AlfaCleaner
|
AlfaCleanerO4 - HKLM\..\Run: [AlfaCleaner] C:\Programme\AlfaCleaner\AlfaCleaner.exe O23 - Service: AlfaCleanerService - AlfaCleaner.com - C:\Program Files\AlfaCleaner\ACServer.exe"Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer View the list of top spyware removers here auf dem Desktop speichern
O4 - HKLM\..\Run: [AlfaCleaner] C:\Program Files\AlfaCleaner\AlfaCleaner.exe O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O23 - Service: AlfaCleanerService - AlfaCleaner.com - C:\Program Files\AlfaCleaner\ACServer.exe C:\Windows\System32\intell321.exe C:\Windows\System32\voi640.exe C:\Windows\warnhp.html c:\winstall.exe C:\Windows\uninstDsk.exe C:\Windows\System32\voi271.exe C:\Windows\System32\drivers\hesvc.sys • löschen/deinstallieren C:\Programme\AlfaCleaner • smitRem --> scannen • Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) • SmitfraudFix --> scannen • doppelklick smitfraudfix.cmd • klicke 2 • auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o O4 - HKLM\..\Run: [AlfaCleaner] %DESKTOP%\AlfaCleaner.lnk C:\Documents and Settings\LocalService\Application Data\AlfaCleaner\ C:\Documents and Settings\user\Application Data\AlfaCleaner\ C:\Documents and Settings\user\Application Data\Skinux\ C:\Documents and Settings\All Users\Menu Démarrer\Programmes\AlfaCleaner\ C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\AlfaCleaner.lnk C:\Program Files\AlfaCleaner\SYSTEM32\drivers\hesvc.sys [HKEY_USERS\S-1-5-21-1644491937-1563985344-854245398-1003\Software\Microsoft\Internet Explorer\TypedURLs] "url1"="file:///C:/Programme/AlfaCleaner/" [HKEY_USERS\S-1-5-21-1644491937-1563985344-854245398-1003\Software\Microsoft\Search Assistant\ACMru\5603] "000"="AlfaCleaner" • öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten F3 - REG:win.ini: run=C:\WINDOWS\inet20004\winlogon.exe --> inet20004 O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels64.exe O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe O4 - HKLM\..\Run: [AlfaCleaner] C:\Programme\AlfaCleaner\AlfaCleaner.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll Verzeichnis von C:\WINDOWS\system32 16.02.2006 17:21 7.400 sachosts.exe 16.02.2006 17:21 152.772 attrib.ini 16.02.2006 17:21 7.912 sachostc.exe 16.02.2006 17:21 0 hard.lck 16.02.2006 17:21 10.984 sachostp.exe 16.02.2006 17:21 5.120 msvcrl.dll 16.02.2006 15:56 5.864 sachostm.exe 16.02.2006 14:15 35.870 vsconfig.xml 14.02.2006 21:11 1 vx.tll 14.02.2006 21:04 4 winsub.xml 14.02.2006 21:04 64 svcp.csv 14.02.2006 21:04 37.376 msupdate32.dll Verzeichnis von C:\WINDOWS 14.02.2006 21:04 27.230 sachostx.exe 04.02.2006 19:04 729.088 iun6002.exe C:\WINDOWS\system32\sachosts.exe C:\WINDOWS\inet20004\winlogon.exe C:\WINDOWS\System32\kernels64.exe C:\WINDOWS\System32\spoolsvv.exe C:\WINDOWS\system32\attrib.ini C:\WINDOWS\system32\sachostc.exe C:\WINDOWS\system32\hard.lck C:\WINDOWS\system32\sachostp.exe C:\WINDOWS\system32\msvcrl.dll C:\WINDOWS\system32\sachostm.exe C:\WINDOWS\system32\vx.tll C:\WINDOWS\system32\winsub.xml C:\WINDOWS\system32\svcp.csv C:\WINDOWS\sysldr32.exe C:\WINDOWS\sachostx.exe C:\winstall.exe C:\WINDOWS\iun6002.exe C:\WINDOWS\inet20004\winlogon.exe C:\WINDOWS\inet20004\services.exe C:\WINDOWS\inet20004\3.01.00.dll C:\WINDOWS\inet20004\mm4.exe C:\WINDOWS\inet20004 C:\Windows\System32\drivers\hesvc.sysC:\WINDOWS\system32\msupdate32.dll HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe "Lokale Anwendungsdaten\mspostsp.exe" Troj/Jupdrop-A führt danach die Datei mspostsp.exe aus, die msupdate32.dll in den explorer.exe-Prozess einfügt. C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\mspostsp.exe C:\WINDOWS\system32\oleext.dll Infected: Trojan.Win32.Small.ev skipped C:\WINDOWS\system32\wininet.dll Infected: Virus.Win32.Nsag.b skipped [HKEY_USERS\S-1-5-21-1078081533-2000478354-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "F:\\Programme\\AlfaCleaner\\AlfaCleaner.exe"="AlfaCleaner Loader" "F:\\Programme\\AlfaCleaner\\unins000.exe"="Setup/Uninstall" |