Trojaner-Board
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   win32 p2p-worm.alcan.a (https://www.trojaner-board.de/21071-win32-p2p-worm-alcan-a.html)

--Luke-- 22.08.2005 10:44
win32 p2p-worm.alcan.a
 
mein pc is net normal ich bekomm immer so ein zeug aufm deskop z.B (Play party poker now!) immer so scheiß werbung oder so. ich hab dann mal alles durchsucht mit ad-aware SE ich muss zu geben ich kenn mich net so mit viren und so zeugs aus. Ad-aware hat dann win32 p2p-worm.alcan.a gefunden ich hab den dann vllt weg gemacht weiß es aber net.
Wie bekomm ich den weg?
was macht der an meinem Pc?
wie bekomm ich den ?

danke schon mal ich hoffe ihr könnt mir helfen

Wildone 22.08.2005 10:55
Hallo,
klingt auf jeden Fall schon mal nicht gut. Erstelle mal ein HijackThis Logfile unf poste es hier her (Links editieren!!).


Grüße Wildone

--Luke-- 22.08.2005 11:06
ich hoffe ich habs richtig gemacht
hier :

Logfile of HijackThis v1.99.1
Scan saved at 12:11:14, on 22.08.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PQRUPPZ.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\WINUPDATES\WINUPDATES.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\FRITZ!DSL\FWEBPROT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spacepioneers.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor Internet
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O7 "EPUSB1:" /M "Stylus C42"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [pxrh] C:\WINDOWS\SYSTEM\pxrh.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [pqruppz] C:\WINDOWS\SYSTEM\pqruppz.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\OpenOffice.org1.1.4\program\quickstart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.nexgo.de/arcor/
O15 - Trusted Zone: http://www.neededware.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/11ead797...dxIE601_de.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: NDWCab - http://www.neededware.com/ndw4.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253

Wildone 22.08.2005 11:18
Hallo,
beende diese beiden Prozesse im Taskmanager:
C:\WINDOWS\SYSTEM\PQRUPPZ.EXE
C:\PROGRAMME\WINUPDATES\WINUPDATES.EXE

überprüfe die zugehörigen Dateien hier und poste die jeweiligen Ergebnisse.


Grüße Wildone

--Luke-- 22.08.2005 11:27
sry aber ich versteh des grad net ich hab kein taskmanager meinst du
strg-alt-entf oder was ? was meinst du???

Wildone 22.08.2005 11:28
Hallo,
ja, genau das meine ich, dann dort diese beiden Prozesse beenden und die Dateien untersuchen.


Grüße Wildone

--Luke-- 22.08.2005 11:31
aber nur winupdates
aber keine PQRUPPZ.EXE
ich hab kein xp !

Wildone 22.08.2005 11:38
Hallo,
also der Prozess muss aktiv sein, wird ja in deinem Hijackthis Log angezeigt. Ich muss gestehen das meine Win ME Kenntnisse sehr bescheiden sind, aber mit strg+alt+entf kommt man da doch auch zu einer oberfläche auf der die laufenden Prozesse angezeigt werden, und dann muss es eine Option geben diese zu beenden, und das sollst du mit den beiden angegebenen machen, und dann auf der ober geposteten Seite überprüfen lassen.


Grüße Wildone

--Luke-- 22.08.2005 11:44
da steht :


explorer
winupdates
zlclient
fritzdsl
fwebprot
vsmon
findfast
osa
systray
E_s10ic2
avgctrl

okay des steht da dran was soll ich weg machen es gibt keine PQRUPPZ.EXE

Wildone 22.08.2005 11:47
Hallo,
naja beende mal wenigstens den winupdates und überprüf den.


Grüße Wildone

--Luke-- 22.08.2005 11:49
vllt denkst du jetzt ich bin blöd aber
aber von wo weiß ich wo diese komische winupdates is in welchem ordner das ich es hochladen kann?

Wildone 22.08.2005 11:53
Hallo,
weil ich es dir schon gepostet hatte, die Datei ist hier:
C:\PROGRAMME\WINUPDATES\WINUPDATES.EXE


Grüße Wildone

--Luke-- 22.08.2005 11:59
AntiVir
Worm/Alcra.B gefunden
ArcaVir
Worm.Vb.An gefunden
Avast
Win32:Vibpack gefunden
AVG Antivirus
Worm/VB.CC gefunden
BitDefender
Win32.Worm.VB.AN gefunden
ClamAV
Worm.Alcan.D gefunden
Dr.Web
Trojan.FakeSetup gefunden
F-Prot Antivirus
security risk or a "backdoor" program gefunden
Fortinet
W32/VB.AN-mm gefunden
Kaspersky Anti-Virus
Worm.Win32.VB.an gefunden
NOD32
Win32/VB.D gefunden
Norman Virus Control
W32/Alcra.B gefunden
UNA
Backdoor.VB gefunden
VBA32
Worm.Win32.VB.an gefunden

des hört sich net gut an

Wildone 22.08.2005 12:21
Hallo,
also ich rate dir dein System neu aufzusetzen, Infos zu deinem Wurm:
http://www.sophos.com/virusinfo/analyses/w32alcrab.html
Zitat:
W32/Alcra-B is a worm for the Windows platform.

W32/Alcra-B spreads via file sharing on P2P networks.

W32/Alcra-B includes functionality to download, install and run new malware executables.

W32/Alcra-B typically arrives with the filename Setup.exe.
Also hast du ihn dir über P2P eingefangen, du solltest definitiv vorsichtiger mit Dateien aus solch unsicheren Quellen umgehen.
Hier istz eine Anleitung zum Neuaufsetzen des Systems, lese sie dir gut durch.


Grüße wildone

--Luke-- 22.08.2005 12:23
wart mal bevor ich des jetzt mach was passiert mit meinem pc es wird hoffentlich nichts gelöscht oder so oder ?


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:42 Uhr.
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19