AlfaCleaner, inet20004, msupdate32.dll, hesvc.sys

startseite Gastbuch Kontakt
AlfaCleaner
AlfaCleaner

AlfaCleaner - remove




HijackThis

O4 - HKLM\..\Run: [AlfaCleaner] C:\Programme\AlfaCleaner\AlfaCleaner.exe
O23 - Service: AlfaCleanerService - AlfaCleaner.com - C:\Program Files\AlfaCleaner\ACServer.exe





"Warning!
Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer
View the list of top spyware removers here


smitRem Download Link http://www.bleepingcomputer.com/files/smitRem.php
auf dem Desktop speichern

*
SmitfraudFix.zip _entpacken und auf dem Desktop speichern
http://virus-protect.org/artikel/tools/smitfrautfix.html

Avenger 

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|AlfaCleaner

registry keys to delete: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AlfaCleaner.com_is1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ALFACLEANER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ALFACLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\alfacleaner
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ALFACLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\alfacleaner
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\System\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALFACLEANER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALFACLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\alfacleaner
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System\AlfaCleanerService

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Desktop\AlfaCleaner.lnk
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AlfaCleaner.lnk 
C:\Windows\System32\drivers\hesvc.sys 

Folders to delete: 
C:\Programme\AlfaCleaner
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\AlfaCleaner
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\AlfaCleaner
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AlfaCleaner



++ öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O4 - HKLM\..\Run: [AlfaCleaner] C:\Program Files\AlfaCleaner\AlfaCleaner.exe
O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O23 - Service: AlfaCleanerService - AlfaCleaner.com - C:\Program Files\AlfaCleaner\ACServer.exe


++ killbox
C:\Windows\System32\intell321.exe
C:\Windows\System32\voi640.exe
C:\Windows\warnhp.html
c:\winstall.exe
C:\Windows\uninstDsk.exe
C:\Windows\System32\voi271.exe
C:\Windows\System32\drivers\hesvc.sys


++ Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

++ löschen/deinstallieren
C:\Programme\AlfaCleaner


++ smitRem --> scannen
Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

++ SmitfraudFix --> scannen

. doppelklick smitfraudfix.cmd
. klicke 2
. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o



O4 - HKLM\..\Run: [AlfaCleaner]
%DESKTOP%\AlfaCleaner.lnk
C:\Documents and Settings\LocalService\Application Data\AlfaCleaner\
C:\Documents and Settings\user\Application Data\AlfaCleaner\
C:\Documents and Settings\user\Application Data\Skinux\
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\AlfaCleaner\
C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\AlfaCleaner.lnk
C:\Program Files\AlfaCleaner\SYSTEM32\drivers\hesvc.sys


Registry Search
http://virus-protect.org/artikel/tools/regsearch.html

[HKEY_USERS\S-1-5-21-1644491937-1563985344-854245398-1003\Software\Microsoft\Internet Explorer\TypedURLs]
"url1"="file:///C:/Programme/AlfaCleaner/"

[HKEY_USERS\S-1-5-21-1644491937-1563985344-854245398-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="AlfaCleaner"


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

F3 - REG:win.ini: run=C:\WINDOWS\inet20004\winlogon.exe --> inet20004
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels64.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programme\AlfaCleaner\AlfaCleaner.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll


datfindbat

Verzeichnis von C:\WINDOWS\system32 
16.02.2006 17:21 7.400 sachosts.exe
16.02.2006 17:21 152.772 attrib.ini
16.02.2006 17:21 7.912 sachostc.exe
16.02.2006 17:21 0 hard.lck
16.02.2006 17:21 10.984 sachostp.exe
16.02.2006 17:21 5.120 msvcrl.dll
16.02.2006 15:56 5.864 sachostm.exe
16.02.2006 14:15 35.870 vsconfig.xml
14.02.2006 21:11 1 vx.tll
14.02.2006 21:04 4 winsub.xml
14.02.2006 21:04 64 svcp.csv
14.02.2006 21:04 37.376 msupdate32.dll

Verzeichnis von C:\WINDOWS

14.02.2006 21:04 27.230 sachostx.exe
04.02.2006 19:04 729.088 iun6002.exe
Löschen: Killbox 
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\inet20004\winlogon.exe
C:\WINDOWS\System32\kernels64.exe
C:\WINDOWS\System32\spoolsvv.exe
C:\WINDOWS\system32\attrib.ini
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\hard.lck
C:\WINDOWS\system32\sachostp.exe
C:\WINDOWS\system32\msvcrl.dll
C:\WINDOWS\system32\sachostm.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\winstall.exe
C:\WINDOWS\iun6002.exe

C:\WINDOWS\inet20004\winlogon.exe
C:\WINDOWS\inet20004\services.exe
C:\WINDOWS\inet20004\3.01.00.dll
C:\WINDOWS\inet20004\mm4.exe
C:\WINDOWS\inet20004

C:\Windows\System32\drivers\hesvc.sys
C:\WINDOWS\system32\msupdate32.dll



http://www.sophos.de/virusinfo/analyses/trojjupdropa.html
Wenn die Dateien im Ordner "Lokale Anwendungsdaten" abgelegt werden, wird der folgende Registrierungseintrag erstellt, um mspostsp.exe beim Start auszuführen:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe "Lokale Anwendungsdaten\mspostsp.exe"

Troj/Jupdrop-A führt danach die Datei mspostsp.exe aus, die msupdate32.dll in den explorer.exe-Prozess einfügt.

C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\mspostsp.exe

C:\WINDOWS\system32\oleext.dll Infected: Trojan.Win32.Small.ev skipped
C:\WINDOWS\system32\wininet.dll Infected: Virus.Win32.Nsag.b skipped


[HKEY_USERS\S-1-5-21-1078081533-2000478354-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"F:\\Programme\\AlfaCleaner\\AlfaCleaner.exe"="AlfaCleaner Loader"
"F:\\Programme\\AlfaCleaner\\unins000.exe"="Setup/Uninstall"




Valid HTML 4.01 Ranking-Hits