Win32.Nsag - AlfaCleaner.exe

#46 Sorry, dass ich nochmal dazwischen funke, aber ich hab das mit dem Durchsuchen der Registry jetzt hinbekommen.
allerdings steht da bei keinem Eintrag "DisplayName"="Remote_Procedure_Call" sondern nur bei DeviceDesc steht Remote_Procedure_Call unter "Wert".
Soll ich das löschen?

#47 Fannep

Das musst du loeschen :

Zitat

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCHOST\0000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\svchost
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCHOST\0000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\svchost
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCHOST\0000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost

dieser Dienst wurde vom Virus erstellt...........
__________
MfG Sabina

rund um die PC-Sicherheit

#48 Bei der Suche nach Remote_Procedure_Call hat er die letzten beiden Einträge (in Ordner CurrentControllSet) nicht gefunden.
Die sind nicht vorhanden.

Ich hab alle Dateien aus der snitfrautfix.exe ausgeführt.
Virus ist aber immernoch drauf.

Mal schaun ob ich so weiterkomme.
Danke übrigens für deine Hilfe

#49 Fannep

mache bitte einen Onlinescan mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#50 Hier ist der Scanreport von Kaspersky.

Ich hab mir überlegt, ob es sich vielleicht lohnen würde den rechner einfach zu formatieren.
Was meinst du wäre ein größerer Aufwand?


KASPERSKY ON-LINE SCANNER REPORT
Tuesday, February 28, 2006 7:09:17 PM
Operating System: Microsoft Windows XP Home Edition, (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 28/02/2006
Kaspersky Anti-Virus database records: 168309


Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\

Scan Statistics
Total number of scanned objects 35747
Number of viruses found 5
Number of infected objects 11
Number of suspicious objects 0
Duration of the scan process 00:34:32

Infected Object Name Virus Name Last Action
C:\WINDOWS\system32\ntrootkit.reg Infected: Backdoor.Win32.RtKit.11.a skipped

C:\WINDOWS\system32\julie.exe/WinExplore.exe Infected: Trojan-Downloader.Win32.VB.fj skipped

C:\WINDOWS\system32\julie.exe InstallCreator: infected - 1 skipped

C:\WINDOWS\system32\julie.exe UPX: infected - 1 skipped

C:\WINDOWS\system32\IF01.exe Infected: Trojan-Downloader.Win32.Lookme.g skipped

C:\WINDOWS\system32\intell321.exe Infected: Trojan.Win32.Small.ev skipped

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VB9VZL12\ntrootkit[1].reg Infected: Backdoor.Win32.RtKit.11.a skipped

C:\Dokumente und Einstellungen\media\Lokale Einstellungen\Anwendungsdaten\Identities\{AAB122AB-747F-4907-B2B8-9E41BC39EC83}\Microsoft\Outlook Express\Posteingang.dbx/[From me45i@web.de][Date Tue, 19 Apr 2005 06:42:05 UTC]/UNNAMED/Private-Texte.zip/mail.document.Datex-packed.exe Infected: Email-Worm.Win32.Sober.n skipped

C:\Dokumente und Einstellungen\media\Lokale Einstellungen\Anwendungsdaten\Identities\{AAB122AB-747F-4907-B2B8-9E41BC39EC83}\Microsoft\Outlook Express\Posteingang.dbx/[From me45i@web.de][Date Tue, 19 Apr 2005 06:42:05 UTC]/UNNAMED/Private-Texte.zip Infected: Email-Worm.Win32.Sober.n skipped

C:\Dokumente und Einstellungen\media\Lokale Einstellungen\Anwendungsdaten\Identities\{AAB122AB-747F-4907-B2B8-9E41BC39EC83}\Microsoft\Outlook Express\Posteingang.dbx/[From me45i@web.de][Date Tue, 19 Apr 2005 06:42:05 UTC]/UNNAMED Infected: Email-Worm.Win32.Sober.n skipped

C:\Dokumente und Einstellungen\media\Lokale Einstellungen\Anwendungsdaten\Identities\{AAB122AB-747F-4907-B2B8-9E41BC39EC83}\Microsoft\Outlook Express\Posteingang.dbx Mail MS Outlook 5: infected - 3 skipped

Scan process completed.

#51 Fannep

14.02.2006 23:51 7.168 intell321.exe --> sollte laengst geloescht sein....

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............


C:\WINDOWS\system32\ntrootkit.reg
C:\WINDOWS\system32\julie.exe/WinExplore.exe
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VB9VZL12\ntrootkit[1].reg
C:\WINDOWS\system32\julie.exe
C:\WINDOWS\system32\IF01.exe
C:\WINDOWS\system32\intell321.exe

pc neustarten

3.
ueberpruefen, ob das geloescht ist.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VB9VZL12
C:\WINDOWS\system32\julie.exe

4.
so kann man die Mail restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

[From me45i@web.de][Date Tue, 19 Apr 2005 06:42:05 UTC]

5.
dann scanne noch mal mit Kaspersky

6.
WindowsUpdates machen (denn ohne die, werde ich dir in Zukunft nicht mehr helfen koennen/wollen) !
__________
MfG Sabina

rund um die PC-Sicherheit

#52 Ich konnte die unsichtbaren Dateien mit http://virus-protect.org/invisible.html nicht sichtbar machen (gab immer ne Fehlermeldung vom IE, woraufhin er sich beendet hat) und der Virus der den meisten Ärger macht, ist nach der Benutzung von Killbox immer noch drauf. (julie.exe usw. sind weg, habs überprüft).
Ich bin´s jetzt leid.
Ich formatiere den Rechner und benutze danach nicht mehr den unsäglichen Internet Explorer, sondern Opera oder so und sorge von vornherein mit AntiVir für vernünftigen Virenschutz.

Danke dir für deine Hilfe Sabina, aber es war einfach schon zu spät