|
win32 p2p-worm.alcan.a mein pc is net normal ich bekomm immer so ein zeug aufm deskop z.B (Play party poker now!) immer so scheiß werbung oder so. ich hab dann mal alles durchsucht mit ad-aware SE ich muss zu geben ich kenn mich net so mit viren und so zeugs aus. Ad-aware hat dann win32 p2p-worm.alcan.a gefunden ich hab den dann vllt weg gemacht weiß es aber net. Wie bekomm ich den weg? was macht der an meinem Pc? wie bekomm ich den ? danke schon mal ich hoffe ihr könnt mir helfen |
Hallo, klingt auf jeden Fall schon mal nicht gut. Erstelle mal ein HijackThis Logfile unf poste es hier her (Links editieren!!). Grüße Wildone |
ich hoffe ich habs richtig gemacht hier : Logfile of HijackThis v1.99.1 Scan saved at 12:11:14, on 22.08.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\PQRUPPZ.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\E_S10IC2.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\ICQLITE\ICQLITE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\WINUPDATES\WINUPDATES.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE C:\PROGRAMME\FRITZ!DSL\FWEBPROT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spacepioneers.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor Internet R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O7 "EPUSB1:" /M "Stylus C42" O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [pxrh] C:\WINDOWS\SYSTEM\pxrh.exe O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [pqruppz] C:\WINDOWS\SYSTEM\pqruppz.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\OpenOffice.org1.1.4\program\quickstart.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O14 - IERESET.INF: START_PAGE_URL=http://www.nexgo.de/arcor/ O15 - Trusted Zone: http://www.neededware.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/11ead797...dxIE601_de.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O16 - DPF: NDWCab - http://www.neededware.com/ndw4.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253 |
Hallo, beende diese beiden Prozesse im Taskmanager: C:\WINDOWS\SYSTEM\PQRUPPZ.EXE C:\PROGRAMME\WINUPDATES\WINUPDATES.EXE überprüfe die zugehörigen Dateien hier und poste die jeweiligen Ergebnisse. Grüße Wildone |
sry aber ich versteh des grad net ich hab kein taskmanager meinst du strg-alt-entf oder was ? was meinst du??? |
Hallo, ja, genau das meine ich, dann dort diese beiden Prozesse beenden und die Dateien untersuchen. Grüße Wildone |
aber nur winupdates aber keine PQRUPPZ.EXE ich hab kein xp ! |
Hallo, also der Prozess muss aktiv sein, wird ja in deinem Hijackthis Log angezeigt. Ich muss gestehen das meine Win ME Kenntnisse sehr bescheiden sind, aber mit strg+alt+entf kommt man da doch auch zu einer oberfläche auf der die laufenden Prozesse angezeigt werden, und dann muss es eine Option geben diese zu beenden, und das sollst du mit den beiden angegebenen machen, und dann auf der ober geposteten Seite überprüfen lassen. Grüße Wildone |
da steht : explorer winupdates zlclient fritzdsl fwebprot vsmon findfast osa systray E_s10ic2 avgctrl okay des steht da dran was soll ich weg machen es gibt keine PQRUPPZ.EXE |
Hallo, naja beende mal wenigstens den winupdates und überprüf den. Grüße Wildone |
vllt denkst du jetzt ich bin blöd aber aber von wo weiß ich wo diese komische winupdates is in welchem ordner das ich es hochladen kann? |
Hallo, weil ich es dir schon gepostet hatte, die Datei ist hier: C:\PROGRAMME\WINUPDATES\WINUPDATES.EXE Grüße Wildone |
AntiVir Worm/Alcra.B gefunden ArcaVir Worm.Vb.An gefunden Avast Win32:Vibpack gefunden AVG Antivirus Worm/VB.CC gefunden BitDefender Win32.Worm.VB.AN gefunden ClamAV Worm.Alcan.D gefunden Dr.Web Trojan.FakeSetup gefunden F-Prot Antivirus security risk or a "backdoor" program gefunden Fortinet W32/VB.AN-mm gefunden Kaspersky Anti-Virus Worm.Win32.VB.an gefunden NOD32 Win32/VB.D gefunden Norman Virus Control W32/Alcra.B gefunden UNA Backdoor.VB gefunden VBA32 Worm.Win32.VB.an gefunden des hört sich net gut an |
Hallo, also ich rate dir dein System neu aufzusetzen, Infos zu deinem Wurm: http://www.sophos.com/virusinfo/analyses/w32alcrab.html Zitat:
Hier istz eine Anleitung zum Neuaufsetzen des Systems, lese sie dir gut durch. Grüße wildone |
wart mal bevor ich des jetzt mach was passiert mit meinem pc es wird hoffentlich nichts gelöscht oder so oder ? |
Hallo, Neuaufsetzen=formatieren=alles löschen was sich auf C:\ befindet, meiner Meinung nach unumgänglich bei deinem Wurmbefall. Nichtausführbare Daten wie mp3s, Bilder Textdokumente o.ä. kannst du natürlich vorher auf CD sichern. Grüße Wildone |
windows dann auch weg? ich hab keine cd mehr von dem scheiß isch kaputtgegangen und mein p0c hat auch kein brenner und wohin soll ich alle meine daten??????? ohne windows cd kann ich des sowieso net machen oder??? |
Mal einmisch: Lese mal den Beitrag von Lutz. http://www.trojaner-board.de/showpos...8&postcount=11 @Wildone Schwere Geburt :huepp: |
ja aber ohne brenner wie soll ich des machen ????????? wenn ich des auf der cd mach kann ich des doch gleich am pc machen oder |
ausserdem meine ganze c passt nicht auf eine cd windows isch schon viel zu groß |
Hallo, was soll ich mit dir bloß machen, höchst wahrscheinlich hattest du ja auch niemals eine Windows CD.... Da wirklich niemandem damit gedient ist wenn du weiter mit der Virenschleuder unterwegs bist, und das de facto der Fall ist wenn ich jetzt sage ist mit egal wie du das machst, mache es. Also gebe ich dir jetzt eine Übergangslösung, das heißt keineswegs das dein System danach sauber ist, und wenn du oder dein Vater onlinebanking auf dem PC macht und dann die Kohle weg ist, weißt du woher es kommt, zumal dein Wurm normalerweise im Duett mit dem Rbot auftritt... Lade dir mal die Testversion von Ewido runter und installiere sie, dann gehst in den abgesicherten Modus und fixt mit Hijackthis folgende Einträge: O4 - HKLM\..\Run: [pxrh] C:\WINDOWS\SYSTEM\pxrh.exe O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [pqruppz] C:\WINDOWS\SYSTEM\pqruppz.exe Dann löschst du folgende Dateien: C:\PROGRAMME\WINUPDATES\WINUPDATES.EXE C:\WINDOWS\SYSTEM\PQRUPPZ.EXE dann läßt du ewido scannen und läßt alles löschen was der findet. Wie gesagt das ist deine Übergangslösung und dein System danach keineswegs sicher, kümmere dich um die Möglichkeit deinen PC sobald wie möglich zu formatieren. @felix1 Naja, manchmal kann man es sich nicht aussuchen... |
danke ich versuch es mal |
kleins problem ich kann ewido leider nicht installieren geht er ab 2000 was jetzt? |
Hallo, versuche es mit Escan (lies dir die Anleitung genau durch!) Hier musst du dann die infizierten Dateien selber suchen und löschen. du kannst wenn es durchgelaufen ist auch mal den Inhalt der eScan_neu.txt posten. Grüße Wildone |
ich mach alles im abgesicherten modus oder auch des durchscanen ? |
Ja, alles im abgesicherten Modus. Grüße Wildone |
sry aber ich finde die dateien nicht die ich löschen soll. winupdates find ich net bei programme und die exe datei find ich auch net wo sind die |
Hallo, Diese Anleitung ist zwar eigentlich für XP aber schau mal ob es da nicht ein paar parallelen zu ME gibt, was ich ganz vergessen hatte du solltest auch noch die Systemwiederherstellung abschalten: Zitat:
Grüße Wildone |
escan versteh ich gar net weil ich muss da irgenwie ein ordner machen aber des geht bei mir net die datei speichert alles auf windows\temp und da find ich gar nichts aber ich braucht des doch um später des alles manuell zu löschen oder??? |
sry aber da stimmt gar nichts überein bei xp stehen andere sachen wie in me |
Hallo, Erstmal kann ich mir jetzt den Kommentar nicht verkneifen, aber um P2P zu machen hat dein Wissen noch ausgereicht. Also jetzt erstmal welche Datei speichert was auf temp? Hast du Escan jetzt überhaupt mal zum laufen gebracht? Falls immernoch der Ordner das Problem ist, du kannst auch einfach auf C einen Ordner erstellen mit dem Namen Bases_X und dann die Datei die du runterlädtst dort reinverschieben und dann auch dort entpacken und dann geht es mit der Anleitung weiter. So, aber ich werde mich jetzt mal bis heute abend verabschieden, unter anderem brauche ich jetzt Nervennahrung, falls jemand hier übernehmen will hat er dazu mehr als meinen Segen, wenn nicht (glaube ich irgendwie fast) bin ich irgendwann heute abend wieder für dich da. Grüße Wildone |
@ --Luke-- Für die versteckten Dateien schaue hier Bei escan machst du grundlegent was verkehrt und wenn du die Anleitung nochmal richtig lesen würdest, dann fällt es dir auch auf. Du musst nicht doppelklicken sondern in den selbsterstellten Ordner mit Rechtsklick und entpacken nach... Also versuche es nochmal mit lesen der Anleitung (siehe meine Signatur) Edit: Wildone :party: |
danke ich versuch es |
es gibt aber keine mwav.exe die ich entpacken kann nur eine mwavscan.exe glaub ich das des eine exe is. noch eine frage kann mir mal jemand p2p erklären ich kenn des echt net |
Zitat:
Um das ganze nochmal von vorn zu versuchen, rate ich dir lösche alles was mit dem escan zu tun hat (Verzeichnis/Dateien usw.) Dann lese bitte die Anleitung genau durch, du downloadest dir den eScan erneut (dann hast du auch deine mwav.exe) dann machst du auf diese datei einen Rechtsklick und entpackst das ganze nach C:\Bases_X Danach updatest du den eScan indem du bei bestehender I-Netverbindung auf die Datei KAVUpd.exe klickst, aber das steht alles in der Anleitung und wenn man lesen kann ist man klar im Vorteil:daumenhoc Zitat:
|
danke und des mit der exe hab ich auch wieder herrausgefunden aber was bringt mir des wenn ich sie wieder entpacke? ich hab sie doch schon davor am anfang. also ich bin grad in den abgesicherten modus gegangen und hab bei hijack zeug da die sachen gefixt dann hab ich diesn winupdates exe und die andere gelöscht und dann bin ich wieder raus aus dem modus des mit dem escan hab ich gelassen schlimm? ich hoffe jetzt is er mal für kurze zeit weg und ich überleg mir wie ich formatieren kann war des jetzt alles so einigermassen okay was ich gemacht hab ich hab des gemacht was der davor mir geschrieben hat ausser des mit diesem escan muss ich des noch machn? |
Logfile of HijackThis v1.99.1 Scan saved at 17:12:21, on 22.08.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\E_S10IC2.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE C:\PROGRAMME\FRITZ!DSL\FWEBPROT.EXE C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spacepioneers.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor Internet R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O7 "EPUSB1:" /M "Stylus C42" O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: OpenOffice.org 1.1.4.lnk = D:\OpenOffice.org1.1.4\program\quickstart.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O14 - IERESET.INF: START_PAGE_URL=http://www.nexgo.de/arcor/ O15 - Trusted Zone: http://www.neededware.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/11ead797...dxIE601_de.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O16 - DPF: NDWCab - http://www.neededware.com/ndw4.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253 sieht des jetzt besser aus????? :aplaus: |
ich sehe jedenfalls nichts mehr auffälliges. trotzdem solltest du noch eScan durchlaufen lassen wie in der dieser Anleitung beschrieben. |
danke das du nachgeschaut hasch aber bei diesem scheiß escan blick ich einfach net durch ich hab diese mwav.exe ausgepackt dann hab ich diese exe kaspd oder wie des heißt geöffnet isch dann wieder weg gegangen aber jetzt weiß ich net mehr was ich machen soll den es macht doch kein sinn diese komische mwav exe nochmal zu entpacken dann ersetzt ich doch nur die dateien in diesem bases_X ordner ich hab keine ahnung mehr vllt kann mir jemand helfen |
ok dann machst du folgendes: du öffnest die datei mwav.exe entpacken lassen und dann in den ordner c:\windows\temp gehen dort drückst du dann STRG und A, anschließend STRG und C dann geht du auf c: löscht den ordner bases_x falls vorhanden erstellt einen ordner mit dem namen bases_x gehst in den ordner bases_x drückst dort STRG + V starte mwavscan.com und schon bist du im programm eScan. der rest steht in cidre's anleitung. |
geht net meine festplatte is zu klein dafür |
dann mach platz frei. will heißen, start -> ausführen, cleanmgr eingeben, oK klicken. OK, klicken. alles selektieren. wieder OK klicken. escan nochmal probieren. falls das nichts hilft: rechtsklick arbeitsplatz,eigenschaften, erweitert, dateisystem, fehlerbehebung, systemwiederherstellung auf allen laufwerken deaktivieren - haken hin, OK, übernehmen, OK noch escan probieren |
wenn ich mein laufwerk bereinige gehen dann datein verloren ????? ich möcht keine daten verlieren also keine wichtigen. |
nur die temporären. ich denke nicht dass du dadurch wichtige dateien verlierst ;) |
habe selbst den worm auf meinen laptop. betriebssystem XP SP2 kann nicht einmal mehr den taskmanager öffnen. /auf der unten leiste mit rechter maustaste und dann taskmanager öffnen. funktioniert nicht bitte um eure mithilfe... danke tom-tirbo |
Zitat:
falls du die Ad-Aware SE Personal installiert hast, einmal durchlaufen lassen (smart system scan reicht schon) und er findet ca. 9 mal den Wurm. Danach gehst du auf weiter und "löscht" den virus damit. Du kannst zum Test ja noch einmal Ad-Aware SE Personal durchlaufen lassen und wirst sehen, dass er dir keine viren mehr anzeigt. Danach müsste der Taskmanager eigentlich funktionieren. Da gibt es nur ein Problem: ich bekomm den Virus selber nicht weg.. doch mich stört es noch nicht... kann mir vielleicht jemand sagen was es mit diesem Virus auf sich hat? MFG |
Juhuu lob an dieses Forum :party: der virus ist weg und wird auch bei Ad-Aware nicht mehr angezeigt :) . Vielen dank für eure Mithilfe MFG |
------------ |
Ich hoffe ihr könnt mir helfen, ich habe anscheinend einen Wurm auf meinem PC.Habe die Warnmeldung bekommen: WIN32.P2P-Worm.Alcan.a.Wie bekomme ich den weg und wo kommt sowas her ? Hänge mal mein Logfile an. Logfile of HijackThis v1.99.1 Scan saved at 20:21:31, on 29.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Mixer.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\progra~1\softwin\bitdef~1\bdmcon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\HJT\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{01E3DCFA-4D4D-4345-8F4C-95D3B4F99B5F}: NameServer = 217.237.149.161 217.237.150.97 O17 - HKLM\System\CS1\Services\Tcpip\..\{01E3DCFA-4D4D-4345-8F4C-95D3B4F99B5F}: NameServer = 217.237.149.161 217.237.150.97 O17 - HKLM\System\CS2\Services\Tcpip\..\{01E3DCFA-4D4D-4345-8F4C-95D3B4F99B5F}: NameServer = 217.237.149.161 217.237.150.97 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\Programme\Sandra Lite 2005\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\Programme\Sandra Lite 2005\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Gruß Sascha |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board