AlfaCleaner

AlfaCleaner

weiter HijackThis 
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programme\AlfaCleaner\AlfaCleaner.exe
O23 - Service: AlfaCleanerService - AlfaCleaner.com - C:\Program Files\AlfaCleaner\ACServer.exe
"Warning!
Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer
View the list of top spyware removers here

weiter Download Link smitRem
auf dem Desktop speichern

weiter entpacken und auf dem Desktop speichern smitfrautfix

weiter Avenger 

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|AlfaCleaner

registry keys to delete: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AlfaCleaner.com_is1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ALFACLEANER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ALFACLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\alfacleaner
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ALFACLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\alfacleaner
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\System\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALFACLEANER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALFACLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\alfacleaner
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AlfaCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System\AlfaCleanerService

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Desktop\AlfaCleaner.lnk
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AlfaCleaner.lnk 
C:\Windows\System32\drivers\hesvc.sys 

Folders to delete: 
C:\Programme\AlfaCleaner
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\AlfaCleaner
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Anwendungsdaten\AlfaCleaner
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AlfaCleaner

weiter öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" 

O4 - HKLM\..\Run: [AlfaCleaner] C:\Program Files\AlfaCleaner\AlfaCleaner.exe
O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O23 - Service: AlfaCleanerService - AlfaCleaner.com - C:\Program Files\AlfaCleaner\ACServer.exe
weiterKillbox
C:\Windows\System32\intell321.exe
C:\Windows\System32\voi640.exe
C:\Windows\warnhp.html
c:\winstall.exe
C:\Windows\uninstDsk.exe
C:\Windows\System32\voi271.exe
C:\Windows\System32\drivers\hesvc.sys

weiter Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

• löschen/deinstallieren
C:\Programme\AlfaCleaner

• smitRem --> scannen
• Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)

• SmitfraudFix --> scannen

• doppelklick smitfraudfix.cmd
• klicke 2
• auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o
falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o 
O4 - HKLM\..\Run: [AlfaCleaner]
%DESKTOP%\AlfaCleaner.lnk
C:\Documents and Settings\LocalService\Application Data\AlfaCleaner\
C:\Documents and Settings\user\Application Data\AlfaCleaner\
C:\Documents and Settings\user\Application Data\Skinux\
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\AlfaCleaner\
C:\Documents and Settings\user\Application Data\Microsoft\Internet Explorer\Quick Launch\AlfaCleaner.lnk
C:\Program Files\AlfaCleaner\SYSTEM32\drivers\hesvc.sys
weiter Registry Search

[HKEY_USERS\S-1-5-21-1644491937-1563985344-854245398-1003\Software\Microsoft\Internet Explorer\TypedURLs]
"url1"="file:///C:/Programme/AlfaCleaner/"

[HKEY_USERS\S-1-5-21-1644491937-1563985344-854245398-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="AlfaCleaner"

• öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten 
F3 - REG:win.ini: run=C:\WINDOWS\inet20004\winlogon.exe  --> inet20004
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels64.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programme\AlfaCleaner\AlfaCleaner.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20004\winlogon.exe
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
weiter datfindbat

Verzeichnis von C:\WINDOWS\system32 
16.02.2006 17:21 7.400 sachosts.exe
16.02.2006 17:21 152.772 attrib.ini
16.02.2006 17:21 7.912 sachostc.exe
16.02.2006 17:21 0 hard.lck
16.02.2006 17:21 10.984 sachostp.exe
16.02.2006 17:21 5.120 msvcrl.dll
16.02.2006 15:56 5.864 sachostm.exe
16.02.2006 14:15 35.870 vsconfig.xml
14.02.2006 21:11 1 vx.tll
14.02.2006 21:04 4 winsub.xml
14.02.2006 21:04 64 svcp.csv
14.02.2006 21:04 37.376 msupdate32.dll

Verzeichnis von C:\WINDOWS

14.02.2006 21:04 27.230 sachostx.exe
04.02.2006 19:04 729.088 iun6002.exe
weiter Löschen mit der Killbox : 
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\inet20004\winlogon.exe
C:\WINDOWS\System32\kernels64.exe
C:\WINDOWS\System32\spoolsvv.exe
C:\WINDOWS\system32\attrib.ini
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\hard.lck
C:\WINDOWS\system32\sachostp.exe
C:\WINDOWS\system32\msvcrl.dll
C:\WINDOWS\system32\sachostm.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\winstall.exe
C:\WINDOWS\iun6002.exe

C:\WINDOWS\inet20004\winlogon.exe
C:\WINDOWS\inet20004\services.exe
C:\WINDOWS\inet20004\3.01.00.dll
C:\WINDOWS\inet20004\mm4.exe
C:\WINDOWS\inet20004

C:\Windows\System32\drivers\hesvc.sys
C:\WINDOWS\system32\msupdate32.dll

weiter http://www.sophos.de Wenn die Dateien im Ordner "Lokale Anwendungsdaten" abgelegt werden, wird der folgende Registrierungseintrag erstellt, um mspostsp.exe beim Start auszuführen:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe "Lokale Anwendungsdaten\mspostsp.exe"

Troj/Jupdrop-A führt danach die Datei mspostsp.exe aus, die msupdate32.dll in den explorer.exe-Prozess einfügt.

C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Anwendungsdaten\mspostsp.exe

C:\WINDOWS\system32\oleext.dll Infected: Trojan.Win32.Small.ev skipped
C:\WINDOWS\system32\wininet.dll Infected: Virus.Win32.Nsag.b skipped


[HKEY_USERS\S-1-5-21-1078081533-2000478354-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"F:\\Programme\\AlfaCleaner\\AlfaCleaner.exe"="AlfaCleaner Loader"
"F:\\Programme\\AlfaCleaner\\unins000.exe"="Setup/Uninstall"






virus-protect.org
startseite Valid HTML 4.01 Ranking-Hits antispam