WORM/Alcra.B Alarm |
||
---|---|---|
#0
| ||
27.12.2005, 14:40
Ehrenmitglied
Beiträge: 29434 |
||
|
||
28.12.2005, 18:35
...neu hier
Beiträge: 5 |
#17
Hallo liebes Protecus Team,
vor Kurzem habe ich mit Eurer Hilfe den Wurm Alcra "gekillt", denn nachdem alle Schritte durchgegangen worden sind, konnte AntiVir nichts mehr entdecken. Gestern habe ich den Scan wieder laufen lassen, nicht nur, dass ich Ihn wieder habe (?!), sondern AntiVir hat auch das Datum vom letzten Mal wieder aufgeführt. Kann es sein, dass sich der Wurm "verändert" hat und daher immer noch drauf ist ? Wäre Eurer Hilfe sehr verbunden ! Habe nun nochmal das HiJack LOg von gestern reinkopiert: Logfile of HijackThis v1.98.2 Scan saved at 10:30:45, on 28.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Toshiba\Toshiba Applet\thotkey.exe C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe C:\Programme\TOSHIBA\Tvs\TvsTray.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe C:\Programme\Musicmatch\Musicmatch Jukebox\MMDiag.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearchIndexer.exe C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Tablet.exe C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\\Eigene Dateien\Work\DeskShareClient-40\DeskShareClientDE-4.0.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Dokumente und Einstellungen\\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini" O4 - HKLM\..\Run: [MimBoot] C:\Programme\Musicmatch\Musicmatch Jukebox\mimboot.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O4 - Global Startup: VPN Client.lnk = ? O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/229?b223ba357aad4e338c7a6c8214794e79 O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/230?b223ba357aad4e338c7a6c8214794e79 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: *.musicmatch.com O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{74E54052-CF7A-4F7C-ABCF-4A0BBF0BCCCB}: NameServer = 192.168.0.1 ------------------------------------------------------------------------ Besten Dank im Voraus !!!! Liebe Grüsslis, slomo |
|
|
||
28.12.2005, 19:43
Ehrenmitglied
Beiträge: 29434 |
#18
slomo
stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html kopiere hier die 4 textdateien (2 Monate vom Datum her genuegt) http://virus-protect.org/datfindbat.html Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp Verzeichnis von C:\WINDOWS Verzeichnis von C:\ __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.12.2005, 21:37
...neu hier
Beiträge: 5 |
#19
Hallo Sabina,
Vielen Dank, dass Du Dich so schnell gemeldet hast. Ich hoffe, dass ich das soweit hinbekommen habe. Wie soll ich fortfahren ? Herzlichen Dank für Deine Mühen !!! Schönen Gruß,, slomo -------------------------------------------------------------------------- Verzeichnis von C:\WINDOWS\system32 28.12.2005 18:13 391.574 perfh007.dat 28.12.2005 18:13 380.684 perfh009.dat 28.12.2005 18:13 53.098 perfc009.dat 28.12.2005 18:13 63.976 perfc007.dat 28.12.2005 18:13 898.510 PerfStringBackup.INI 28.12.2005 18:07 12.398 tablet.dat 23.12.2005 20:21 1.158 wpa.dbl 15.12.2005 22:54 0 asfiles.txt 15.12.2005 22:51 2.550 Uninstall.ico 15.12.2005 22:51 1.406 Help.ico 15.12.2005 22:51 1.718 Open.ico 15.12.2005 22:51 1.406 AddQuit.ico 15.12.2005 22:51 5.350 IE.ico 15.12.2005 22:51 9.470 Desktop.ico 15.12.2005 22:51 1.718 Quick.ico 09.12.2005 01:21 2.723.680 MRT.exe 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 11:43 234.368 FNTCACHE.DAT 24.11.2005 00:58 3.013.632 mshtml.dll 24.11.2005 00:58 1.022.464 browseui.dll 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 31.10.2005 22:52 100 LuResult.txt 31.10.2005 19:19 4.212 zllictbl.dat 31.10.2005 19:08 332 $winnt$.inf 21.10.2005 04:40 664.064 wininet.dll 21.10.2005 04:40 474.112 shlwapi.dll 21.10.2005 04:40 448.512 mshtmled.dll 21.10.2005 04:40 146.432 msrating.dll 21.10.2005 04:40 39.424 pngfilt.dll 21.10.2005 04:40 530.944 mstime.dll 21.10.2005 04:40 96.768 inseng.dll 21.10.2005 04:40 251.392 iepeers.dll 21.10.2005 04:40 152.064 cdfview.dll 21.10.2005 04:40 205.312 dxtrans.dll 21.10.2005 04:40 55.808 extmgr.dll 20.10.2005 23:25 1.094.144 esent.dll 13.10.2005 00:15 15.584 spmsg.dll 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 23.09.2005 04:06 8.491.520 shell32.dll 14.09.2005 20:17 53.248 pxhpinst.exe 10.09.2005 02:54 2.067.968 cdosys.dll 01.09.2005 02:44 292.352 winsrv.dll 01.09.2005 02:44 19.968 linkinfo.dll ----------------------------------------------------------------------- Verzeichnis von C:\DOKUME~1\CHA-WE~1\LOKALE~1\Temp 28.12.2005 21:28 6.800 mmmxl.log 28.12.2005 21:28 0 JET8E9B.tmp 2 Datei(en) 6.800 Bytes 0 Verzeichnis(se), 39.426.875.392 Bytes frei ----------------------------------------------------------------------- Verzeichnis von C:\WINDOWS 28.12.2005 20:55 278 system.ini 28.12.2005 18:08 0 0.log 28.12.2005 18:07 159 wiadebug.log 28.12.2005 18:07 1.468.400 WindowsUpdate.log 28.12.2005 18:07 50 wiaservc.log 28.12.2005 18:07 2.048 bootstat.dat 28.12.2005 17:30 32.614 SchedLgU.Txt 28.12.2005 04:21 798.192 setupapi.log 19.12.2005 00:21 151 PhotoSnapViewer.INI 17.12.2005 21:11 116 NeroDigital.ini 16.12.2005 02:21 49.188 iis6.log 16.12.2005 02:21 112.415 comsetup.log 16.12.2005 02:21 66.893 ntdtcsetup.log 16.12.2005 02:21 17.213 ocmsn.log 16.12.2005 02:21 1.393 imsins.log 16.12.2005 02:21 126.198 tsoc.log 16.12.2005 02:21 28.574 KB905915.log 16.12.2005 02:21 15.734 msgsocm.log 16.12.2005 02:21 157.363 ocgen.log 16.12.2005 02:21 303.400 FaxSetup.log 16.12.2005 02:21 22.056 updspapi.log 15.12.2005 22:53 632 win.ini 15.12.2005 21:09 10 smdat32m.sys 15.12.2005 08:35 1.393 imsins.BAK 15.12.2005 08:35 7.514 KB910437.log 08.12.2005 18:29 42.923 wmsetup.log 07.12.2005 20:39 6.565 DirectX.log 30.11.2005 19:52 0 smdat32a.sys 30.11.2005 16:42 1.264.485 Elvis.exe 30.11.2005 16:42 395.708 Elvis.scr 30.11.2005 16:42 18.192 Elvis.dat 30.11.2005 16:42 40.960 Elvis.dll 24.11.2005 11:44 221.216 setupact.log 24.11.2005 10:02 70.340 uni05_53.ttf 24.11.2005 10:02 69.600 uni05_64.ttf 24.11.2005 10:02 69.600 uni05_63.ttf 24.11.2005 10:02 70.340 uni05_54.ttf 21.11.2005 00:08 1.115.833 setuplog.txt 15.11.2005 23:55 18.448 system32can4d 15.11.2005 23:37 516 MAXLINK.INI 09.11.2005 11:08 12.381 KB896424.log 02.11.2005 01:24 26.628 KB899587.log 02.11.2005 01:24 25.801 KB901017.log 02.11.2005 01:24 26.115 KB899591.log 02.11.2005 01:24 25.926 KB893756.log 02.11.2005 01:24 25.008 KB896423.log 02.11.2005 01:24 25.037 KB887742.log 02.11.2005 01:24 17.354 KB898458.log 02.11.2005 01:24 36.753 KB902400.log 02.11.2005 01:24 23.882 KB890046.log 02.11.2005 01:24 18.658 KB896688.log 02.11.2005 01:23 18.608 KB905414.log 02.11.2005 01:23 17.849 KB901214.log 02.11.2005 01:23 18.479 KB900725.log 02.11.2005 01:23 16.243 KB904706.log 02.11.2005 01:23 16.545 KB905749.log 02.11.2005 01:23 15.326 KB896428.log 02.11.2005 01:23 18.292 KB894391.log 02.11.2005 01:23 15.848 KB890859.log 01.11.2005 02:30 6.841 KB898461.log 01.11.2005 01:18 1.471.254 Firefox Wallpaper.bmp 01.11.2005 01:06 3.726 mozver.dat 01.11.2005 00:05 376 wmsetup10.log 31.10.2005 23:02 99.970 UninstallFirefox.exe 31.10.2005 21:56 0 nsreg.dat 31.10.2005 19:28 400 ODBC.INI 31.10.2005 19:09 2.209 OEWABLog.txt 31.10.2005 19:08 209.761 SetupWLD.log 31.10.2005 18:03 4.541 sessmgr.setup.log 31.10.2005 18:03 641 DtcInstall.log 31.10.2005 18:01 11.012 regopt.log 23.08.2005 11:23 32 setup.log 23.08.2005 10:45 8.192 REGLOCS.OLD |
|
|
||
28.12.2005, 22:05
Ehrenmitglied
Beiträge: 29434 |
#20
slomo
vom Wurm Alcra ist nichts zusehen, aber du kannst mal mit ewido scannen, der entfernt es normalerweise http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.12.2005, 14:39
...neu hier
Beiträge: 5 |
#21
hallo Sabina,
herzlichen Dank für Deine Mühen, habe mit Ewido noch etliches entfernt und das GAnze nochmal mit AntiVir gescannt heute. Es scheint nichts mehr drauf zu sein. Das ist wirklich klasse. Ich danke Dir !!! Wünsche Dir einen gesunden Rutsch ins Neue LG, slomo |
|
|
||
07.01.2006, 18:15
...neu hier
Beiträge: 4 |
#22
hallo, ich habe leider wieder den alcra b wurm auf meinem pc. vor ein paar wochen hatte ich ihn schonmal gelöscht, nun ist er wieder drauf, nachdem ich ein archiv (leider -.- ) geöffnet habe. ich hoffe, ihr könnt mir nochmal helfen.
logfile: Start des Suchlaufs: Samstag, 7. Januar 2006 17:45 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK Bootsektor von Laufwerk D: OK Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0002 C:\ WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Homer Simpson\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EXMZO3KX swflash[1].cab ArchiveType: CAB (Microsoft) --> swflash.inf HINWEIS! Der Archivheader ist defekt --> Flash.ocx HINWEIS! Der Archivheader ist defekt --> GetFlash.exe HINWEIS! Der Archivheader ist defekt --> GetFlash.man HINWEIS! Der Archivheader ist defekt C:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\SYSTEM32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\TEMP ZLT02608.TMP Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! D:\Recycled Dd10.zip ArchiveType: ZIP --> Setup.exe [FUND!] Enthält Signatur des Wurmes WORM/Alcra.B kleine nebenfrage: ist es schlimm, dass der zugriff bei einigen sachen verweigert wird? vielen dank im vorraus |
|
|
||
07.01.2006, 22:21
Ehrenmitglied
Beiträge: 29434 |
#23
ismok
http://virus-protect.org/ewido.html scanne mit ewido, der entfernt die Malware. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.01.2006, 19:36
...neu hier
Beiträge: 9 |
#24
Hallo, unerfreulicher Weise bin ich auch betroffen vom WORM/Alcra.B Ich habe einige posts dazu in diesem Forum gelesen und hoffe, dass mir nun jemand helfen kann. Ich habe eine Logfile mit Highjackthis erstellt. Weiter bin ich jedoch nicht gekommen.
Ich würde mich wirklich freuen, wenn mir jemand helfen kann! Vielen Dank schon jetzt. Logfile of HijackThis v1.99.1 Scan saved at 19:21:17, on 14.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: .... Dieser Beitrag wurde am 15.01.2006 um 10:10 Uhr von dirki editiert.
|
|
|
||
14.01.2006, 22:31
...neu hier
Beiträge: 9 |
#25
Danke für die schnelle Antwort! Der Check hat etwas gedauert und ne Menge wurde entdeckt und entfernt... Was kommt jetzt?
Gruß Dirki |
|
|
||
14.01.2006, 22:33
Ehrenmitglied
Beiträge: 29434 |
#26
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.01.2006, 22:38
...neu hier
Beiträge: 9 |
#27
Meinst Du die Dateien, die dann beim Spychercker im Feld Keep erscheinen? Das wären diese:
mswsock.dll winrnr.dll rsvpsp.dll oder Remove: newdotnet3_36.dll .... oder muss ich noch etwas anderes machen? Danke dirki Dieser Beitrag wurde am 14.01.2006 um 22:52 Uhr von dirki editiert.
|
|
|
||
15.01.2006, 19:56
...neu hier
Beiträge: 1 |
#28
Hallo,
auch ich bin einer derjenigen, bei denen ANTIVIR den Worm Alcra.B entdeckt hat. Nachdem ich mich bei euch ein wenig eingelesen habe, hab ich versucht, den Hijack Log beim Hijackthis.de direkt auswerten lassen - allerdings als ERGEBNIS immer nur gut,gut,gut, bekommen und das kommt mir dann doch etwas komisch vor. Da ich nur blutiger Anfänger bin, bin ich mit meinem Latein dann schon am Ende. Kann mir hier jemand weiterhelfen? Danke schonmal vorab. hier mein Logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:50:36, on 15.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\StarOffice7\program\soffice.exe C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
|
|
||
16.01.2006, 14:15
Ehrenmitglied
Beiträge: 29434 |
||
|
||
16.01.2006, 14:16
Ehrenmitglied
Beiträge: 29434 |
#30
Kajo35
arbeite das ab: http://virus-protect.org/artikel/bfu/p2pbfuhtml.html dann scanne noch mit ewido http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
C:\WINDOWS\INF\biini.inf
C:\WINDOWS\ndnuninstall4_88.exe
C:\WINDOWS\ss3unstl.exe
C:\Programme\Gemeinsame Dateien\cmeii\gappmgr.dll
C:\Programme\Gemeinsame Dateien\cmeii\gmtproxy.dll
C:\Programme\Gemeinsame Dateien\cmeii\gobjs.dll
C:\Programme\Gemeinsame Dateien\cmeii\gtools.dll
C:\WINDOWS\inf\biini.inf
C:\WINDOWS\system32\grwinsthlp.exe
loesche manuell:
C:\Programme\Gemeinsame Dateien\cmeii
C:\WINDOWS\inf
C:\!KillBox\EGIEProcess.dll
C:\!KillBox\EGNSEngine.dll
C:\!KillBox\GatorStubSetup.exe
C:\!KillBox\GUninstaller.exe
__________
MfG Sabina
rund um die PC-Sicherheit