W32.Alcra.B wie werde ich ihn los?

#0
30.12.2005, 14:55
...neu hier

Beiträge: 2
#1 Hallo erstmal
Ich habe mir diesen Wurm (alcra.B) eingefangen und schon in mehreren foren geguckt was ich machen muss ich verstehe aber schon nicht was logfile und hijackthis und sowas ist, da ich absuluter newbie bin. Ich möchte wissen was ich als erstes machen muss mein antivirenprogramm (norton) ziegt mir immer das gleiche "...hat ein virus auf ihrem computer gefunden Objektname C:\WINDOWS\TEMPßTMP964.TMP
Virenname: W32.Alcra.B
Aktion: Die Datei konnte nicht repariert werden."
Aller dings steht dort immer etwas anderes mal hat er sie gelöscht dann ist der wurm angeblich woanders.
Ich verzweifle langsam bitte helft mir !!!
MfG Kai
Seitenanfang Seitenende
30.12.2005, 15:50
Member

Beiträge: 19
#2 hi,

Ich glaube der kann nicht gelöscht werden weil das Programm oder die Datei am laufen ist.
Am besten probiers du mal ein paar Scanner aus

http://vil.nai.com/vil/stinger/
http://virus-protect.org/artikel/tools/ADSSpy.exe

Mfg

jjock@gmx.net
Seitenanfang Seitenende
30.12.2005, 15:56
...neu hier

Themenstarter

Beiträge: 2
#3 Danke, aber mit stinger hab ichs schon versucht der findet den wurm nicht und hier das andere auch nicht aber ich denke mal nicht das mein antivirenprogramm lügt der muss sich ja irgendwo verstecken und ich find ihn einfach nicht =(
MfG Kai
Seitenanfang Seitenende
30.12.2005, 16:34
Member

Beiträge: 19
#4 Also der Wurm kann nur gelöscht werden wenn du den Prozes beendes mach mal ein ss von deinem Taskmanager und schick mir den per icq dann kan ich den Prozess suchen

mfg

195-617-588

jjock@gmx.net
Seitenanfang Seitenende
13.01.2006, 17:07
...neu hier

Beiträge: 1
#5 Tachchen
ich hab auch diesen Virus obwohl ich ihn gar nicht gemerkt hab. Aufgefallen is er mir nur weil der task manager nicht mehr gestartet ist. Ich glaube dass kann man mit dem Virus auch gar nicht, weil er die Datei vom Taskmanager so verändert, dass er nicht mehr startet.
Seitenanfang Seitenende
04.02.2006, 19:16
...neu hier

Beiträge: 5
#6 hallo habe mir auch den wurm W32.Alcra.B eingefangen.
habe mir auch hijack downgeloaded und habe alles ausgeführt.hier nun die hijack.log datei: kann mir jemand helfen?
Logfile of HijackThis v1.99.1
Scan saved at 19:05:13, on 04.02.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\DitExp.exe
C:\Programme\winupdates\winupdates.exe
D:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Open Office\program\soffice.exe
D:\Open Office\program\soffice.BIN
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\crypserv.exe
D:\norton\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\cidaemon.exe
D:\norton\navw32.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht++://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht++://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht++://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht++://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht++://ie.search.msn.com/de/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht++://www.google.com/ie
R1 HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = ht++://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\norton\NavShExt.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - C:\WINDOWS\System32\amcis.dll (file missing)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\norton\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HARDWA~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\HARDWA~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] D:\norton\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia6230i installshield\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Open Office\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\adobe\Reader\reader_sl.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht++://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132063390687
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ht++://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132063358391
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - htt++//www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - ht++://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{186722D7-BC81-4554-8A2F-BB61C4F8B72A}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\norton\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

vielen dank im voraus!
Seitenanfang Seitenende
04.02.2006, 19:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 tunisman21

da ist auch ein "dicker,fetter" Backdoor auf dem System, der alles auspioniert, was du so machst...

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - (no file)
O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - C:\WINDOWS\System32\amcis.dll (file missing)
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - htt++//www.tbcode.com/ist/softwares/v4.0/0006_regular.cab

PC neustarten

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2006, 17:21
...neu hier

Beiträge: 5
#8 Alles klar,
vielen dank.denke ich habe ihn los.danke für die super infos!!wollte aber beim letzten schritt mich den 4 textdateien noch mal wissen was ich da genau machen muss.was ich ein thread?und als was für einen dateityp kopiere ich die kopierten dateien vmo editor in die verzeichnisse?
lg
Seitenanfang Seitenende
05.02.2006, 17:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 ein Thread ist das hier ... du sollst die 4 Textdateien hier rein-kopieren

wieso bist du den Backdoor und den Rest los ??? Ich habe doch noch garnichts geschrieben gehabt ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2006, 22:14
...neu hier

Beiträge: 5
#10 hey,
habe gedacht ich hätte ihn los,da mein taskmanager unter anderem wieder geht!!also flasch gedacht oder?
naja hier die dateien..vielen dank im voraus!!

Verzeichnis von C:\WINDOWS\system32


05.02.2006 16:12 2 netstat.com
05.02.2006 16:12 2 ping.com
05.02.2006 16:12 2 cmd.com
05.02.2006 16:12 2 tracert.com
05.02.2006 16:12 2 tasklist.com
05.02.2006 16:12 2 taskkill.com
05.02.2006 16:12 2 regedit.com
05.02.2006 16:11 2.184 wpa.dbl
22.01.2006 18:53 7.006 jupdate-1.5.0_06-b05.log
25.12.2005 21:47 4.608 W95inf32.dll
25.12.2005 21:47 2.272 W95inf16.dll
19.12.2005 10:13 62.464 bszip.dll
08.12.2005 17:07 32 {36478731-1646-47ED-A385-D81871C5A686}.dat
08.12.2005 17:07 14 SR2.dat
27.11.2005 23:14 235.968 FNTCACHE.DAT
21.11.2005 13:46 23.392 nscompat.tlb
21.11.2005 13:46 16.832 amcompat.tlb
20.11.2005 21:51 596 ws848151.ocx
15.11.2005 15:16 3.534 jupdate-1.5.0_03-b07.log
15.11.2005 14:49 723.744 PerfStringBackup.INI
15.11.2005 14:49 311.604 perfh009.dat
15.11.2005 14:49 39.992 perfc009.dat
15.11.2005 14:49 48.156 perfc007.dat
15.11.2005 14:49 316.594 perfh007.dat
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe


Verzeichnis von C:\DOKUME~1\Tunisman\LOKALE~1\Temp

05.02.2006 21:56 16.384 ~DF21CC.tmp
05.02.2006 21:47 609 jusched.log
05.02.2006 21:40 16.384 ~DFD994.tmp
05.02.2006 19:24 16.384 ~DF7F2F.tmp
05.02.2006 19:24 16.384 ~DFD94B.tmp
05.02.2006 16:33 16.384 ~DFB28F.tmp
05.02.2006 16:33 16.384 ~DF2B3E.tmp
05.02.2006 16:33 16.384 ~DFA991.tmp
05.02.2006 16:31 16.384 ~DF34DB.tmp
04.02.2006 19:24 16.384 ~DFAFE1.tmp
04.02.2006 19:18 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}6082.html
11 Datei(en) 149.043 Bytes
0 Verzeichnis(se), 1.620.561.920 Bytes frei

Verzeichnis von C:\WINDOWS

05.02.2006 21:40 0 0.log
05.02.2006 21:38 159 wiadebug.log
05.02.2006 21:37 2.048 bootstat.dat
05.02.2006 19:25 331.603 WindowsUpdate.log
05.02.2006 19:25 50 wiaservc.log
05.02.2006 19:25 32.550 SchedLgU.Txt
05.02.2006 19:22 328 LEXSTAT.INI
05.02.2006 16:35 736.958 setupapi.log
04.02.2006 18:32 176.743 setupact.log
04.02.2006 17:04 131.344 iis6.log
04.02.2006 17:04 21.264 ntdtcsetup.log
04.02.2006 17:04 34.943 comsetup.log
04.02.2006 17:04 1.891 imsins.log
04.02.2006 17:04 3.920 msgsocm.log
04.02.2006 17:04 3.926 ocmsn.log
04.02.2006 17:04 47.146 tsoc.log
04.02.2006 17:04 55.622 ocgen.log
04.02.2006 17:04 67.943 FaxSetup.log
04.02.2006 17:03 32.176 msmqinst.log
30.01.2006 21:27 175.376 ntbtlog.txt
28.01.2006 17:50 74.988 wmsetup.log
28.01.2006 17:44 2.200 OEWABLog.txt
13.01.2006 13:02 443 wmsetup10.log
08.12.2005 17:07 32 {B7FB830A-6408-40B2-A9BF-3B483C7E8534}.dat
08.12.2005 17:06 36.576 MININU.LOG
08.12.2005 17:06 816 _delis32.ini
07.12.2005 16:01 0 setuperr.log
21.11.2005 13:46 669 win.ini
21.11.2005 13:42 316.640 WMSysPr9.prx
16.11.2005 22:41 3.065 Active Setup Log.txt
15.11.2005 19:25 82.194 Directx.log
09.11.2005 22:57 132 winamp.ini
05.11.2005 11:41 19 SoundConverter.INI

Verzeichnis von C:\

05.02.2006 22:12 0 sys.txt
05.02.2006 22:12 7.378 system.txt
05.02.2006 22:11 823 systemtemp.txt
05.02.2006 22:08 95.247 system32.txt
05.02.2006 21:37 133.812.224 hiberfil.sys
05.02.2006 21:37 201.326.592 pagefile.sys
20.11.2005 21:51 596 os930559.bin
31.10.2005 16:56 700.416 StubInstaller.exe
27.02.2005 14:23 192 BcBtRmv.log
Seitenanfang Seitenende
05.02.2006, 23:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 tunisman21

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .....

C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\bszip.dll
C:\StubInstaller.exe

PC neustarten

Sollte man folgende Meldung erhalten, dann führe einen manuellen Neustart durch. "PendingFileRenameOperations Registry Data has been Removed by External Process!"

-----------------------------------------------------------------

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

arbeite das ab
(eingeschlossen den ewido-scanner)
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.03.2006, 21:09
...neu hier

Beiträge: 5
#12 hallo,
brauche wieder eure hilfe!mein bruder hat sich auf dem pc den win32.sybot.worm eingefangen und braucht jetzt hilfe!!
kann mir jemand bzw. ihm jemand weiterhelfen?
lg tunisman21
Seitenanfang Seitenende
04.03.2006, 15:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 tunisman21

du weisst doch schon was ich brauch: das Log vom HijackThis + die 4 Textdateien von Datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.03.2006, 20:38
...neu hier

Beiträge: 1
#14 Hallo
Ich bin neu hier und habe mir wohl so einieges eingefangen u.a. auch den Alcra.b den ich nun nicht
löschen kann. Bitte um Hilfe

Im Voraus besten Dank



Logfile of HijackThis v1.99.1
Scan saved at 19:01:49, on 06.03.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\E_S6I0B1.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAMME\TWEAKNOW POWERPACK\RAM_9X.EXE
C:\WINDOWS\TWAIN_32\C6U14K\WATCH.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\SYSTEM\E_S6I0B1.EXE /P23 "EPSON Stylus D88 Series" /O7 "EPUSB1:" /M "Stylus D88"
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\TweakNow PowerPack\RAM_9x.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\C6U14K\WATCH.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O8 - Extra context menu item: LimeShop Preferences - file://C:\Programme\LimeShop\System\Temp\limeshop_script0.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/180solutions/ie/bridge-c24.cab
Seitenanfang Seitenende
10.03.2006, 01:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Gerry20

hier kann ich leider nicht viel helfen, weil der ewido auf WinMe nicht laueft....

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten


O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/180solutions/ie/bridge-c24.cab

PC neustarten

Sophos - disinfection/alcra
http://www.sophos.com/support/disinfection/alcra.html

scanne mit deinem Antivirus im abgesicherten modus
+
Olinevirenscan (Panda)...loescht nicht, zeigt nur an.
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: