WORM/Alcra.B Alarm

#16 loesche mit der killbox:

C:\WINDOWS\INF\biini.inf
C:\WINDOWS\ndnuninstall4_88.exe
C:\WINDOWS\ss3unstl.exe
C:\Programme\Gemeinsame Dateien\cmeii\gappmgr.dll
C:\Programme\Gemeinsame Dateien\cmeii\gmtproxy.dll
C:\Programme\Gemeinsame Dateien\cmeii\gobjs.dll
C:\Programme\Gemeinsame Dateien\cmeii\gtools.dll
C:\WINDOWS\inf\biini.inf
C:\WINDOWS\system32\grwinsthlp.exe

loesche manuell:

C:\Programme\Gemeinsame Dateien\cmeii
C:\WINDOWS\inf
C:\!KillBox\EGIEProcess.dll
C:\!KillBox\EGNSEngine.dll
C:\!KillBox\GatorStubSetup.exe
C:\!KillBox\GUninstaller.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo liebes Protecus Team,

vor Kurzem habe ich mit Eurer Hilfe den Wurm Alcra "gekillt", denn nachdem alle Schritte durchgegangen worden sind, konnte AntiVir nichts mehr entdecken. Gestern habe ich den Scan wieder laufen lassen, nicht nur, dass ich Ihn wieder habe (?!), sondern AntiVir hat auch das Datum vom letzten Mal wieder aufgeführt. Kann es sein, dass sich der Wurm "verändert" hat und daher immer noch drauf ist ? Wäre Eurer Hilfe sehr verbunden !

Habe nun nochmal das HiJack LOg von gestern reinkopiert:

Logfile of HijackThis v1.98.2
Scan saved at 10:30:45, on 28.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearchIndexer.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\\Eigene Dateien\Work\DeskShareClient-40\DeskShareClientDE-4.0.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Dokumente und Einstellungen\\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini"
O4 - HKLM\..\Run: [MimBoot] C:\Programme\Musicmatch\Musicmatch Jukebox\mimboot.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/229?b223ba357aad4e338c7a6c8214794e79
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/230?b223ba357aad4e338c7a6c8214794e79
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.musicmatch.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74E54052-CF7A-4F7C-ABCF-4A0BBF0BCCCB}: NameServer = 192.168.0.1


------------------------------------------------------------------------

Besten Dank im Voraus !!!!
Liebe Grüsslis,

slomo

#18 slomo

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere hier die 4 textdateien (2 Monate vom Datum her genuegt)
http://virus-protect.org/datfindbat.html
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hallo Sabina,

Vielen Dank, dass Du Dich so schnell gemeldet hast. Ich hoffe, dass ich das soweit hinbekommen habe. Wie soll ich fortfahren ?

Herzlichen Dank für Deine Mühen !!!


Schönen Gruß,,

slomo

--------------------------------------------------------------------------
Verzeichnis von C:\WINDOWS\system32

28.12.2005 18:13 391.574 perfh007.dat
28.12.2005 18:13 380.684 perfh009.dat
28.12.2005 18:13 53.098 perfc009.dat
28.12.2005 18:13 63.976 perfc007.dat
28.12.2005 18:13 898.510 PerfStringBackup.INI
28.12.2005 18:07 12.398 tablet.dat
23.12.2005 20:21 1.158 wpa.dbl
15.12.2005 22:54 0 asfiles.txt
15.12.2005 22:51 2.550 Uninstall.ico
15.12.2005 22:51 1.406 Help.ico
15.12.2005 22:51 1.718 Open.ico
15.12.2005 22:51 1.406 AddQuit.ico
15.12.2005 22:51 5.350 IE.ico
15.12.2005 22:51 9.470 Desktop.ico
15.12.2005 22:51 1.718 Quick.ico
09.12.2005 01:21 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 11:43 234.368 FNTCACHE.DAT
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
31.10.2005 22:52 100 LuResult.txt
31.10.2005 19:19 4.212 zllictbl.dat
31.10.2005 19:08 332 $winnt$.inf
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 152.064 cdfview.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:15 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
14.09.2005 20:17 53.248 pxhpinst.exe
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
-----------------------------------------------------------------------


Verzeichnis von C:\DOKUME~1\CHA-WE~1\LOKALE~1\Temp

28.12.2005 21:28 6.800 mmmxl.log
28.12.2005 21:28 0 JET8E9B.tmp
2 Datei(en) 6.800 Bytes
0 Verzeichnis(se), 39.426.875.392 Bytes frei



-----------------------------------------------------------------------


Verzeichnis von C:\WINDOWS

28.12.2005 20:55 278 system.ini
28.12.2005 18:08 0 0.log
28.12.2005 18:07 159 wiadebug.log
28.12.2005 18:07 1.468.400 WindowsUpdate.log
28.12.2005 18:07 50 wiaservc.log
28.12.2005 18:07 2.048 bootstat.dat
28.12.2005 17:30 32.614 SchedLgU.Txt
28.12.2005 04:21 798.192 setupapi.log
19.12.2005 00:21 151 PhotoSnapViewer.INI
17.12.2005 21:11 116 NeroDigital.ini
16.12.2005 02:21 49.188 iis6.log
16.12.2005 02:21 112.415 comsetup.log
16.12.2005 02:21 66.893 ntdtcsetup.log
16.12.2005 02:21 17.213 ocmsn.log
16.12.2005 02:21 1.393 imsins.log
16.12.2005 02:21 126.198 tsoc.log
16.12.2005 02:21 28.574 KB905915.log
16.12.2005 02:21 15.734 msgsocm.log
16.12.2005 02:21 157.363 ocgen.log
16.12.2005 02:21 303.400 FaxSetup.log
16.12.2005 02:21 22.056 updspapi.log
15.12.2005 22:53 632 win.ini
15.12.2005 21:09 10 smdat32m.sys
15.12.2005 08:35 1.393 imsins.BAK
15.12.2005 08:35 7.514 KB910437.log
08.12.2005 18:29 42.923 wmsetup.log
07.12.2005 20:39 6.565 DirectX.log
30.11.2005 19:52 0 smdat32a.sys
30.11.2005 16:42 1.264.485 Elvis.exe
30.11.2005 16:42 395.708 Elvis.scr
30.11.2005 16:42 18.192 Elvis.dat
30.11.2005 16:42 40.960 Elvis.dll
24.11.2005 11:44 221.216 setupact.log
24.11.2005 10:02 70.340 uni05_53.ttf
24.11.2005 10:02 69.600 uni05_64.ttf
24.11.2005 10:02 69.600 uni05_63.ttf
24.11.2005 10:02 70.340 uni05_54.ttf
21.11.2005 00:08 1.115.833 setuplog.txt
15.11.2005 23:55 18.448 system32can4d
15.11.2005 23:37 516 MAXLINK.INI
09.11.2005 11:08 12.381 KB896424.log
02.11.2005 01:24 26.628 KB899587.log
02.11.2005 01:24 25.801 KB901017.log
02.11.2005 01:24 26.115 KB899591.log
02.11.2005 01:24 25.926 KB893756.log
02.11.2005 01:24 25.008 KB896423.log
02.11.2005 01:24 25.037 KB887742.log
02.11.2005 01:24 17.354 KB898458.log
02.11.2005 01:24 36.753 KB902400.log
02.11.2005 01:24 23.882 KB890046.log
02.11.2005 01:24 18.658 KB896688.log
02.11.2005 01:23 18.608 KB905414.log
02.11.2005 01:23 17.849 KB901214.log
02.11.2005 01:23 18.479 KB900725.log
02.11.2005 01:23 16.243 KB904706.log
02.11.2005 01:23 16.545 KB905749.log
02.11.2005 01:23 15.326 KB896428.log
02.11.2005 01:23 18.292 KB894391.log
02.11.2005 01:23 15.848 KB890859.log
01.11.2005 02:30 6.841 KB898461.log
01.11.2005 01:18 1.471.254 Firefox Wallpaper.bmp
01.11.2005 01:06 3.726 mozver.dat
01.11.2005 00:05 376 wmsetup10.log
31.10.2005 23:02 99.970 UninstallFirefox.exe
31.10.2005 21:56 0 nsreg.dat
31.10.2005 19:28 400 ODBC.INI
31.10.2005 19:09 2.209 OEWABLog.txt
31.10.2005 19:08 209.761 SetupWLD.log
31.10.2005 18:03 4.541 sessmgr.setup.log
31.10.2005 18:03 641 DtcInstall.log
31.10.2005 18:01 11.012 regopt.log
23.08.2005 11:23 32 setup.log
23.08.2005 10:45 8.192 REGLOCS.OLD

#20 slomo

vom Wurm Alcra ist nichts zusehen, aber du kannst mal mit ewido scannen, der entfernt es normalerweise
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#21 hallo Sabina,

herzlichen Dank für Deine Mühen, habe mit Ewido noch etliches entfernt und das GAnze nochmal mit AntiVir gescannt heute. Es scheint nichts mehr drauf zu sein. Das ist wirklich klasse. Ich danke Dir !!!

Wünsche Dir einen gesunden Rutsch ins Neue

LG,
slomo

#22 hallo, ich habe leider wieder den alcra b wurm auf meinem pc. vor ein paar wochen hatte ich ihn schonmal gelöscht, nun ist er wieder drauf, nachdem ich ein archiv (leider -.- ) geöffnet habe. ich hoffe, ihr könnt mir nochmal helfen.
logfile:

Start des Suchlaufs: Samstag, 7. Januar 2006 17:45

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
C:\

WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Homer Simpson\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EXMZO3KX
swflash[1].cab
ArchiveType: CAB (Microsoft)
--> swflash.inf
HINWEIS! Der Archivheader ist defekt
--> Flash.ocx
HINWEIS! Der Archivheader ist defekt
--> GetFlash.exe
HINWEIS! Der Archivheader ist defekt
--> GetFlash.man
HINWEIS! Der Archivheader ist defekt
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\SYSTEM32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\TEMP
ZLT02608.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


D:\Recycled
Dd10.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
kleine nebenfrage: ist es schlimm, dass der zugriff bei einigen sachen verweigert wird?
vielen dank im vorraus

#23 ismok

http://virus-protect.org/ewido.html
scanne mit ewido, der entfernt die Malware.
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Hallo, unerfreulicher Weise bin ich auch betroffen vom WORM/Alcra.B Ich habe einige posts dazu in diesem Forum gelesen und hoffe, dass mir nun jemand helfen kann. Ich habe eine Logfile mit Highjackthis erstellt. Weiter bin ich jedoch nicht gekommen.

Ich würde mich wirklich freuen, wenn mir jemand helfen kann! Vielen Dank schon jetzt.

Logfile of HijackThis v1.99.1
Scan saved at 19:21:17, on 14.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
....

#25 Danke für die schnelle Antwort! Der Check hat etwas gedauert und ne Menge wurde entdeckt und entfernt... Was kommt jetzt?

Gruß Dirki

#26

Zitat

Sabina postete
dirki

LSPfix
http://www.spychecker.com/program/lspfix.html
schreibe mir, welche dll du findest-

__________
MfG Sabina

rund um die PC-Sicherheit

#27 Meinst Du die Dateien, die dann beim Spychercker im Feld Keep erscheinen? Das wären diese:

mswsock.dll
winrnr.dll
rsvpsp.dll

oder Remove:

newdotnet3_36.dll



.... oder muss ich noch etwas anderes machen?

Danke dirki

#28 Hallo,
auch ich bin einer derjenigen, bei denen ANTIVIR den Worm Alcra.B entdeckt hat. Nachdem ich mich bei euch ein wenig eingelesen habe, hab ich versucht, den Hijack Log beim Hijackthis.de direkt auswerten lassen - allerdings als ERGEBNIS immer nur gut,gut,gut, bekommen und das kommt mir dann doch etwas komisch vor. Da ich nur blutiger Anfänger bin, bin ich mit meinem Latein dann schon am Ende.
Kann mir hier jemand weiterhelfen? Danke schonmal vorab.
hier mein Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 19:50:36, on 15.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

#29 dirki

fuehre das aus.

Remove:
newdotnet3_36.dll
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Kajo35

arbeite das ab:
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

dann scanne noch mit ewido
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit