Wurm Alcra Removal Instructions

[Paule]

Autor: Mopao

Wurm Alcra Removal Instructions

Alcra ist ein Windows-Wurm der sich im Systemordner einnistet.
Ist er aktiv, legt er die Dateien temp.zip, p2pnetworks.exe und bszip.dll an. Der Wurm erstellt Registry-Einträge, um sich bei einer Benutzeranmeldung zu starten. Weiterhin versucht er, sich in freigegebene Ordner bekannter P2P-Programme zu kopieren, um sich über Tauschbörsen zu verbreiten.

Symptome

Der Wurm Alcra verursacht folgende Veränderungen im PC:

• %systemroot%\System32 Ordner nicht sichtbar.
• cmd, ping, tracert und regedit funktionieren nicht.
• Meldung beim Taskmanager aufrufen: "Taskmanager wurde vom Administrator deaktiviert".

Diagnose

Die Logfile von HiJackThis enthält folgende Zeilen:

• O4
  
  Code:

  O4 - HKLM\..\Run: [winupdates] %ProgramFiles%\winupdates\winupdates.exe /auto 
  O4 - HKLM\..\Run: [outlook] %ProgramFiles%\outlook\outlook.exe /auto 
  O4 - HKLM\..\Run: [winlog] winlog.exe 
  O4 - HKLM\..\Run: [MsMovies] %ProgramFiles%\MsMovies\MsMovies.exe /auto 
  O4 - HKLM\..\RunServices: [p2pnetwork] p2pnetwork.exe

• O7
  
  Code:

  O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

• O23
  
  Code:

  O23 - Service: Network Monitor - Unknown owner - %ProgramFiles%\Network Monitor\netmon.exe

• %ProgramFiles%
  
  Code:

  %ProgramFiles%\Network Monitor\netmon.exe 
  %ProgramFiles%\winsupdater\winsupdater.exe 
  %ProgramFiles%\MsMovies\MsMovies.exe
  %ProgramFiles%\outlook\outlook.exe

• %Systemroot%\system32
  
  Code:

  %systemroot%\system32\cmd.com 
  %systemroot%\system32\bszip.dll 
  %systemroot%\system32\netstat.com 
  %systemroot%\system32\ping.com 
  %systemroot%\system32\regedit.com 
  %systemroot%\system32\taskkill.com 
  %systemroot%\system32\tracert.com 
  %systemroot%\system32\winlog.exe

Registry Entry

• O4 Entry
  
  Code:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  "winupdates" = "%ProgramFiles%\winupdates\winupdates.exe /auto"
  "outlook" = "%ProgramFiles%\outlook\outlook.exe /auto"
  "winlog" = "winlog.exe"
  "MsMovies" = "%ProgramFiles%\MsMovies\MsMovies.exe /auto"
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  "p2pnetwork" = "p2pnetwork.exe"

• O7 Entry
  
  Code:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  "DisableRegistryTools"=dword:00000001

• O23 Entry
  
  Code:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor

Entfernung

• ComboFix.exe
  • Lade die Datei ComboFix.exe auf den Desktop.
  • Deaktiviere das Anti-Virus Programm.
  • Alle Programme schließen.
  • ComboFix.exe doppelklicken und den Anweisungen folgen.
  • Installation der Wiederherstellungskonsole zustimmen, falls dazu aufgefordert wird.
  • Den Anweisungen weiter folgen.
  • Poste den Inhalt der Datei C:\ComboFix.txt im Forum Thread.
  
  
• Malwarebytes Anti-Malware
  • Lade die Datei Malwarebytes auf den Desktop.
  • Installiere Malwarebytes Anti-Malware.
  • Führe eine Programmaktualisierung durch.
  • Vollständigen Systemscan durchführen.
  
  
  
  
• Alcra-Entfernung
  • PS: Beim Download oder bei der Ausführung könnte das Anti Viren Programm eine Warnmeldung ausgeben. Das ist ein Fehlalarm und kann ignoriert werden.
  • Lade die Datei Alcra-Entfernung auf den Desktop.
  • Alle Programme schließen.
  • Alcra_Remove_Tool.exe doppelklicken.
  • Den Anweisungen folgen.
  • Starte den PC neu.
  
  
• ALCRAGUI
  • Lade die Datei ALCRAGUI auf den Desktop.
  • Alle Programme schließen.
  • Datei ausführen.
  • DAnweisungen folgen.
  • Nach dem Scan befindet sich unter C:\ die Datei resolve.log, poste den Inhalt im Forum Thread.