Autor: Mopao
Alcra-Entfernung
Alcra ist ein Windows-Wurm der sich im Systemordner einnistet.
Ist er aktiv, legt er die Dateien temp.zip, p2pnetworks.exe und bszip.dll an. Zudem erstellt er Registry-Einträge, um sich bei einer Benutzeranmeldung zu starten. Weiterhin versucht er, sich in freigegebene Ordner bekannter P2P-Programme zu kopieren, um sich über die Tauschbörsen zu verbreiten.
Symptome
Hast du dir den Wurm eingefangen, sind folgende Veränderungen an deinem PC erkennbar:
- %systemroot%\System32 Ordner nicht sichtbar
- cmd und regedit funktionieren nicht
- Meldung beim Taskmanager aufrufen: Taskmanager wurde vom Administrator deaktiviert
Diagnose
Beim Scannen mit HiJackThis tauchen im logfile die folgenden Zeilen auf:
[COLOR='Red']C:\WINDOWS\system32\winlog.exe
C:\Programme\Network Monitor\netmon.exe
C:\Programme\winsupdater\winsupdater.exe
C:\Programme\MsMovies\MsMovies.exe
C:\Programme\outlook\outlook.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [MsMovies] E:\Programme\MsMovies\MsMovies.exe /auto
O4 - HKLM\..\Run: [winupdate] E:\Programme\winupdate\winupdate.exe /auto
O4 - HKLM\..\Run: [Windows Automatic Updater] winupdater.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKLM\..\RunServices: [p2pnetwork] p2pnetwork.exe
O4 - HKCU\..\Run: [p2pnetwork] p2pnetwork.exe
O4 - HKCU\..\RunServices: [p2pnetwork] p2pnetwork.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Network Monitor - Unknown owner - E:\Programme\Network Monitor\netmon.exe[/COLOR]
Alles anzeigen
Entfernung
Die Entfernung erfolgt im abgesicherten Modus (Beim Hochfahren F8).
Lade dir dazu die Alcra-Remove-Tool.zip runter, speichere die zip-Datei und entpacke sie anschließend. Das Alcra-Remove-Tool führt eine automatisierte Entfernung des Wurmes durch, und ist nur unter Windows XP und Windows 2003 lauffähig. Die Entfernung über das Tool funktioniert nicht bei Windows 98/Me und 2000!
http://www.paules-pc-infothek.de/grafiken/mopao…Remove_Tool.zip
Die so eben entpackte Datei öffnest du, und erhältst das folgende Fenster:
Bild 1: Alcra-Startbildschirm
Um die Entfernung zu starten gibst du 1 ein, und bestätigst mit Enter. Die Entfernung läuft durch, und startet den PC danach selbstständig neu.
Fahre jetzt den PC normal hoch, und führe einen Online-Scan bei a-squared durch.
a-squared Web Malware Scanner - Prüfen und reinigen Sie Ihren PC hier kostenlos von Trojanern, Würmern, Dialern, Keyloggern und Spyware/Adware!
Danach erstellst du zur Überprüfung einen weiteren HiJackThis-Scan, und postest das Ergebnis im Forum. Sind noch weitere Schädlinge vorhanden, erhältst du dort weitere Ratschläge.
Artikel als pdf:[Blockierte Grafik: http://www.paules-pc-infothek.de/ppf2/images/smiles/pdf.gif]