Worm Alcra.B, wie entfernen??

#31 Hallo@Mausi-Mausi

hier hast du mal einen Teil vom Virenzoo versammelt:

http://virus-protect.org/malware.html
http://virus-protect.org/backdoor.html
http://virus-protect.org/kompsystem.html
http://virus-protect.org/phishing1.html
http://virus-protect.org/phishing.html

auf meiner Seite findest du viele Anleitungen, was die Sicherheit betrifft: sieh meine Signatur)
__________
MfG Sabina

rund um die PC-Sicherheit

#32 SABINA


Ist bei mir jetzt alles in Ordnung??

#33 Fabienne

es ist alles in Ordnung, allerdings ist dein Autostart gerammelt voll....dauert das Hochafahren vom PC nicht lange?
Bei mir findest du im Autostart nur das Modem, den Virenguard und die Firewall...und die Messis.
__________
MfG Sabina

rund um die PC-Sicherheit

#34 Hallo Sabina

Ich habe fogende Frage :

Ich halte nicht so viel von AntiVir...., ich wollte wissen , weches AntiVirenprogramm am besten ist??! Also , kostenlose downs..

Wäre nett, wenn du mir wieder antwortest ;-)

Ach ja, ich habe eine Mail geöffnet und da stand was mit BKS... (wegen illegalen Downs (angeblich) , habe einen riesen SCHRECKEN bekommen, da ich nichts Sauge, kam mir sad komisch vor und ich habe es geöffnet... Wenn ich Die Meldung finde, stelle ich sie hier rein!!
Das alle bescheid wissen! Ich hatte einen Wurm ... *ätz*

Also Leute AUFPASSEN!

Cucu

Mausi-Mausi

#35 Mausi-Mausi

dir ist nicht zu helfen....

Zitat

da stand was mit BKS... (wegen illegalen Downs (angeblich) , habe einen riesen SCHRECKEN bekommen, da ich nichts Sauge, kam mir sad komisch vor und ich habe es geöffnet

Zitat

http://virus-protect.org/artikel/newsletter/sober_neu.html
# Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.

W32.Sober.X,WORM_SOBER.AD,neue Sober-Version,W32/Sober.r,Win32.Sober.W

__________
MfG Sabina

rund um die PC-Sicherheit

#36 Hallo Sabina

Warum ist mir nicht zu helfen?

#37

Zitat

kam mir sad komisch vor und ich habe es geöffnet

du musst misstrauischer sein, und darfst nichts anklicken " was dir komisch vorkommt"
__________
MfG Sabina

rund um die PC-Sicherheit

#38 Hallo Sabina

Ich dachte schon was anderes!...

Nur das Problem ist ja, es könnte ja auch wichtig sein! Man kennt ja nicht alle Absender! Ich hoffe, bei mir werden sich nicht mehr so viele Würmer und Viren einschleichen!!!!!!!!!!! *ggg*

Danke für die schnellen Antworten! Danke....


Lg

Mausi-Mausi

#39 Hey Sabina,
ich bin auch ein geschädigter*heul*
Hier is meine Log-datei:

Logfile of HijackThis v1.99.1
Scan saved at 17:13:41, on 01.12.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\Mixer.exe
E:\Java\jre1.5.0_05\bin\jusched.exe
E:\MessengerPlus! 3\MsgPlus.exe
E:\AVPersonal\AVGNT.EXE
E:\iTunes\iTunesHelper.exe
C:\DOKUME~1\DERTRO~1\LOKALE~1\Temp\MediaGateway.exe
c:\progra~1\intern~1\iexplore.exe
E:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
E:\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
E:\iTunes\iTunes.exe
E:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Der Troitzsch\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {32F3008A-C750-05AF-E66F-3C79BD4A8AC7} - C:\DOKUME~1\DERTRO~1\ANWEND~1\DALEFI~1\GlobalMess.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\System32\appwiz.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] "E:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] E:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "E:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [Media Gateway] C:\DOKUME~1\DERTRO~1\LOKALE~1\Temp\MediaGateway.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [MessengerPlus3] "E:\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [BowsShim] C:\DOKUME~1\DERTRO~1\ANWEND~1\VGAEXT~1\Error Debug Readme.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with NetPumper - E:\NetPumper\AddUrl.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/180solutions/ie/bridge-c24.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: WMP54Gv4SVC - Unknown owner - C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe" "WMP54Gv4.exe (file missing)

