PDA

Vollständige Version anzeigen : Warezov-AAS/AAV


asphaltcowboy
17.01.2007, 18:43
:mad: Hallo Forum,

ich habe mir gester den obigen Virus / Wurm eingefangen. AVAST hat ihn gefunden, ich habe ihn in den Container verschoben.
Trotzdem war er noch im Explorer vorhanden. Außerdem im Autostart. Im Explorer konnte ich ihn nicht löschen, wohl aber im Autostart.

Heute war er trotzdem schon wieder da. Er wurde von zwei Benutzern in den Viruscontainer verschoben. Im Autostart ist er nicht mehr. Nach dem Ausschalten des Rechners für ungefähr 3 Stunden, voher hat sich keiner getraut, ist er nicht mehr aufgetaucht.

Google liefert nur kyrillische Buchstaben. Hat irgendjemand eine Ahnung, wie ich den Mistkerl endgültig wegbekomme? :sos:
Zum besseren Verständnis habe ich mal einen Screenshot von AVAST angehängt.

Arne Dieckmann
17.01.2007, 18:52
Schaue einmal in der Registry nach, ob du Verdächtiges wie
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "tsrv"="%WINDIR%\tsrv.exe s"
oder andere Run-Einträge (dann hier melden) findest.

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
Alter Wert:
• "AppInit_DLLs"=""
Neuer Wert:
• "AppInit_DLLs"=" msji449c14b7.dll"

sollte auch kontrolliert werden. Stammt alles aus einer Warezov-Beschreibung, die vielleicht nicht völlig auf "deinen" Wurm zutrifft, aber ähnlich wird er wohl auch funktionieren.

<< dp >>
17.01.2007, 19:24
Scheint ein ziemlich übler Wurm zu sein. DAS HIER (http://www.windowspower.de/forum_WORM-Warezov.cu+-+Win32-Stration+entfernen_9455.html) habe ich über Google gefunden, hoffe es hilft. Ansonsten scanne dein System mal im abgesicherten Modus ab, da hat der Wurm kaum Chancen sich zu wehren und da er schon etwas älter ist, müsste ein aktuelles Virenprogramm alleine mit dem fertig werden. Der Wurm wird wie Arne schon sagte als "Warezov" beschrieben. Man liest aber auch immer wieder von "Stration" - vielleicht hilft dir das bei deiner Suche nach einer Lösung weiter...

HTH

asphaltcowboy
17.01.2007, 19:33
Hallo Arne,
danke für die schnelle Antwort.
Im angegebenen Verzeichnis ist nichts verdächtiges zu finden.
Hier der Screenshot:
PS: Ja Daniel, du bist ja auch schon zur Stelle :-) heute habe ich was bei Google (http://cgi.zdnet.de/forum/viewtopic.php?t=6105&postdays=0&postorder=asc&start=0) gefunden. Der Misthund scheint wirklich bösartig zu sein :-(

asphaltcowboy
17.01.2007, 23:10
Hallo Leute,
das funktioniert nicht, gar nichts. Weder die Beseitigung im abgesicherten Modus, noch die Hilfen in den beiden Google Links.
Für heute muss ich Schluss machen, um halb fünf ist die Nacht rum :boah:
Fürs erste müssen die Kids ihn halt jedes Mal in den Container verschieben.
Morgen abend gehts weiter.
@ Arne
Ja, ja, wer lesen kann ....
Hier ist die Eintragung deines zweiten Regestry Pfades. Ich habe übrigens XP SP2.

Mattes
19.01.2007, 15:46
Hi Hermann,

wenn Du mit Avast eine Prüfung VOR dem Starten von Windows vornimmst, sollte der Virus restlos entfernt werden. Starte die Avast Oberfläche, klicke oben links auf den "Eject Knopf" und wähle "Timer Boot-Zeit Prüfung". Dann auf die Schaltläche "Timer" klicken und den Rechner neu starten.

Alternativ hilft vieleicht das Avast Removal Tool.

HTH, Mattes

asphaltcowboy
20.01.2007, 14:18
Hallo Mattes,

es scheint, als wäre ich ihn los. Heute morgen hab ich avast! noch mal drüber laufen lassen und er hat nix mehr gefunden. :)

In den avast Foren habe ich die AVG Anti-Spyware (http://www.grisoft.com) gefunden. Die hat ihn wohl letztendlich kassiert. War ein schwere Stück Arbeit. Aber letztendlich hat es offensichtlich funktioniert.

Hier (http://www.tecchannel.de/news/themen/sicherheit/447411/) gibt es noch einen Hinweis auf eine Url die gesperrt werden sollte.

Danke für euere Hinweise und Hilfen. :hands: