AlfaCleaner

AlfaCleaner

HijackThis 
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programme\AlfaCleaner\AlfaCleaner.exe
O23 - Service: AlfaCleanerService - AlfaCleaner.com - C:\Program Files\AlfaCleaner\ACServer.exe
"Warning!
Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer
View the list of top spyware removers here

• Download Link smitRem
auf dem Desktop speichern

• entpacken und auf dem Desktop speichern smitfrautfix

Avenger 

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|AlfaCleaner

registry keys to delete: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AlfaCleaner.com_is1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ALFACLEANER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ALFACLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\alfacleaner
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ALFACLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\alfacleaner
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\System\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALFACLEANER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALFACLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\alfacleaner
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System\AlfaCleanerService

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Desktop\AlfaCleaner.lnk
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AlfaCleaner.lnk 
C:\Windows\System32\drivers\hesvc.sys 

Folders to delete: 
C:\Programme\AlfaCleaner
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\AlfaCleaner
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\AlfaCleaner
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AlfaCleaner


• öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" 

O4 - HKLM\..\Run: [AlfaCleaner] C:\Program Files\AlfaCleaner\AlfaCleaner.exe
O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O23 - Service: AlfaCleanerService - AlfaCleaner.com - C:\Program Files\AlfaCleaner\ACServer.exe
Killbox
C:\Windows\System32\intell321.exe
C:\Windows\System32\voi640.exe
C:\Windows\warnhp.html
c:\winstall.exe
C:\Windows\uninstDsk.exe
C:\Windows\System32\voi271.exe
C:\Windows\System32\drivers\hesvc.sys


• Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

• löschen/deinstallieren
C:\Programme\AlfaCleaner

• smitRem --> scannen
• Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

• SmitfraudFix --> scannen

• doppelklick smitfraudfix.cmd
• klicke 2
• auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o
falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o 
O4 - HKLM\..\Run: [AlfaCleaner]
%DESKTOP%\AlfaCleaner.lnk
C:\Documents and Settings\LocalService\Application Data\AlfaCleaner\
C:\Documents and Settings\user\Application Data\AlfaCleaner\
C:\Documents and Settings\user\Application Data\Skinux\
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\AlfaCleaner\
C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\AlfaCleaner.lnk
C:\Program Files\AlfaCleaner\SYSTEM32\drivers\hesvc.sys
Registry Search

[HKEY_USERS\S-1-5-21-1644491937-1563985344-854245398-1003\Software\Microsoft\Internet Explorer\TypedURLs]
"url1"="file:///C:/Programme/AlfaCleaner/"

[HKEY_USERS\S-1-5-21-1644491937-1563985344-854245398-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="AlfaCleaner"

• öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten 
F3 - REG:win.ini: run=C:\WINDOWS\inet20004\winlogon.exe  --> inet20004
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels64.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programme\AlfaCleaner\AlfaCleaner.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
datfindbat

Verzeichnis von C:\WINDOWS\system32 
16.02.2006 17:21 7.400 sachosts.exe
16.02.2006 17:21 152.772 attrib.ini
16.02.2006 17:21 7.912 sachostc.exe
16.02.2006 17:21 0 hard.lck
16.02.2006 17:21 10.984 sachostp.exe
16.02.2006 17:21 5.120 msvcrl.dll
16.02.2006 15:56 5.864 sachostm.exe
16.02.2006 14:15 35.870 vsconfig.xml
14.02.2006 21:11 1 vx.tll
14.02.2006 21:04 4 winsub.xml
14.02.2006 21:04 64 svcp.csv
14.02.2006 21:04 37.376 msupdate32.dll

Verzeichnis von C:\WINDOWS

14.02.2006 21:04 27.230 sachostx.exe
04.02.2006 19:04 729.088 iun6002.exe
• Löschen mit der Killbox : 
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\inet20004\winlogon.exe
C:\WINDOWS\System32\kernels64.exe
C:\WINDOWS\System32\spoolsvv.exe
C:\WINDOWS\system32\attrib.ini
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\hard.lck
C:\WINDOWS\system32\sachostp.exe
C:\WINDOWS\system32\msvcrl.dll
C:\WINDOWS\system32\sachostm.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\winstall.exe
C:\WINDOWS\iun6002.exe

C:\WINDOWS\inet20004\winlogon.exe
C:\WINDOWS\inet20004\services.exe
C:\WINDOWS\inet20004\3.01.00.dll
C:\WINDOWS\inet20004\mm4.exe
C:\WINDOWS\inet20004

C:\Windows\System32\drivers\hesvc.sys
C:\WINDOWS\system32\msupdate32.dll

http://www.sophos.de Wenn die Dateien im Ordner "Lokale Anwendungsdaten" abgelegt werden, wird der folgende Registrierungseintrag erstellt, um mspostsp.exe beim Start auszuführen:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe "Lokale Anwendungsdaten\mspostsp.exe"

Troj/Jupdrop-A führt danach die Datei mspostsp.exe aus, die msupdate32.dll in den explorer.exe-Prozess einfügt.

C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\mspostsp.exe

C:\WINDOWS\system32\oleext.dll Infected: Trojan.Win32.Small.ev skipped
C:\WINDOWS\system32\wininet.dll Infected: Virus.Win32.Nsag.b skipped


[HKEY_USERS\S-1-5-21-1078081533-2000478354-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"F:\\Programme\\AlfaCleaner\\AlfaCleaner.exe"="AlfaCleaner Loader"
"F:\\Programme\\AlfaCleaner\\unins000.exe"="Setup/Uninstall"






Counter-Box.de


virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam