Bin ich noch infiziert....Alcra.B?!

#1 Hallo....!!!!

Hatte oder habe,wie so viele andere,Probleme mit Alcra.B....
Habe mit telefonischer Anleitung einen halben Tag mit etlichen Virenscannern,
Cleanern und so dran rumgebastelt und die Kiste wieder einigermaßen flott gekriegt.
MeinVirenprogramm findet nichts mehr (Avast!),aber seit heute hab ich wieder trouble....Windows Mediaplayer gibt keine Music oder Video mehr wieder udn muss beendet werden....so hat´s auch letztes mal angefangen.
Habe nochmal ein Logfile gemacht...kann sich das mal jemand mit Ahnung ansehen ....bitte!!!! Vielen Dank
McGreg Logfile of HijackThis v1.99.1
Scan saved at 22:20:55, on 08.02.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ANTIVI~1\avast!\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Save\Save.exe
C:\Programme\Antivirware\avast!\aswUpdSv.exe
C:\Programme\Antivirware\avast!\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Antivirware\avast!\ashWebSv.exe
C:\Programme\Antivirware\avast!\ashMaiSv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Antivirware\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTIVI~1\avast!\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A94A721B-2937-40EC-9E8C-9548DAF2B2BF}: NameServer = 195.50.140.252 195.50.140.114
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Antivirware\avast!\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Antivirware\avast!\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Antivirware\avast!\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Antivirware\avast!\ashWebSv.exe" /service (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\tune up\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

#2 McGreg

Information:
http://virus-protect.org/artikel/spyware/save.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als savenow.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave]
[-HKEY_CURRENT_USER\SOFTWARE\whenu]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WUSN.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\runmsc.loader.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\runmsc.loader]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\runmsc.loader.1\clsid]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C285D18D-43A2-4AEF-83FB-BF280E660A97}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\savenow]
[-HKEY_CLASSES_ROOT\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}]
[-HKEY_CLASSES_ROOT\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}]
[-HKEY_CLASSES_ROOT\TypeLib\{E2F2B9D0-96B9-4B25-B90C-636ECB207D18}]
[-HKEY_CLASSES_ROOT\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}]
[-HKEY_CLASSES_ROOT\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}]
[-HKEY_CLASSES_ROOT\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}]
[-HKEY_CLASSES_ROOT\WUSN.1]
[-HKEY_CLASSES_ROOT\WUSN.1 WUSN_Id]
[-HKEY_CLASSES_ROOT\AppID\ACM.DLL]
[-HKEY_CLASSES_ROOT\ACM.ACMFactory]



öffne das HijackThis -- Button "scan" -- vor -Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

PC neustarten

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "savenow.reg" auf dem Desktop doppelklicken und der Registry beifuegen

---------------------------------------------------------------------------------
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software" --> whenusearch + BearShare + savenow

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 O.K. ich denke ich habs geschafft...puuhh....der Laie ahnt ja nicht was so alles in seinem Rechner vorgeht....Vielen Dank für die Hilfe!!!


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3018-A49A

Verzeichnis von C:\WINDOWS\system32

10.02.2006 00:20 35.876 vsconfig.xml
10.02.2006 00:18 41.237 nvapps.xml
08.02.2006 22:11 2.550 Uninstall.ico
08.02.2006 22:11 1.406 Help.ico
08.02.2006 22:11 30.590 pavas.ico
04.02.2006 21:16 3.002 CONFIG.NT
04.02.2006 20:36 0 asfiles.txt
04.02.2006 20:02 3.003 x_dtrace_log
04.02.2006 20:01 37 getfile.dat
03.02.2006 21:22 2.184 wpa.dbl
29.01.2006 23:46 14.772 mlfcache.dat
29.01.2006 00:10 39.992 perfc009.dat
29.01.2006 00:10 311.604 perfh009.dat
29.01.2006 00:10 316.594 perfh007.dat
29.01.2006 00:10 48.156 perfc007.dat
29.01.2006 00:10 721.390 PerfStringBackup.INI
27.01.2006 23:38 503.296 aswBoot.exe
27.01.2006 23:30 90.112 AVASTSS.scr
04.01.2006 19:46 2.836.320 MRT.exe
04.01.2006 14:59 16.832 amcompat.tlb
04.01.2006 14:59 23.392 nscompat.tlb
24.12.2005 14:06 28.672 ssconfig.exe
05.12.2005 06:12 172.032 pxmas.dll
05.12.2005 06:12 339.968 pxwave.dll
05.12.2005 06:12 61.440 pxhpinst.exe
05.12.2005 06:12 339.968 px.dll
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 28.672 vxblock.dll
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 56.320 pxinsa64.exe
27.11.2005 21:35 1.100 d3d8caps.dat
27.11.2005 21:34 664 d3d9caps.dat
27.11.2005 19:00 4.212 zllictbl.dat
20.11.2005 15:44 92.680 FNTCACHE.DAT
20.11.2005 15:43 288 $winnt$.inf


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3018-A49A

Verzeichnis von C:\DOKUME~1\Gregor\LOKALE~1\Temp
-da war nichts drin!!!


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3018-A49A

Verzeichnis von C:\WINDOWS

10.02.2006 00:27 394.246 WindowsUpdate.log
10.02.2006 00:20 0 0.log
10.02.2006 00:18 2.048 bootstat.dat
10.02.2006 00:17 12.008 SchedLgU.Txt
10.02.2006 00:08 246.218 ntbtlog.txt
09.02.2006 14:59 852 wiadebug.log
09.02.2006 14:53 3.994 wiaservc.log
09.02.2006 14:36 0 Sti_Trace.log
08.02.2006 23:59 1.227 cdplayer.ini
08.02.2006 22:11 32 pavsig.txt
08.02.2006 22:06 2.472 xpsp1hfm.log
08.02.2006 22:06 530 Q810577.log
08.02.2006 15:53 2.500 setupapi.log
04.02.2006 21:22 242 ODBC.INI
04.02.2006 20:21 701 win.ini
31.01.2006 23:54 16.064 ModemLog_Smart Link 56K Voice Modem.txt
29.01.2006 15:22 11.965 mozver.dat
15.01.2006 19:54 40.960 uneng.exe
15.01.2006 19:53 316.640 WMSysPr9.prx
24.12.2005 14:06 152 WSST_Screen_Saver.ini
24.12.2005 14:06 2.359.350 webshots.bmp
24.12.2005 14:06 180.224 UninstallWSST.exe
21.12.2005 22:33 107.132 UninstallFirefox.exe
10.12.2005 15:47 1.257 unins000.dat
10.12.2005 15:47 72.748 unins000.exe
08.12.2005 21:46 604 Vtw.INI
27.11.2005 20:57 351 Clony2.ini
27.11.2005 20:55 113 ClonyDrives.ini
20.11.2005 15:40 299.552 WMSysPrx.prx
20.11.2005 15:40 4.161 ODBCINST.INI
20.11.2005 15:38 749 WindowsShell.Manifest
20.11.2005 15:25 231 system.ini
14.07.2005 09:47 68 IDMan.INI
08.07.2005 07:49 335 nsreg.dat
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3018-A49A


Verzeichnis von C:\

10.02.2006 00:48 0 sys.txt
10.02.2006 00:47 4.982 system.txt
10.02.2006 00:47 134 systemtemp.txt
10.02.2006 00:47 97.405 system32.txt
10.02.2006 00:18 805.306.368 pagefile.sys
08.02.2006 15:36 92 ResumeOmgApDeliveryMgrCntrl_SonicStage_EmdDownloadObj.dmf
20.11.2005 15:40 0 IO.SYS
20.11.2005 15:40 0 MSDOS.SYS
20.11.2005 15:36 194 boot.ini
02.06.2005 22:48 0 AUTOEXEC.BAT
02.06.2005 22:48 0 CONFIG.SYS
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 224.032 ntldr
18.08.2001 13:00 45.124 NTDETECT.COM
14 Datei(en) 805.683.283 Bytes
0 Verzeichnis(se), 4.291.690.496 Bytes frei

#4 McGreg

Scanne mit Ewido
http://virus-protect.org/ewido.html
und kopiere hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#5 ---------------------------------------------------------
Bin ich immer noch nicht sauber?!
O.K.hier der Report....Danke


ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 22:20:08, 10.02.2006
+ Report-Checksumme: 2216C570

+ Scanergebnis:

HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Ignoriert
HKLM\SOFTWARE\HbTools -> Adware.HotBar : Ignoriert
HKLM\SOFTWARE\HbTools\HbTools -> Adware.HotBar : Ignoriert
:mozilla.17:C:\Dokumente und Einstellungen\Gregor\Anwendungsdaten\Mozilla\Firefox\Profiles\hmflqwcd.Standard-Benutzer\cookies.txt -> TrackingCookie.Falkag : Ignoriert

#6 McGreg

du hast alles Ignoriert--> du musst es loeschen !!!!!!!!!
alos: noch eimal scannen
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ---------------------------------------------------------
hab ich mich erst nicht getraut.....richtig so?!

HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\HbTools -> Adware.HotBar : Gesäubert mit Backup
HKLM\SOFTWARE\HbTools\HbTools -> Adware.HotBar : Gesäubert mit Backup
:mozilla.8:C:\Dokumente und Einstellungen\Gregor\Anwendungsdaten\Mozilla\Firefox\Profiles\hmflqwcd.Standard-Benutzer\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
:

#8 nun ist alles wieder o.k.
Alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Vielen Dank......!!!

Aber eine Frage noch......wie kann ich mich schützen?!
Was ist dein Tipp?!

#10 Die Windowsupdates machen (SP2), nicht auf alles klicken, was blinkt im Net .....
http://virus-protect.org/administrator.html
http://virus-protect.org/ms.html

__________
MfG Sabina

rund um die PC-Sicherheit