WORM/Warezov.cu - Win32/Stration entfernen

Status
Für weitere Antworten geschlossen.

McFly

Well-known member
Mitglied seit
5 Februar 2006
Beiträge
2.622
Zuerst möchte ich mich für die Unterstützung bei der Site
Please, Anmelden or Registrieren to view URLs content!
recht herzlich bedanken,
diese haben mich auf die richtige Spur gebracht. kuji mnohokrát !!

Dieser Wurm ist eine echte Nervensäge, er erstellt auf dem Rechner ein bis zwei Prozesse
z.B.:
[COLOR= red]C:\WINDOWS\System32\uregdeve.exe[/COLOR]

einen O4 Eintrag
[COLOR= red]O4 - HKLM..Run: (audiag) C:WINDOWS\system32\audconf.exe [/COLOR]

und mehrere Hijackthis "O20" Einträge
z.B.:
[COLOR= red]O20 - AppInit_DLLs: cfgmmprm.dll e1.dll confcon.dll constat.dll[/COLOR]
[COLOR= red]O20 - Winlogon Notify: conmgr - C:WINDOWS\SYSTEM32\conmgr32.dll [/COLOR]
[COLOR= red]O20 - Winlogon Notify: uregdeve - C:WINDOWS\system32\uregdeve.dll [/COLOR]

Am schnellsten erkennt man ihn über einen dieser Hijackthis.log einträge:
[COLOR= red]
O20 - AppInit_DLLs: cfgmmprm.dll e1.dll confcon.dll constat.dll
O20 - AppInit_DLLs: msisnwcf.dll e1.dll confcon.dll constat.dll confatt.dll attstat.dll
O20 - AppInit_DLLs: e1.dll msisnwcf.dll confcon.dll constat.dll
O20 - AppInit_DLLs: psapdani.dll e1.dll j2t3crh.dll
O20 - AppInit_DLLs: psapdani.dll e1.dll [/COLOR]

Er wird [COLOR= blue]derzeit[/COLOR] massiv über viele Messenger od. EMail übertragen (ICQ und SKYPE extrem gefährdet)

[COLOR= red]Er deaktiviert auch die automatischen windows updates,
schaut auch bitte nach ob soweit alle Schutzmöglichkeiten (Firewall,Antivirenprogramm etc.) noch aktiviert sind.[/COLOR]

---------------------------------------------------------------------------

Warezov / Stration Emailwurm entfernen

Schritt 1[COLOR= red]Ordneroptionen richtig einstellen[/COLOR]
[COLOR= blue]Im Windows-Explorer:[/COLOR]
Registerkarte Extras > Ordneroptionen > den Reiter "Ansicht" > Versteckte Dateien und Ordner >
"alle Dateien und Ordner anzeigen" aktivieren, dann bei
Dateien und Ordner >
"Inhalte von Systemordnern anzeigen" -> aktivieren und ebenfalls
Dateien und Ordner>
"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Schritt 2
Lade das
Please, Anmelden or Registrieren to view URLs content!
runter.
Setze Häckchen in/oder drücke auf "Alles Löschen" und "Löschen", danach beenden.
Please, Anmelden or Registrieren to view URLs content!


clearprogse7.jpg


Schritt 3
Kopiere den Text im Anhang (unten auf dieser Seite) komplett in ein Notepad-Dokument und speichere es als C:\remove.txt auf deiner Festplatte.

(aktualisiert am 06.04.2007;19:54 Uhr)

Schritt 4
Lade den
Please, Anmelden or Registrieren to view URLs content!
herunter und speichere ihn auf deinem Desktop.

Starte den Avenger.

avengermg6.jpg


Setze das Zeichen bei "Load Script from File" (1) (lade das Skript aus der Datei)
und klicke dann auf das Ordner Icon (2) auf der rechten Seite.
Browse dann zu C:\remove.txt (3) und klicke auf öffnen, um ihn zu laden.
Klicke dann auf das grüne Licht Icon (4).
Nun wird die Ausführung des Skripts im Speicher beginnen.

Nachdem du das grüne Licht Icon angeklickt hast, um mit der Ausführung des Skripts zu beginnen, stellt sich der Avenger so ein, dass er dann laufen wird, wenn du deinen Rechner das nächste mal herunterfährst. Er wird dich dann auffordern sofort wieder neu aufzustarten.

Fahre nun den Rechner runter, mache ihn aus. Starte neu.

Wenn dein System wieder aufgestartet ist, wird sich ein Logfile mit den Ergebnissen der Tätigkeiten des Avenger öffnen. Dieses Logfile befindet sich als avenger.txt im Ordner des Avenger auf C:. Der Avenger hat dann ausserdem Backups aller gelöschten Dateien ect. erstellt, gezipt und die gezipten Archive in den Ordner C:\Avenger\backups.zip geschoben.

[COLOR= red] WICHTIG !! BITTE DEN AVENGER MEHRMALS ABLAUFEN
LASSEN !! (Ratsam ist 3 mal, da sich der Wurm nicht so einfach löschen lässt.) [/COLOR]

Die backups.zip Datei sollte man den Antivirenprogramm-Herstellern schicken:
Betreff: Warezov / Stration Wurm
Please, Anmelden or Registrieren to view URLs content!

Lösche danach die Datei C:\Avenger\backup.zip und leere den Papierkorb.

Schritt 5

Für Windows XP und ME: bitte nun die
Please, Anmelden or Registrieren to view URLs content!
deaktivieren, den Rechner booten(neustarten), dann die Systemwiederherstellung wieder aktivieren. Vergib einen neuen vorläufigen Systemwiederherstellungspunkt, lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile.
Poste ausserdem den Inhalt der C:avenger.txt Datei.


Schritt 6

Untersuche den Ordner C:\WINDOWS\SYSTEM32 nach den aufgelisteten Dateien
(herruntergeladener Text) und loesche diese falls vorhanden.

Mit hilfe von LSPfix ebenfalls untersuchen (siehe dll-dateien unten) und die Winsock reparieren :
Please, Anmelden or Registrieren to view URLs content!


C:\WINDOWS\SYSTEM32\rsvp32_2.dll
C:\WINDOWS\SYSTEM32\rsvp32_2.dll435
C:\WINDOWS\SYSTEM32\sporder.dll

Schritt 7

Versuche die Windows-updates zu machen, falls du scheitern solltest
[Fehlernummer: 0x80070424] , schau bitte in der Registry nach folgenden
Einträgen:
Please, Anmelden or Registrieren to view URLs content!


Löschen der Temporären Verzeichnisse (falls clearprog nicht funktioniert):

START > ausführen (schreib): cleanmgr -> ok.
Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
Klicke ok.

START > ausführen (schreib): %temp% -> ok.
Mach das für jedes Benutzerkonto.
Du leerst damit den/die Ordner C:\DOKUME~1\Dein Name\LOKALE~1\Temp\

Schritt 8
Untersuche die Registry:

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List|C:Windows\system32\brwconf.exe -

bitte manuell aus der Registry loeschen, falls es vorhanden ist

Schritt 9

Öffne folgende Datei mit dem Notepad/Editor

Windows 95/98/Me "c:\windows\hosts"
Windows NT/2000/XP Pro "c:\winnt\system32\drivers\etc\hosts"
Windows XP Home "c:\windows\system32\drivers\etc\hosts"

dort sollte nur dieser Eintrag zu finden sein:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost





127.0.0.1 localhost


falls dort andere zu finden sind z.B.:

[COLOR= red]127.0.0.1 download.microsoft.com[/COLOR]

unbedingt löschen und danach abspeichern.

 

McFly

Well-known member
Mitglied seit
5 Februar 2006
Beiträge
2.622
Eine weitere Möglichkeit zur Entfernung von der Site
Please, Anmelden or Registrieren to view URLs content!
:
(herzlichen Dank, kuji mnohokrát )

[SIZE=24pt]Warezov / Stration worm removal instructions[/SIZE].

[SIZE=10pt]Stop all your Antivirus and Antispyware shields.
Download and run
Please, Anmelden or Registrieren to view URLs content!
.
When a window (with a text in Czech language) pops up, click on "ANO".
When promted to reboot, answer Yes.
Your computer should reboot, and briefly opens a black command window on your desktop.[/SIZE]

 
Status
Für weitere Antworten geschlossen.
Oben