W32.Randex.gen vernichten aber wie???? |
||
---|---|---|
#0
| ||
05.04.2004, 00:30
...neu hier
Beiträge: 1 |
||
|
||
05.04.2004, 10:34
Member
Beiträge: 39 |
#2
infos über den wurm und eine möglichkeit ihn ohne av-tool, sondern mauell zu entfernen findest du hier:
http://sophos.de/virusinfo/analyses/w32randexm.html nach einem remover-tool suche ich noch, nutze lieber einen av, der schützt dich wenigstens in zukunft auch noch. __________ um etwas zu verstehen muß man wissen wie es funktioniert |
|
|
||
05.04.2004, 10:40
Member
Beiträge: 39 |
#3
hier hast du ein paar online-sanner, einige entfernen den wurm auch gleich:
http://www.virus-aktuell.de/onlinescanner.html __________ um etwas zu verstehen muß man wissen wie es funktioniert |
|
|
||
05.04.2004, 10:45
Moderator
Beiträge: 6466 |
||
|
||
09.04.2004, 13:14
arnogio
zu Gast
|
#5
wer kann mir sagen wie ich den wurm W32.Randex.gen von meinem PC entfernen kann. Am liebsten hätte ich ein entsprechendes Tool zum herunterladen.
|
|
|
||
09.04.2004, 14:08
Moderator
Beiträge: 7805 |
#6
Ich kenne zwar so auf anhieb keinen Cleaner, aber du kannst den Virus einfach im abgesicherten Modus loeschen. Achte darauf, das dein System auf dem neusten Stand ist, sonst kannst du gleich wieder infiziert werden, wenn du ins Internet gehst.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.04.2004, 12:03
...neu hier
Beiträge: 1 |
#7
Hi DDmail30
weiss nicht ob du dein Problem schon gelöst hast?! Ich habe auch das gleiche gehabt und konnte es nicht loswerden. Nach einiger Zeit habe ich eine Lösung gefunden die einfach durchzuführen ist. Du kannst folgendes machen: 1. Virenscanner starten, nachdem die Datei C:\WINDOWS\system32\wuamgrd.exe gefunden worden ist in den verzeichniss hingehen und die wuamgrd.exe z.B. in won.exe umbenennen. 2. Rechner neustarten und nochmal nach virenscennen. diesmal wir die won.exe gefunden und erfolgreich gelöscht ;-) 3.Zur sicherheit noch einmal neustarten und nach Viren suchen. MfG.Fischaug3 |
|
|
||
19.04.2004, 12:12
...neu hier
Beiträge: 3 |
#8
Hallo an alle
Hi FischauG3 und die anderen die mit dem Virus oder Trajaner zu tun haben, also mein Symantec weisst mich auf diesem Virus hin bekommt ihn aber nicht los er taucht immer wieder auf, hier meine file meldung da ich niergends die wuamgrd.exe finde Symatec Antivirus Notification : Nr.1) Scan type: Manual Scan Event: Virus Found! Virus name: W32.Randex.gen File: C:\WINDOWS\system32\ms.exe Location: C:\WINDOWS\system32 Action taken: Clean failed : Quarantine failed : Date found: Montag, 19. April 2004 11:53:12 Nr.2) Scan type: Manual Scan Event: Virus Found! Virus name: File: C:\WINDOWS\system32\ms.exe Location: C:\WINDOWS\system32 Action taken: Clean failed : Quarantine failed : Date found: Montag, 19. April 2004 11:53:12 Nr.3) Scan type: Manual Scan Event: Virus Found! Virus name: W32.Randex.gen File: C:\WINDOWS\system32\ms.exe>>C:\WINDOWS\system32\ms.exe Location: Quarantine Action taken: Quarantine succeeded : Date found: Montag, 19. April 2004 11:53:12 Nr.4) Scan type: Realtime Protection Scan Event: Virus Found! Virus name: W32.Welchia.B.Worm File: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YT43O12D\WksPatch[3].exe Location: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YT43O12D Action taken: Clean failed : Quarantine failed : Access denied Date found: Montag, 19. April 2004 11:56:03 Zum W32.Welchia.B.Worm habe ich ein tool gefunden der im abgesicherten modus auszuführen ist, erfolgreiches entfernen fakt ist aber das dieser Wurm auch wieder ständig auftaucht kann es sein das es mi Randex.gen zusammen steckt, ich werde den ganzen misst nicht mehr los obwohl ich nach 1000 versuchen FORMAT:C gemacht habe sind beide immer noch da!! Nun was soll ich tun und wie werde ich sie zum himmelswillen los !!! Need Help Gruss Santo@Rico |
|
|
||
19.04.2004, 12:56
Member
Beiträge: 1095 |
#9
Hi Santo
Dein Problem ist folgendes. Dieser Trojaner/Virus schleicht sich über "Fehler" im Betriebssystem immer wieder ein. Da kannst du 1000 mal formatieren, sobald du wieder Online geht's erwischts dich wieder. Du mußt dein Windows bei www.windowsupdate.com auf den neusten Stand bringen. Dann kann der Wurm dich nicht mehr erwischen. Auch eine "Personal Firewall" wie "ZoneAlarm" oder "Kerio" würden dir helfen. Wenn du WindowsXP hast , kannst dzu auch die dort eingebaute Firewall aktivieren. 1. Erst dem Wurm den "Nährboden" entziehen. (Windowsupdate oder Firewall) 2. Dann den Wurm, im abgesicherten Modus von Windows, mit Symatec aufstöbern und löschen. 3. Dann hier mal HiJackThis Logfile posten und wir schauen mal ob sich noch etwas versteckt hat Gruß paff P.S. Wenn der Virenscanner "Access denied" meldet, dann ist der Wurm noch im Speicher geladen und kann nicht entfernt werden. Du kannst im Taskmanager (STRG+ALT+ENTF) allerdings den Thread der Wurmes beenden. Dann kann er gelöscht werden. Den "W32.Welchia.B.Worm" kannst du durch löschen der "Temporäre Internetfiles" unter "Systemsteuerung/Internetoptionen/Dateien löschen..." entfernen. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 19.04.2004 um 13:23 Uhr von paff editiert.
|
|
|
||
19.04.2004, 20:52
...neu hier
Beiträge: 4 |
#10
hi,
kanns sein das der randex sich irgendwo in meinem netzwerkfestsetz,oder in meinem router bios oder sonst wo sitz, denn cih hab jetzt 8 verschiedene möglichkeiten probviert dieses verfiggte Schei... ding zu beseitigen, bloß bis jetzt hats net geklatt, folgendes problem ist aufgetreten, das Schei... ding vermehrt sich wie die kanickel gestern abend war es einer, nach 1 neustart un 30 min nutzung sinns 50 geworden! ich bräucht ma bissi hilfe,un wenns geht noch bevor der rechner ganz im Ars..*patsch* is! mfg birdhouse |
|
|
||
19.04.2004, 21:04
Member
Beiträge: 1122 |
#11
Machs doch wie Paff es gesagt hat, im Bios sitzt er nicht und im Router auch nicht. Du musst aber noch die Systemwiederherstellung deaktivieren.
Also so: Du mußt dein Windows bei www.windowsupdate.com auf den neusten Stand bringen. Dann kann der Wurm dich nicht mehr erwischen. Auch eine "Personal Firewall" wie "ZoneAlarm" oder "Kerio" würden dir helfen. Wenn du WindowsXP hast , kannst dzu auch die dort eingebaute Firewall aktivieren. 1. Erst dem Wurm den "Nährboden" entziehen. (Windowsupdate oder Firewall) 2. Systemwiederherstellung deaktivieren: http://www.pctip.ch/helpdesk/kummerkasten/archiv/viren/26316.asp [das hat Paff vergessen] 3. Dann den Wurm, im abgesicherten Modus von Windows, mit Symatec aufstöbern und löschen. 4. Dann hier mal HiJackThis Logfile posten und wir schauen mal ob sich noch etwas versteckt hat Gruß paff P.S. Wenn der Virenscanner "Access denied" meldet, dann ist der Wurm noch im Speicher geladen und kann nicht entfernt werden. Du kannst im Taskmanager (STRG+ALT+ENTF) allerdings den Thread der Wurmes beenden. Dann kann er gelöscht werden. Den "W32.Welchia.B.Worm" kannst du durch löschen der "Temporäre Internetfiles" unter "Systemsteuerung/Internetoptionen/Dateien löschen..." entfernen. MFG DAFRA Dieser Beitrag wurde am 19.04.2004 um 21:04 Uhr von Dafra editiert.
|
|
|
||
19.04.2004, 21:12
...neu hier
Beiträge: 4 |
#12
muss ich im abgesichertem modus als admin oder user angemeldet sein?
|
|
|
||
19.04.2004, 21:16
Member
Beiträge: 1122 |
||
|
||
19.04.2004, 21:19
...neu hier
Beiträge: 4 |
#14
geb mir ma deine icq nummer oder so ich will das hier nichts als chat benutzen, un das is falsch ich kann im abgsichertem modus admin oder user anmelden
Logfile of HijackThis v1.97.7 Scan saved at 22:09:18, on 19.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQ\Icq.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\BIRDHO~1.BIR\LOKALE~1\Temp\Rar$EX00.343\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\AntiVirenKit 2004 trial\AVKPOP.EXE" O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\icq.exe -minimize O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKLM\..\RunOnce: [KB826939] rundll32.exe apphelp.dll,ShimFlushCache O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,76/mcinsctl.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38096.5092592593 O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,16/mcgdmgr.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AFE6F96D-C200-4E24-8D77-E163FB52C51B}: NameServer = 192.168.1.254 so ich hab jetzt irgendwie einen gelöscht bekommen, seht euch dasma bidde an! Dieser Beitrag wurde am 19.04.2004 um 22:11 Uhr von birdhouse editiert.
|
|
|
||
19.04.2004, 23:07
Member
Beiträge: 1095 |
#15
Hi du solltest alle Windowsupdates machen (www.windowsupdate.com)
oder 'ne Firewall installieren Dann das fixen O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe Das ist Gator Spyware O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe kommt gerne bei Kazaa oder ähnlichem mit Solltest du ganz deinstallieren Gruß paff P.S. Der hier ist mir ein bißchen suspekt O4 - HKLM\..\RunOnce: [KB826939] rundll32.exe apphelp.dll,ShimFlushCache Kannst du bitte mal diese Datei auf deiner Platte suchen "apphelp.dll" Schick Sie mir bitte gezippt an mike_hangover@gozomail.com (Meine Fake-addresse) oder mach nen OnlineCheck __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 19.04.2004 um 23:18 Uhr von paff editiert.
|
|
|
||
kann mir jemand weiterhelfen...
Habe mir einen Virus eingefangen der ziehmlich hartnäckig ist.
Seine Bezeichnung lautet W32.Randex.gen.
Kann mir jemand helfen das Ding zu entfernen, ich wäre sehr dankbar.
Vielen Dank