Zuerst möchte ich mich für die Unterstützung bei der Site
diese haben mich auf die richtige Spur gebracht. kuji mnohokrát !!
Dieser Wurm ist eine echte Nervensäge, er erstellt auf dem Rechner ein bis zwei Prozesse
z.B.:
[COLOR= red]C:\WINDOWS\System32\uregdeve.exe[/COLOR]
einen O4 Eintrag
[COLOR= red]O4 - HKLM..Run: (audiag) C:WINDOWS\system32\audconf.exe [/COLOR]
und mehrere Hijackthis "O20" Einträge
z.B.:
[COLOR= red]O20 - AppInit_DLLs: cfgmmprm.dll e1.dll confcon.dll constat.dll[/COLOR]
[COLOR= red]O20 - Winlogon Notify: conmgr - C:WINDOWS\SYSTEM32\conmgr32.dll [/COLOR]
[COLOR= red]O20 - Winlogon Notify: uregdeve - C:WINDOWS\system32\uregdeve.dll [/COLOR]
Am schnellsten erkennt man ihn über einen dieser Hijackthis.log einträge:
[COLOR= red]
O20 - AppInit_DLLs: cfgmmprm.dll e1.dll confcon.dll constat.dll
O20 - AppInit_DLLs: msisnwcf.dll e1.dll confcon.dll constat.dll confatt.dll attstat.dll
O20 - AppInit_DLLs: e1.dll msisnwcf.dll confcon.dll constat.dll
O20 - AppInit_DLLs: psapdani.dll e1.dll j2t3crh.dll
O20 - AppInit_DLLs: psapdani.dll e1.dll [/COLOR]
Er wird [COLOR= blue]derzeit[/COLOR] massiv über viele Messenger od. EMail übertragen (ICQ und SKYPE extrem gefährdet)
[COLOR= red]Er deaktiviert auch die automatischen windows updates,
schaut auch bitte nach ob soweit alle Schutzmöglichkeiten (Firewall,Antivirenprogramm etc.) noch aktiviert sind.[/COLOR]
---------------------------------------------------------------------------
Warezov / Stration Emailwurm entfernen
Schritt 1[COLOR= red]Ordneroptionen richtig einstellen[/COLOR]
[COLOR= blue]Im Windows-Explorer:[/COLOR]
Registerkarte Extras > Ordneroptionen > den Reiter "Ansicht" > Versteckte Dateien und Ordner >
"alle Dateien und Ordner anzeigen" aktivieren, dann bei
Dateien und Ordner >
"Inhalte von Systemordnern anzeigen" -> aktivieren und ebenfalls
Dateien und Ordner>
"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
Schritt 2
Lade das
Setze Häckchen in/oder drücke auf "Alles Löschen" und "Löschen", danach beenden.
Schritt 3
Kopiere den Text im Anhang (unten auf dieser Seite) komplett in ein Notepad-Dokument und speichere es als C:\remove.txt auf deiner Festplatte.
(aktualisiert am 06.04.2007;19:54 Uhr)
Schritt 4
Lade den
Starte den Avenger.
Setze das Zeichen bei "Load Script from File" (1) (lade das Skript aus der Datei)
und klicke dann auf das Ordner Icon (2) auf der rechten Seite.
Browse dann zu C:\remove.txt (3) und klicke auf öffnen, um ihn zu laden.
Klicke dann auf das grüne Licht Icon (4).
Nun wird die Ausführung des Skripts im Speicher beginnen.
Nachdem du das grüne Licht Icon angeklickt hast, um mit der Ausführung des Skripts zu beginnen, stellt sich der Avenger so ein, dass er dann laufen wird, wenn du deinen Rechner das nächste mal herunterfährst. Er wird dich dann auffordern sofort wieder neu aufzustarten.
Fahre nun den Rechner runter, mache ihn aus. Starte neu.
Wenn dein System wieder aufgestartet ist, wird sich ein Logfile mit den Ergebnissen der Tätigkeiten des Avenger öffnen. Dieses Logfile befindet sich als avenger.txt im Ordner des Avenger auf C:. Der Avenger hat dann ausserdem Backups aller gelöschten Dateien ect. erstellt, gezipt und die gezipten Archive in den Ordner C:\Avenger\backups.zip geschoben.
[COLOR= red] WICHTIG !! BITTE DEN AVENGER MEHRMALS ABLAUFEN
LASSEN !! (Ratsam ist 3 mal, da sich der Wurm nicht so einfach löschen lässt.) [/COLOR]
Die backups.zip Datei sollte man den Antivirenprogramm-Herstellern schicken:
Betreff: Warezov / Stration Wurm
Lösche danach die Datei C:\Avenger\backup.zip und leere den Papierkorb.
Schritt 5
Für Windows XP und ME: bitte nun die
Poste ausserdem den Inhalt der C:avenger.txt Datei.
Schritt 6
Untersuche den Ordner C:\WINDOWS\SYSTEM32 nach den aufgelisteten Dateien
(herruntergeladener Text) und loesche diese falls vorhanden.
Mit hilfe von LSPfix ebenfalls untersuchen (siehe dll-dateien unten) und die Winsock reparieren :
C:\WINDOWS\SYSTEM32\rsvp32_2.dll
C:\WINDOWS\SYSTEM32\rsvp32_2.dll435
C:\WINDOWS\SYSTEM32\sporder.dll
Schritt 7
Versuche die Windows-updates zu machen, falls du scheitern solltest
[Fehlernummer: 0x80070424] , schau bitte in der Registry nach folgenden
Einträgen:
Löschen der Temporären Verzeichnisse (falls clearprog nicht funktioniert):
START > ausführen (schreib): cleanmgr -> ok.
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
Klicke ok.
START > ausführen (schreib): %temp% -> ok.
Mach das für jedes Benutzerkonto.
Du leerst damit den/die Ordner C:\DOKUME~1\Dein Name\LOKALE~1\Temp\
Schritt 8
Untersuche die Registry:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List|C:Windows\system32\brwconf.exe -
bitte manuell aus der Registry loeschen, falls es vorhanden ist
Schritt 9
Öffne folgende Datei mit dem Notepad/Editor
Windows 95/98/Me "c:\windows\hosts"
Windows NT/2000/XP Pro "c:\winnt\system32\drivers\etc\hosts"
Windows XP Home "c:\windows\system32\drivers\etc\hosts"
dort sollte nur dieser Eintrag zu finden sein:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
falls dort andere zu finden sind z.B.:
[COLOR= red]127.0.0.1 download.microsoft.com[/COLOR]
unbedingt löschen und danach abspeichern.
Please,
Anmelden
or
Registrieren
to view URLs content!
recht herzlich bedanken,diese haben mich auf die richtige Spur gebracht. kuji mnohokrát !!
Dieser Wurm ist eine echte Nervensäge, er erstellt auf dem Rechner ein bis zwei Prozesse
z.B.:
[COLOR= red]C:\WINDOWS\System32\uregdeve.exe[/COLOR]
einen O4 Eintrag
[COLOR= red]O4 - HKLM..Run: (audiag) C:WINDOWS\system32\audconf.exe [/COLOR]
und mehrere Hijackthis "O20" Einträge
z.B.:
[COLOR= red]O20 - AppInit_DLLs: cfgmmprm.dll e1.dll confcon.dll constat.dll[/COLOR]
[COLOR= red]O20 - Winlogon Notify: conmgr - C:WINDOWS\SYSTEM32\conmgr32.dll [/COLOR]
[COLOR= red]O20 - Winlogon Notify: uregdeve - C:WINDOWS\system32\uregdeve.dll [/COLOR]
Am schnellsten erkennt man ihn über einen dieser Hijackthis.log einträge:
[COLOR= red]
O20 - AppInit_DLLs: cfgmmprm.dll e1.dll confcon.dll constat.dll
O20 - AppInit_DLLs: msisnwcf.dll e1.dll confcon.dll constat.dll confatt.dll attstat.dll
O20 - AppInit_DLLs: e1.dll msisnwcf.dll confcon.dll constat.dll
O20 - AppInit_DLLs: psapdani.dll e1.dll j2t3crh.dll
O20 - AppInit_DLLs: psapdani.dll e1.dll [/COLOR]
Er wird [COLOR= blue]derzeit[/COLOR] massiv über viele Messenger od. EMail übertragen (ICQ und SKYPE extrem gefährdet)
[COLOR= red]Er deaktiviert auch die automatischen windows updates,
schaut auch bitte nach ob soweit alle Schutzmöglichkeiten (Firewall,Antivirenprogramm etc.) noch aktiviert sind.[/COLOR]
---------------------------------------------------------------------------
Warezov / Stration Emailwurm entfernen
Schritt 1[COLOR= red]Ordneroptionen richtig einstellen[/COLOR]
[COLOR= blue]Im Windows-Explorer:[/COLOR]
Registerkarte Extras > Ordneroptionen > den Reiter "Ansicht" > Versteckte Dateien und Ordner >
"alle Dateien und Ordner anzeigen" aktivieren, dann bei
Dateien und Ordner >
"Inhalte von Systemordnern anzeigen" -> aktivieren und ebenfalls
Dateien und Ordner>
"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
Schritt 2
Lade das
Please,
Anmelden
or
Registrieren
to view URLs content!
runter.Setze Häckchen in/oder drücke auf "Alles Löschen" und "Löschen", danach beenden.
Please,
Anmelden
or
Registrieren
to view URLs content!
Schritt 3
Kopiere den Text im Anhang (unten auf dieser Seite) komplett in ein Notepad-Dokument und speichere es als C:\remove.txt auf deiner Festplatte.
(aktualisiert am 06.04.2007;19:54 Uhr)
Schritt 4
Lade den
Please,
Anmelden
or
Registrieren
to view URLs content!
herunter und speichere ihn auf deinem Desktop.Starte den Avenger.
Setze das Zeichen bei "Load Script from File" (1) (lade das Skript aus der Datei)
und klicke dann auf das Ordner Icon (2) auf der rechten Seite.
Browse dann zu C:\remove.txt (3) und klicke auf öffnen, um ihn zu laden.
Klicke dann auf das grüne Licht Icon (4).
Nun wird die Ausführung des Skripts im Speicher beginnen.
Nachdem du das grüne Licht Icon angeklickt hast, um mit der Ausführung des Skripts zu beginnen, stellt sich der Avenger so ein, dass er dann laufen wird, wenn du deinen Rechner das nächste mal herunterfährst. Er wird dich dann auffordern sofort wieder neu aufzustarten.
Fahre nun den Rechner runter, mache ihn aus. Starte neu.
Wenn dein System wieder aufgestartet ist, wird sich ein Logfile mit den Ergebnissen der Tätigkeiten des Avenger öffnen. Dieses Logfile befindet sich als avenger.txt im Ordner des Avenger auf C:. Der Avenger hat dann ausserdem Backups aller gelöschten Dateien ect. erstellt, gezipt und die gezipten Archive in den Ordner C:\Avenger\backups.zip geschoben.
[COLOR= red] WICHTIG !! BITTE DEN AVENGER MEHRMALS ABLAUFEN
LASSEN !! (Ratsam ist 3 mal, da sich der Wurm nicht so einfach löschen lässt.) [/COLOR]
Die backups.zip Datei sollte man den Antivirenprogramm-Herstellern schicken:
Betreff: Warezov / Stration Wurm
Please,
Anmelden
or
Registrieren
to view URLs content!
Lösche danach die Datei C:\Avenger\backup.zip und leere den Papierkorb.
Schritt 5
Für Windows XP und ME: bitte nun die
Please,
Anmelden
or
Registrieren
to view URLs content!
deaktivieren, den Rechner booten(neustarten), dann die Systemwiederherstellung wieder aktivieren. Vergib einen neuen vorläufigen Systemwiederherstellungspunkt, lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.Poste ausserdem den Inhalt der C:avenger.txt Datei.
Schritt 6
Untersuche den Ordner C:\WINDOWS\SYSTEM32 nach den aufgelisteten Dateien
(herruntergeladener Text) und loesche diese falls vorhanden.
Mit hilfe von LSPfix ebenfalls untersuchen (siehe dll-dateien unten) und die Winsock reparieren :
Please,
Anmelden
or
Registrieren
to view URLs content!
C:\WINDOWS\SYSTEM32\rsvp32_2.dll
C:\WINDOWS\SYSTEM32\rsvp32_2.dll435
C:\WINDOWS\SYSTEM32\sporder.dll
Schritt 7
Versuche die Windows-updates zu machen, falls du scheitern solltest
[Fehlernummer: 0x80070424] , schau bitte in der Registry nach folgenden
Einträgen:
Please,
Anmelden
or
Registrieren
to view URLs content!
Löschen der Temporären Verzeichnisse (falls clearprog nicht funktioniert):
START > ausführen (schreib): cleanmgr -> ok.
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
Klicke ok.
START > ausführen (schreib): %temp% -> ok.
Mach das für jedes Benutzerkonto.
Du leerst damit den/die Ordner C:\DOKUME~1\Dein Name\LOKALE~1\Temp\
Schritt 8
Untersuche die Registry:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List|C:Windows\system32\brwconf.exe -
bitte manuell aus der Registry loeschen, falls es vorhanden ist
Schritt 9
Öffne folgende Datei mit dem Notepad/Editor
Windows 95/98/Me "c:\windows\hosts"
Windows NT/2000/XP Pro "c:\winnt\system32\drivers\etc\hosts"
Windows XP Home "c:\windows\system32\drivers\etc\hosts"
dort sollte nur dieser Eintrag zu finden sein:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
falls dort andere zu finden sind z.B.:
[COLOR= red]127.0.0.1 download.microsoft.com[/COLOR]
unbedingt löschen und danach abspeichern.
