Virus "Alcra.B"


Recommended Posts

To space and beyond

Auf meinen Computer hab ich einiges über 2000 mit "Alcra B" verseuchte Dateien, klarerweise lösch ich die immer wieder, aber die Abstürze, Blue Screens etc. lassen sich damit nicht beseitigen...

Kennt sich wer von euch mit Virenbeseitigung aus (Anti Vir schreibt meist das er sie nicht löschen kann..., daher lösch ich die einzelnen Datein, falls sich das was bringt) va. bei diesen Worm...

Edit: Mittlerweile hat er auch nen "TR/Dldr.Age.ex.01.C" gefunden, denn aber gelöscht

bearbeitet von rattlesnake87

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

To space and beyond
Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\ICQLite\ICQLite.exe

C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\QuickTime\qttask.exe

C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\MSN Messenger\MsnMsgr.Exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Outlook Express\msimn.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Dokumente und Einstellungen\Sandra\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.at/ws/eBayISAPI.dll?MyeBay&...Ah%3Amebay%3AAT

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?p...er=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...B_PVER}&ar=home

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [steam] C:\Programme\Valve\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSYYYYYYYYAT

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...tup1.0.0.15.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-24.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Ja hab ich auch schon per Google gefunden, leider nix andres denn ich hab keine Ahnung was das heißen soll... Ich check Nüsse ^^

Hab nur mal CCCleaner gesaugt, aber das bringt sich a nix...

bearbeitet von rattlesnake87

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Gegen Fussballmillionäre in Österreich!
Danke für den Tip, Link hätte ich gerne, Google spinnt a bissl bei mir...

823167[/snapback]

Hier der link:

http://www.avast.at/download.htm

bzw.hier ohne registrierung:

http://www.chip.de/downloads/c1_downloads_...27206291&v=3600

bearbeitet von barca11

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

To space and beyond
Hier der link:

http://www.avast.at/download.htm

bzw.hier ohne registrierung:

http://www.chip.de/downloads/c1_downloads_...27206291&v=3600

824184[/snapback]

Passt danke :clap:

Werd ich gleich nach der Arbeit saugen, hoffentlich krieg ichs wieder hin... will die in 2 Tagen erscheinende World Racing 2 Demo ohne Absturz nach ca. 40 Min zockn (wies bei PES5 dank diesen Wurm ist...)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Gegen Fussballmillionäre in Österreich!
Passt danke  :clap:

Werd ich gleich nach der Arbeit saugen, hoffentlich krieg ichs wieder hin... will die in 2 Tagen erscheinende World Racing 2 Demo ohne Absturz nach ca. 40 Min zockn (wies bei PES5 dank diesen Wurm ist...)

824227[/snapback]

Und? Allesok?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

To space and beyond

Nein leider nicht, war aber mein Fehler...

Hab infizierte Dateien im Windows Ordner anstatt zu reparieren gelöscht und daher komm ich nicht mehr in meinen Benutzer rein, zumindest nicht fehlerlos (manchmal fehlt unten die Start Leiste, und Symbole Doppelklicken funkt sowieso net mehr)... nur mehr per beim Starten F8 und Abgesicherter Modus komm ich rein...

Und Fehler gabs in den 5 Vorgängen beim Fehler Suchen von Windows auch net...

kA was ich jetzt tun soll, außer neu aufsetzen, was ich auch net ganz checke...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

  • 2 weeks later...
  • 4 weeks later...
To space and beyond

Na sehr toll, die scheiß Viren sind zurück...

Darunter sind "msnmsgs.exe", "ilt.exe", "spooler32.exe"...

Allesamt Spy Viren, zuletzt gings sogar so weit das ich beim PES5 online spielen nicht selbst gespielt habe, sondern irgendwer anders meine Figuren gesteuert hat :hää?deppat?:

Da dieser so schlecht gespielt hat, dass es nach 6 Minuten 0-3 stand hab ich abbrechen müssen... sowas krankes, was bringt denen das Viren in die Welt zu setzen...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

To space and beyond
msnmsgs.exe

Weiss nicht, aber ist das nicht ein ganz normaler Prozess?

Weil ich hab den auf allen PCs laufen und dachte und denke, dass es sich dabei um den Microsoft Messenger handelt.

MEINUNGEN!  :ratlos:

866201[/snapback]

Nein das ist ein Fake, das jeder glaubt es ist der Messenger... das ist ja das gemeine an der Sache... der Messenger heißt genauso... meißt sind 2 selbe .exe offen, die Messenger .exe und die des Viruses...

BTW:

http://www.sophos.de/virusinfo/analyses/w32rbotkl.html

Das is a..

W32/Rbot-KL verschiebt sich als msnmsgs.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, damit er bei der Systemanmeldung aktiviert wird
bearbeitet von rattlesnake87

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

\o\ \o/ /o/

Ich kann dir bezüglich deinem Virus nicht direkt helfen, aber allgemein einen Tip geben, vielleicht hilfts ja.

du schreibst:

der Virus war nach dem neu aufsetzen sowieso weg,
Na sehr toll, die scheiß Viren sind zurück...

Wenn du den PC neu aufgesetzt hast, mach unbedingt ein Windows-Update : http://update.microsoft.com/windowsupdate/...ault.aspx?ln=de

ich hatte auch Probleme mit einem Virus, der selbst nach mehrmaligem Formatieren aller Partitionen immer wieder kam. Die Lösung war, nach löschen mit einem Stinger, ein Windows-Update, da dieser Virus eine Sicherheitslücke ausnützte, mein System zum Abstürzen brachte und sich in alle Ruhe auf meinem Computer einnistete. Nach dem Update kam er nicht mehr und ich bin seither Virenfrei.

Ansonsten poste dein Problem in einem der genannten "Fachforen", da dir dort bestimmt geholfen werden kann.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Lädt...


  • Folge uns auf Facebook

  • Partnerlinks

  • Unsere Sponsoren und Partnerseiten

  • Wer ist Online

    • Keine registrierten Benutzer online.