Melda.scr - Virus entfernen, wie?

#1 Hallo,

habe ein dickes Problem, ich habe mir irgendwo, keine Ahnung wo oder wie den Virus Melda.scr eingefangen.
Ich habe AntiVir schon einige male durch laufen lassen aber das Programm schafft es nciht diesen Virus zu entfernen.

Kann mir jemand sagen wie ich den los werde bzw. ob es da ein Remove Tool gibt? Denn das geblinke von der Anfage ob das ding über Outlook verschickt werden darf nervt derbe!


Danke schon einmal

Everon

#2

Zitat

The virus also copies itself to two files in the Windows directory and the Temp subdirectory:

in Windows directory: Melda.Scr
in Windows\Temp directory: KaynakDosya.exe

Schau mal nach ob Du die KaynakDosya.exe auf dem rechner hast. Möglicherweise erzeugt sie bei jedem Start Melda.scr neu !?
http://www.viruslist.com/eng/viruslist.html?id=61274

Das habe ich fast übersehen:
http://board.protecus.de/t7122.htm
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Danke, das zweite habe ich auch schon gesehen aber hat mir nciht viel gebracht.

Diese datei finde ich nicht, dort habe ich gesucht: Arbeitsplatz > C:\ > Windows > Temp

#4 ich dreh am rad ich werd dieses scheiß ding einfach nicht los!!!!!!!! *verzweifel*

#5 Dicker Brocken!
Direkte Hilfe kann ich dir nich anbieten, aber zur Info:

W32/Ronoper-G is an internet worm and backdoor Trojan, allowing a remote intruder to access and control the computer via IRC channels.
W32/Ronoper-G spreads via file sharing on P2P networks and by emailing itself to addresses found within the message folders of MAPI based email clients such as Microsoft Outlook or Outlook Express.

The subject line of the email is "Re:", the message text is "Look at The Attachments for Secret Pictures of My Girl Friend.." and the attached file is Melda.scr. ):

When first run W32/Ronoper-G copies itself to the Windows folder as Melda.scr and Systools.exe and creates the following registry entry so that Systools.exe is run automatically each time Windows is started:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System Toolkit
= <WINDOWS>\Systools.exe

Each time the worm is run it tries to connect to a remote IRC server and join a specific channel. The worm then runs in the background as a server process, listening for commands to execute.

W32/Ronoper-G also creates a sub-folder of the Windows TEMP folder named \Binary32\ and copies itself to this folder using a random 6-character filename with an extension of EXE.

If Winzip and/or WinRar are installed on the computer, the worm may create copies of itself in the Windows folder named Melda.Zip and Melda.Rar.

W32/Ronoper-G copies itself to the downloads, transfer and shared folders belonging to the P2P applications KaZaA, eDonkey2000, Morpheus, Shareaza, Limewire and iMesh, using the following filenames:

HardCore - College Webcam.scr
HardCore Action In The School.scr
Hotmail Hack.exe
Norton Internet Security 2003 professional.exe
Penis Enlargement Secrets.scr
PornStart in Hardcore Action.scr
Spy Cam - Girl ???????????.scr
StarCraft Battle.net Keygen.exe
StarCraft Maphack.exe
Warcraft 3 Battle.net Key generator.exe
WarCraft 3 MapHack.exe
Windows XP Key Generator.exe
Windows XP Keygen.exe

W32/Ronoper-G also prepends itself to files with an extension of EXE in the aforementioned P2P folders and in the \My Downloads\ and Internet Explorer \Download Directory\ folders.

W32/Ronoper-G enables file sharing on KaZaA networks by setting the registry entry HKCU\Software\Kazaa\localcontent\Disablesharing = 0

W32/Ronoper-G drops the IRC script SysScript.exe to the Windows folder and may use this script to send itself via IRC channels as Melda.scr or Melda.Zip.

W32/Ronoper-G also sets the following registry entries:

HKLM\Sofware\Mirabilis\ICQ\Agent\Apps\IcqWinCfg\ Enable = "Yes" HKLM\Sofware\Mirabilis\ICQ\Agent\Apps\IcqWinCfg\ Parameters HKLM\Sofware\Mirabilis\ICQ\Agent\Apps\IcqWinCfg\
Pathname= <pathname of worm>

HKLM\Sofware\Mirabilis\ICQ\Agent\Apps\IcqWinCfg\ Startup HKCU\Sofware\Microsoft\Windows\Currentversion\Policies\System\
DisableRegistryTools = 1

HKCU\Sofware\Microsoft\Windows\Currentversion\Policies\ System\NoDispCPL HKCU\Sofware\Microsoft\Windows\Currentversion\Explorer\ Advanced\Hidden = 2
W32/Ronoper-G terminates selected anti-virus applications and tries to prevent them from running on startup by deleting anti-virus sub-entries from:
HKLM\Sofware\Microsoft\Windows\CurrentVersion\Run HKLM\Sofware\Microsoft\Windows\CurrentVersion\RunServices
MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)

#6 Jo, danke


aber das problem ist nun nur noch das ich ein remove tool oder so brauche um das ding los zu werden :/

#7 Scann mal im abgesicherten Modus und schmeiß vorher die Einträge aus der Registry raus, so das er nicht automatisch startet. Removal Tool gibt´s wohl keins, dafür ist das Teil zu wenig verbreitet.

Wenn du sowas nicht nochmal haben willst rate ich dir mIRC und ICQ durch Trillian zu ersetzen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#8 K, mache ich danke dir

nur welche einträge aus der registry und so?

kannst du mir das noch einmal genauer erklären?

#9 Wenn du im abgesicherten Modus deinen Rechner mit Antivir scannst, schreibe dir die Dateinamen heraus, suche sie in der Registrierung und loesche die entsprechenden Eintraege. Bitte vorher eine Sicherung der Registrierung machen!
__________
MfG Ralf
SEO-Spam Hunter

#10 ich weiß aber nicht wie ich die sicherung der registry mache und dort hinein kommen ^^

#11 Logfile of HijackThis v1.97.7
Scan saved at 12:41:37, on 17.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Common files\updater\wupdater.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\irc.aktuell\mirc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



k das is dabei rum gekommen mit dem prog

#12 Und wo will da wer einen Virus/Wurm gefunden haben? Oder hast du da selber schon was geloescht?
__________
MfG Ralf
SEO-Spam Hunter

#13 Nein, habe ich nicht
die anzeige mit dem outlook kommt uach nicht mehr also der es ihn über outlook selbstständig verschicken will.

nur noch im msn ballert der da den status zu das er ihn weiter schicken möchte aber nicht möglihc oder so

müsste man den virus da sehen wenn er aufm rechner aktiv ist oder so?

#14 achja meinte im irc, nicht im msn

#15 Hast du schon im abgesicherten Modus gescannt?
Wenn nein: Machen!
Wenn ja: Was kahm raus?

Noch was: Wenn man einen Virus hat wäre es angebracht das man aufhört mIRC oder Outlook zu benutzen, bevor er nicht garantiert weg ist. Sonst "freuen" sich nämlich womöglich noch wesentlich mehr Leute drüber.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.