Alcra.B eingefangen

#1 Hab mir auch den Alcra.B eingefangen, hab schon versucht mittels der Anleitung von Sabina in anderen Threads den zu killen, hat aber nicht geklappt...

Logfile of HijackThis v1.99.1
Scan saved at 21:29:17, on 04.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\SecuritySuite.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Ole's Ordner\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Ole's Ordner\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

#2 Nobody12

wo/wie hast du dir den Wurm eingefangen ?

-------------------------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Joa das weiß ich ja nicht, hab Antivir alles installiert und immer aktuell gehalten...



LOG 1:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 78F9-A5FE

Verzeichnis von C:\WINDOWS\system32

04.03.2006 16:16 2.206 wpa.dbl
04.03.2006 15:05 62.464 bszip.dll
04.03.2006 14:59 114.176 FNTCACHE.DAT
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll
08.02.2006 06:23 4.513.120 MRT.exe
21.01.2006 22:54 192.512 UAService7.exe
18.01.2006 13:05 57.344 avsda.dll
17.01.2006 18:56 52.900 perfc009.dat
17.01.2006 18:56 380.486 perfh009.dat
17.01.2006 18:56 391.330 perfh007.dat
17.01.2006 18:56 63.778 perfc007.dat
17.01.2006 18:56 787.052 PerfStringBackup.INI
04.01.2006 04:35 68.096 webclnt.dll
01.01.2006 17:43 7.006 jupdate-1.5.0_06-b05.log
29.12.2005 03:54 280.064 gdi32.dll
12.12.2005 07:44 307.200 atiiiexx.dll
12.12.2005 07:01 258.048 ATIDEMGR.dll
12.12.2005 06:09 6.684.672 atioglx1.dll
12.12.2005 04:57 4.968.448 atioglxx.dll
12.12.2005 04:41 252.928 ati2dvag.dll
12.12.2005 04:35 110.592 atipdlxx.dll
12.12.2005 04:35 77.824 Oemdspif.dll
12.12.2005 04:35 26.112 Ati2mdxx.exe
12.12.2005 04:35 40.960 ati2edxx.dll
12.12.2005 04:34 47.104 ati2evxx.dll
12.12.2005 04:33 393.216 ati2evxx.exe
12.12.2005 04:33 53.248 ATIDDC.DLL
12.12.2005 04:25 2.518.016 ati3duag.dll
12.12.2005 04:18 862.464 ativvaxx.dll
12.12.2005 04:04 151.552 atikvmag.dll
12.12.2005 03:39 17.408 atitvo32.dll
12.12.2005 03:33 237.568 ati2cqag.dll
11.12.2005 21:05 520.192 ati2sgag.exe
11.12.2005 10:53 552 d3d8caps.dat
08.12.2005 23:01 112.421 atiicdxx.dat
06.12.2005 06:02 5.533.696 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll


LOG 2:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 78F9-A5FE

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

04.03.2006 22:52 16.384 Perflib_Perfdata_aa8.dat
04.03.2006 22:52 16.384 Perflib_Perfdata_ab0.dat
04.03.2006 22:52 16.384 Perflib_Perfdata_7c4.dat
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 23.860.944.896 Bytes frei

LOG 3:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 78F9-A5FE

Verzeichnis von C:\WINDOWS

04.03.2006 22:52 0 0.log
04.03.2006 22:51 2.080.851 WindowsUpdate.log
04.03.2006 22:51 159 wiadebug.log
04.03.2006 22:51 50 wiaservc.log
04.03.2006 22:51 2.048 bootstat.dat
04.03.2006 22:50 32.622 SchedLgU.Txt
04.03.2006 16:26 116 NeroDigital.ini
04.03.2006 16:15 6.190 WGA.log
04.03.2006 16:15 397.618 setupapi.log
04.03.2006 16:15 0 setuperr.log
04.03.2006 14:44 400 ODBC.INI
04.03.2006 14:44 573 win.ini
28.02.2006 22:10 197.910 setupact.log
28.02.2006 20:20 27.728 wmsetup.log
17.02.2006 14:22 923 spupdsvc.log
17.02.2006 14:19 124.451 comsetup.log
17.02.2006 14:19 1.374 imsins.log
17.02.2006 14:19 74.005 ntdtcsetup.log
17.02.2006 14:19 53.275 iis6.log
17.02.2006 14:19 134.918 tsoc.log
17.02.2006 14:19 19.138 ocmsn.log
17.02.2006 14:19 11.124 KB911927.log
17.02.2006 14:19 172.046 ocgen.log
17.02.2006 14:19 17.418 msgsocm.log
17.02.2006 14:19 339.843 FaxSetup.log
17.02.2006 14:19 23.331 updspapi.log
17.02.2006 14:18 6.864 KB911564.log
17.02.2006 14:18 7.080 KB911565.log
17.02.2006 14:17 7.213 KB913446.log
08.02.2006 19:16 2.847 KB885884.log
06.02.2006 19:17 3.066 dasetup.log
04.02.2006 17:31 754 WORDPAD.INI
17.01.2006 23:04 1.454 COM+.log
11.01.2006 23:12 10.217 KB908519.log
06.01.2006 17:17 11.076 KB912919.log
04.01.2006 14:48 1.717 cdplayer.ini
01.01.2006 22:57 1.559.526 Firefox Wallpaper.bmp
15.12.2005 22:32 9.442 KB910437.log
15.12.2005 22:32 16.561 KB905915.log

LOG 4:


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 78F9-A5FE

Verzeichnis von C:\

04.03.2006 23:02 0 sys.txt
04.03.2006 23:01 8.159 system.txt
04.03.2006 23:00 425 systemtemp.txt
04.03.2006 23:00 91.703 system32.txt
04.03.2006 22:51 402.653.184 pagefile.sys
11.12.2005 10:27 13.030 PDOXUSRS.NET
04.11.2005 17:34 3.374 INSTALL.LOG



danke schon mal im vorraus

#4 Nobody12

es muesste reichen, wenn du das hier abarbeitest (dann berichte vom ewido scan)
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html
__________
MfG Sabina

rund um die PC-Sicherheit