\Windows\System32\netstat.com
C:\Windows\System32\ping.com
C:\Windows\System32\regedit.com
C:\Windows\System32\taskkill.com
C:\Windows\System32\tasklist.com
C:\Windows\System32\tracert.com

scanne mit Ewido - Virenscanner http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 19:51
Wagmi
Member

Beiträge: 11
#25

Zitat

Sabina postete
Wagmi

Zitat

O4 - HKLM\..\Run: [BearShare] "C:\Internet download\Bearshare\BearShare.exe" /pause

Habe gar kein Bearshare mehr drauf, und den Ordner gibts nicht mehr.
Und was soll mir das sagen???

Danke, Gruß Wagmi
Seitenanfang Seitenende
23.11.2005, 19:52
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26

Zitat

Habe gar kein Bearshare mehr drauf, und den Ordner gibts nicht mehr.
O4 - HKLM\..\Run: [BearShare] "C:\Internet download\Bearshare\BearShare.exe" /pause

soooo ? dann bin ich wohl blind lol

den Ordner gibt es nicht MEHR..... aber den Virus ....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 19:55
Wagmi
Member

Beiträge: 11
#27 ich hab gerade noch mal gehijacked, das steht immer noch da,
aber den ordner gibts nicht, versteh ich net.
was soll ich denn mit 04 machen?
Warum kommt bei mir sooft 018 vor??

Bei mir gibts Windows\System32... nicht! HÄH???
ich weiß nicht mehr weida
Danke Gruß Wagmi
Dieser Beitrag wurde am 23.11.2005 um 19:59 Uhr von Wagmi editiert.
Seitenanfang Seitenende
23.11.2005, 20:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 fixe alle 018 Eintraege und den
O4 - HKLM\..\Run: [BearShare] "C:\Internet download\Bearshare\BearShare.exe" /pause

Zitat

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
dann arbeite den rest ab, den ich geschrieben hab

Zitat

Loesche: mit der Killbox http://virus-protect.org/killbox.html
C:\Windows\System32\cmd.com
C:\Windows\System32\bszip.dll
C:\Windows\System32\netstat.com
C:\Windows\System32\ping.com
C:\Windows\System32\regedit.com
C:\Windows\System32\taskkill.com
C:\Windows\System32\tasklist.com
C:\Windows\System32\tracert.com

scanne mit Ewido - Virenscanner http://virus-protect.org/ewido.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2005, 20:10
Igormaus
...neu hier

Beiträge: 1
#29 Seltsame Geschichte das Ganze. N Kumple hat den jetzt auch und bekommt ihn nicht weg, nicht mal mit Panda... ^^
Seitenanfang Seitenende
23.11.2005, 20:11
Wagmi
Member

Beiträge: 11
#30 Vielen dank,
tut mir furchtbar leid dass ich so nerve, aber eine frage
hätte ich da noch.(oder zwei...)
Sind alle O.... malware, soll ich also vor alle O... ein Häckchen machen?
Mit Killbox kann ich die Windows\system32\...... nicht finden, findet der die dann?
Habe das mal trotzdem bei killbox eingegeben:
C:\Windows\System32\regedit.com , dann hat der mich gefragt ob ich ein Backup haben will. Will ich eins? Und wieso kann ich das eingeben und der macht was, aber
auf "durchsuchen" hab ich nix gefunden?

Sorry, und danke

Gruß Wagmi
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1234