Worm Alcra - Wie kann man die Störung beheben ?

#1 Hallo,

habe auch mit meinem Antivir Programm einige Fehlermeldungen bekommen - leider stand da was von vierzig Einträgen und dem Worm B die nicht gelöscht werden "könnnen" .
Habe nun auch Logfile gemacht und folgende Meldung erhalten.
Habe schon versucht auf der Seite von virus-protect mir weiterhelfen zu lassen, kann die Seite aber nicht öffnen ?!

Logfile of HijackThis v1.99.1
Scan saved at 10:48:23, on 15.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.063\HijackThis.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - Unknown owner - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe (file missing)
O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe (file missing)

1000 DANK und viele Grüße

#2 Du musst die gesamten Archive loeschen, indenen Antivir den Wurm findet. Den aktiven Teil des Wurms kannst du hiermit loeschen:
http://www.hijackthis-forum.de/showthread.php?t=10478
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,
vielen Dank für dei Antwort.Das Programm um den aktiven Teil zu löschen habe ich ausgeführt ! Leider beokkme ich noch Fehlermeldungen mit Antvir, diese Datein kann ich absolut nicht finden -auch nicht über die normale Suche oder in den vesteckten Datein. Wie kann ich die auch noch killen ? 2nd question - Was ist mit den Angabe von Hijak ? Müssen diese Datein gelöscht werden ( Running Proccesses oder 023 Service ?? )

Hier die Meldung von Antivir:

WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Administrator\Complete
12 games on the ftp.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
An A-Z Index of the Windows NTXP comman.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
AutoPatcher XP.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Be Cool.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Call of Duty.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
CD DVD catalog 2.1.2.0.zip
ArchiveType: ZIP
--> Setup.exe
[FUND!] Enthält Signatur des Wurmes WORM/Alcra.B
Clock Tray Skins 2.1.zip


Vielen Dank und Grüße von Jack

#4 Die Dateien befinden sich hier:
C:\Dokumente und Einstellungen\Administrator\Complete
Du musst nach diesen DAteien suchen:

CD DVD catalog 2.1.2.0.zip

usw., diese musst du dann auch loeschen. Falls du den Ordner nicht finden kannst, kann es auch daran liegen, das Windows diesen verteckt. So machst du ihn wieder sichtbar:
http://people.freenet.de/rene-gad/invisible.html
__________
MfG Ralf
SEO-Spam Hunter

#5 vielen DANK - hat super geklappt !