W32.Alcra.B wie werde ich ihn los? |
||
---|---|---|
#0
| ||
30.12.2005, 14:55
...neu hier
Beiträge: 2 |
||
|
||
30.12.2005, 15:50
Member
Beiträge: 19 |
#2
hi,
Ich glaube der kann nicht gelöscht werden weil das Programm oder die Datei am laufen ist. Am besten probiers du mal ein paar Scanner aus http://vil.nai.com/vil/stinger/ http://virus-protect.org/artikel/tools/ADSSpy.exe Mfg jjock@gmx.net |
|
|
||
30.12.2005, 15:56
...neu hier
Themenstarter Beiträge: 2 |
#3
Danke, aber mit stinger hab ichs schon versucht der findet den wurm nicht und hier das andere auch nicht aber ich denke mal nicht das mein antivirenprogramm lügt der muss sich ja irgendwo verstecken und ich find ihn einfach nicht =(
MfG Kai |
|
|
||
30.12.2005, 16:34
Member
Beiträge: 19 |
#4
Also der Wurm kann nur gelöscht werden wenn du den Prozes beendes mach mal ein ss von deinem Taskmanager und schick mir den per icq dann kan ich den Prozess suchen
mfg 195-617-588 jjock@gmx.net |
|
|
||
13.01.2006, 17:07
...neu hier
Beiträge: 1 |
#5
Tachchen
ich hab auch diesen Virus obwohl ich ihn gar nicht gemerkt hab. Aufgefallen is er mir nur weil der task manager nicht mehr gestartet ist. Ich glaube dass kann man mit dem Virus auch gar nicht, weil er die Datei vom Taskmanager so verändert, dass er nicht mehr startet. |
|
|
||
04.02.2006, 19:16
...neu hier
Beiträge: 5 |
#6
hallo habe mir auch den wurm W32.Alcra.B eingefangen.
habe mir auch hijack downgeloaded und habe alles ausgeführt.hier nun die hijack.log datei: kann mir jemand helfen? Logfile of HijackThis v1.99.1 Scan saved at 19:05:13, on 04.02.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe C:\WINDOWS\Dit.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\DitExp.exe C:\Programme\winupdates\winupdates.exe D:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\ctfmon.exe D:\Open Office\program\soffice.exe D:\Open Office\program\soffice.BIN C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\system32\crypserv.exe D:\norton\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\cidaemon.exe D:\norton\navw32.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://www.google.com/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://www.google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht++://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht++://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht++://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht++://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht++://ie.search.msn.com/de/srchasst/srchasst.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht++://www.google.com/ie R1 HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = ht++://home.microsoft.com/access/autosearch.asp?p=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\adobe\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\norton\NavShExt.dll O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file) O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - C:\WINDOWS\System32\amcis.dll (file missing) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\norton\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [Advanced Tools Check] D:\norton\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia6230i installshield\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: OpenOffice.org 2.0.lnk = D:\Open Office\program\quickstart.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\adobe\Reader\reader_sl.exe O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht++://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132063390687 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ht++://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132063358391 O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - htt++//www.tbcode.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - ht++://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{186722D7-BC81-4554-8A2F-BB61C4F8B72A}: NameServer = 195.50.140.252 195.50.140.114 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\norton\AdvTools\NPROTECT.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe vielen dank im voraus! |
|
|
||
04.02.2006, 19:41
Ehrenmitglied
Beiträge: 29434 |
#7
tunisman21
da ist auch ein "dicker,fetter" Backdoor auf dem System, der alles auspioniert, was du so machst... öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file) O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - C:\WINDOWS\System32\amcis.dll (file missing) O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - htt++//www.tbcode.com/ist/softwares/v4.0/0006_regular.cab PC neustarten stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2006, 17:21
...neu hier
Beiträge: 5 |
#8
Alles klar,
vielen dank.denke ich habe ihn los.danke für die super infos!!wollte aber beim letzten schritt mich den 4 textdateien noch mal wissen was ich da genau machen muss.was ich ein thread?und als was für einen dateityp kopiere ich die kopierten dateien vmo editor in die verzeichnisse? lg |
|
|
||
05.02.2006, 17:23
Ehrenmitglied
Beiträge: 29434 |
#9
ein Thread ist das hier ... du sollst die 4 Textdateien hier rein-kopieren
wieso bist du den Backdoor und den Rest los ??? Ich habe doch noch garnichts geschrieben gehabt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2006, 22:14
...neu hier
Beiträge: 5 |
#10
hey,
habe gedacht ich hätte ihn los,da mein taskmanager unter anderem wieder geht!!also flasch gedacht oder? naja hier die dateien..vielen dank im voraus!! Verzeichnis von C:\WINDOWS\system32 05.02.2006 16:12 2 netstat.com 05.02.2006 16:12 2 ping.com 05.02.2006 16:12 2 cmd.com 05.02.2006 16:12 2 tracert.com 05.02.2006 16:12 2 tasklist.com 05.02.2006 16:12 2 taskkill.com 05.02.2006 16:12 2 regedit.com 05.02.2006 16:11 2.184 wpa.dbl 22.01.2006 18:53 7.006 jupdate-1.5.0_06-b05.log 25.12.2005 21:47 4.608 W95inf32.dll 25.12.2005 21:47 2.272 W95inf16.dll 19.12.2005 10:13 62.464 bszip.dll 08.12.2005 17:07 32 {36478731-1646-47ED-A385-D81871C5A686}.dat 08.12.2005 17:07 14 SR2.dat 27.11.2005 23:14 235.968 FNTCACHE.DAT 21.11.2005 13:46 23.392 nscompat.tlb 21.11.2005 13:46 16.832 amcompat.tlb 20.11.2005 21:51 596 ws848151.ocx 15.11.2005 15:16 3.534 jupdate-1.5.0_03-b07.log 15.11.2005 14:49 723.744 PerfStringBackup.INI 15.11.2005 14:49 311.604 perfh009.dat 15.11.2005 14:49 39.992 perfc009.dat 15.11.2005 14:49 48.156 perfc007.dat 15.11.2005 14:49 316.594 perfh007.dat 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe Verzeichnis von C:\DOKUME~1\Tunisman\LOKALE~1\Temp 05.02.2006 21:56 16.384 ~DF21CC.tmp 05.02.2006 21:47 609 jusched.log 05.02.2006 21:40 16.384 ~DFD994.tmp 05.02.2006 19:24 16.384 ~DF7F2F.tmp 05.02.2006 19:24 16.384 ~DFD94B.tmp 05.02.2006 16:33 16.384 ~DFB28F.tmp 05.02.2006 16:33 16.384 ~DF2B3E.tmp 05.02.2006 16:33 16.384 ~DFA991.tmp 05.02.2006 16:31 16.384 ~DF34DB.tmp 04.02.2006 19:24 16.384 ~DFAFE1.tmp 04.02.2006 19:18 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}6082.html 11 Datei(en) 149.043 Bytes 0 Verzeichnis(se), 1.620.561.920 Bytes frei Verzeichnis von C:\WINDOWS 05.02.2006 21:40 0 0.log 05.02.2006 21:38 159 wiadebug.log 05.02.2006 21:37 2.048 bootstat.dat 05.02.2006 19:25 331.603 WindowsUpdate.log 05.02.2006 19:25 50 wiaservc.log 05.02.2006 19:25 32.550 SchedLgU.Txt 05.02.2006 19:22 328 LEXSTAT.INI 05.02.2006 16:35 736.958 setupapi.log 04.02.2006 18:32 176.743 setupact.log 04.02.2006 17:04 131.344 iis6.log 04.02.2006 17:04 21.264 ntdtcsetup.log 04.02.2006 17:04 34.943 comsetup.log 04.02.2006 17:04 1.891 imsins.log 04.02.2006 17:04 3.920 msgsocm.log 04.02.2006 17:04 3.926 ocmsn.log 04.02.2006 17:04 47.146 tsoc.log 04.02.2006 17:04 55.622 ocgen.log 04.02.2006 17:04 67.943 FaxSetup.log 04.02.2006 17:03 32.176 msmqinst.log 30.01.2006 21:27 175.376 ntbtlog.txt 28.01.2006 17:50 74.988 wmsetup.log 28.01.2006 17:44 2.200 OEWABLog.txt 13.01.2006 13:02 443 wmsetup10.log 08.12.2005 17:07 32 {B7FB830A-6408-40B2-A9BF-3B483C7E8534}.dat 08.12.2005 17:06 36.576 MININU.LOG 08.12.2005 17:06 816 _delis32.ini 07.12.2005 16:01 0 setuperr.log 21.11.2005 13:46 669 win.ini 21.11.2005 13:42 316.640 WMSysPr9.prx 16.11.2005 22:41 3.065 Active Setup Log.txt 15.11.2005 19:25 82.194 Directx.log 09.11.2005 22:57 132 winamp.ini 05.11.2005 11:41 19 SoundConverter.INI Verzeichnis von C:\ 05.02.2006 22:12 0 sys.txt 05.02.2006 22:12 7.378 system.txt 05.02.2006 22:11 823 systemtemp.txt 05.02.2006 22:08 95.247 system32.txt 05.02.2006 21:37 133.812.224 hiberfil.sys 05.02.2006 21:37 201.326.592 pagefile.sys 20.11.2005 21:51 596 os930559.bin 31.10.2005 16:56 700.416 StubInstaller.exe 27.02.2005 14:23 192 BcBtRmv.log |
|
|
||
05.02.2006, 23:47
Ehrenmitglied
Beiträge: 29434 |
#11
tunisman21
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ..... C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\tracert.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\taskkill.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\bszip.dll C:\StubInstaller.exe PC neustarten Sollte man folgende Meldung erhalten, dann führe einen manuellen Neustart durch. "PendingFileRenameOperations Registry Data has been Removed by External Process!" ----------------------------------------------------------------- nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell arbeite das ab (eingeschlossen den ewido-scanner) http://virus-protect.org/artikel/bfu/p2pbfuhtml.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.03.2006, 21:09
...neu hier
Beiträge: 5 |
#12
hallo,
brauche wieder eure hilfe!mein bruder hat sich auf dem pc den win32.sybot.worm eingefangen und braucht jetzt hilfe!! kann mir jemand bzw. ihm jemand weiterhelfen? lg tunisman21 |
|
|
||
04.03.2006, 15:36
Ehrenmitglied
Beiträge: 29434 |
#13
tunisman21
du weisst doch schon was ich brauch: das Log vom HijackThis + die 4 Textdateien von Datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.03.2006, 20:38
...neu hier
Beiträge: 1 |
#14
Hallo
Ich bin neu hier und habe mir wohl so einieges eingefangen u.a. auch den Alcra.b den ich nun nicht löschen kann. Bitte um Hilfe Im Voraus besten Dank Logfile of HijackThis v1.99.1 Scan saved at 19:01:49, on 06.03.2006 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\E_S6I0B1.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE C:\PROGRAMME\TWEAKNOW POWERPACK\RAM_9X.EXE C:\WINDOWS\TWAIN_32\C6U14K\WATCH.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/ O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\SYSTEM\E_S6I0B1.EXE /P23 "EPSON Stylus D88 Series" /O7 "EPUSB1:" /M "Stylus D88" O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\TweakNow PowerPack\RAM_9x.exe O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe" O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\C6U14K\WATCH.exe O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE O8 - Extra context menu item: LimeShop Preferences - file://C:\Programme\LimeShop\System\Temp\limeshop_script0.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/180solutions/ie/bridge-c24.cab |
|
|
||
10.03.2006, 01:10
Ehrenmitglied
Beiträge: 29434 |
#15
Gerry20
hier kann ich leider nicht viel helfen, weil der ewido auf WinMe nicht laueft.... öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/180solutions/ie/bridge-c24.cab PC neustarten Sophos - disinfection/alcra http://www.sophos.com/support/disinfection/alcra.html scanne mit deinem Antivirus im abgesicherten modus + Olinevirenscan (Panda)...loescht nicht, zeigt nur an. http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich habe mir diesen Wurm (alcra.B) eingefangen und schon in mehreren foren geguckt was ich machen muss ich verstehe aber schon nicht was logfile und hijackthis und sowas ist, da ich absuluter newbie bin. Ich möchte wissen was ich als erstes machen muss mein antivirenprogramm (norton) ziegt mir immer das gleiche "...hat ein virus auf ihrem computer gefunden Objektname C:\WINDOWS\TEMPßTMP964.TMP
Virenname: W32.Alcra.B
Aktion: Die Datei konnte nicht repariert werden."
Aller dings steht dort immer etwas anderes mal hat er sie gelöscht dann ist der wurm angeblich woanders.
Ich verzweifle langsam bitte helft mir !!!
MfG Kai