#40 Hallo
meiner ist auch befallen!!!
Bitte um hilfe!!!!

hir ist mein log:
Logfile of HijackThis v1.99.1
Scan saved at 10:10:29, on 02.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\winupdates\winupdates.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
C:\Programme\LimeWire\LimeWire.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\PVC\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanderkolonie.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {B637C44C-D0DF-4959-9172-58CF80A26BDF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {B637C44C-D0DF-4959-9172-58CF80A26BDF} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Danke
mfg Nepomuk

#41 Beewill

der pC ist uebelst verseucht...da sind drei oder vier verschiedene Trojaner drauf...falls dir die Reinigung zu aufwendig wird....formatiere gleich

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#42 Nepomuk

wende Cleanup an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#43 hallo! ich hab mir vorhin leider auch den alcra.b wurm eingefangen. ich versteh leider nicht allzu viel von der kunst, viren zu entfernen, darum bitte ich um hilfe.
hier mein logfile (ich hoffe doch, dass er das ist, ich kenne mich nicht so gut mit dem fachchinesisch aus):
Start des Suchlaufs: Samstag, 3. Dezember 2005 09:10

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
C:\

WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp
~DF9D1.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hsperfdata_Administrator
620
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Homer Simpson\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EXMZO3KX
swflash[1].cab
ArchiveType: CAB (Microsoft)
--> swflash.inf
HINWEIS! Der Archivheader ist defekt
--> Flash.ocx
HINWEIS! Der Archivheader ist defekt
--> GetFlash.exe
HINWEIS! Der Archivheader ist defekt
--> GetFlash.man
HINWEIS! Der Archivheader ist defekt
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Programme\winupdates
a.tmp
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
WURDE GELÖSCHT!
a.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
winupdates.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Konnte nicht gelöscht werden!
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\SYSTEM32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\TEMP
ZLT04425.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


D:\Recycled
Dd36.zip
ArchiveType: ZIP
Dd37.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B

Ende des Suchlaufs: Samstag, 3. Dezember 2005 09:31
Benötigte Zeit: 21:40 min

#44 hallo sabina!!!
da sind die 4 ext datein!!!

Danke!!!
mfg nepomuk

1.)
Datentr„ger in Laufwerk C: ist PVC
Volumeseriennummer: 2629-16F0

Verzeichnis von C:\WINDOWS\system32

02.12.2005 13:36 157.160 FNTCACHE.DAT
02.12.2005 09:09 2 cmd.com
02.12.2005 09:09 2 regedit.com
02.12.2005 09:09 2 tasklist.com
02.12.2005 09:09 2 tracert.com
02.12.2005 09:09 2 taskkill.com
02.12.2005 09:09 2 ping.com
02.12.2005 09:09 2 netstat.com
01.12.2005 07:48 49.424 perfc007.dat
01.12.2005 07:48 40.998 perfc009.dat
01.12.2005 07:48 728.266 PerfStringBackup.INI
01.12.2005 07:48 318.680 perfh007.dat
01.12.2005 07:48 313.280 perfh009.dat
30.11.2005 12:57 62.464 bszip.dll
29.11.2005 11:21 3.534 jupdate-1.5.0_03-b07.log
27.11.2005 19:06 1.158 wpa.dbl
10.11.2005 21:17 2.377.568 MRT.exe
12.10.2005 18:06 43.520 CmdLineExt03.dll
10.10.2005 14:31 88.064 AudioExCtl.dll
10.10.2005 13:58 36.704 SubtitDSuninst.exe
10.10.2005 13:57 36.734 OggDSuninst.exe
10.10.2005 13:17 253 spupdwxp.log
10.10.2005 12:45 25.065 wmpscheme.xml
10.10.2005 12:44 557 $winnt$.inf

#45 Nepomuk

loesche mit der Killbox:
http://virus-protect.org/killbox.html

C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\bszip.dll

PC neustarten

scanne mit ewido
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit