W32.Randex.gen vernichten aber wie????

#0
05.04.2004, 00:30
...neu hier

Beiträge: 1
#1 Hi Leute,

kann mir jemand weiterhelfen...
Habe mir einen Virus eingefangen der ziehmlich hartnäckig ist.
Seine Bezeichnung lautet W32.Randex.gen.
Kann mir jemand helfen das Ding zu entfernen, ich wäre sehr dankbar.

Vielen Dank
Seitenanfang Seitenende
05.04.2004, 10:34
Member

Beiträge: 39
#2 infos über den wurm und eine möglichkeit ihn ohne av-tool, sondern mauell zu entfernen findest du hier:
http://sophos.de/virusinfo/analyses/w32randexm.html

nach einem remover-tool suche ich noch, nutze lieber einen av, der schützt dich wenigstens in zukunft auch noch.
__________
um etwas zu verstehen muß man wissen wie es funktioniert
Seitenanfang Seitenende
05.04.2004, 10:40
Member

Beiträge: 39
#3 hier hast du ein paar online-sanner, einige entfernen den wurm auch gleich:

http://www.virus-aktuell.de/onlinescanner.html
__________
um etwas zu verstehen muß man wissen wie es funktioniert
Seitenanfang Seitenende
05.04.2004, 10:45
Moderator
Avatar joschi

Beiträge: 6466
#4 Die Suche am Board nach "sdbot" und "randex" fördert einige interessante Ergebnisse zu Tage !
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
09.04.2004, 13:14
arnogio
zu Gast
#5 wer kann mir sagen wie ich den wurm W32.Randex.gen von meinem PC entfernen kann. Am liebsten hätte ich ein entsprechendes Tool zum herunterladen.
Seitenanfang Seitenende
09.04.2004, 14:08
Moderator

Beiträge: 7805
#6 Ich kenne zwar so auf anhieb keinen Cleaner, aber du kannst den Virus einfach im abgesicherten Modus loeschen. Achte darauf, das dein System auf dem neusten Stand ist, sonst kannst du gleich wieder infiziert werden, wenn du ins Internet gehst.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.04.2004, 12:03
...neu hier

Beiträge: 1
#7 Hi DDmail30

weiss nicht ob du dein Problem schon gelöst hast?!
Ich habe auch das gleiche gehabt und konnte es nicht loswerden.
Nach einiger Zeit habe ich eine Lösung gefunden die einfach durchzuführen ist.
Du kannst folgendes machen:
1. Virenscanner starten, nachdem die Datei C:\WINDOWS\system32\wuamgrd.exe gefunden worden ist in den verzeichniss hingehen und die wuamgrd.exe z.B. in won.exe umbenennen.
2. Rechner neustarten und nochmal nach virenscennen.
diesmal wir die won.exe gefunden und erfolgreich gelöscht ;-)
3.Zur sicherheit noch einmal neustarten und nach Viren suchen.

MfG.Fischaug3
Seitenanfang Seitenende
19.04.2004, 12:12
...neu hier

Beiträge: 3
#8 Hallo an alle

Hi FischauG3 und die anderen die mit dem Virus oder Trajaner zu tun haben, also mein Symantec weisst mich auf diesem Virus hin bekommt ihn aber nicht los er taucht immer wieder auf, hier meine file meldung da ich niergends die wuamgrd.exe finde

Symatec Antivirus Notification :
Nr.1)

Scan type: Manual Scan
Event: Virus Found!
Virus name: W32.Randex.gen
File: C:\WINDOWS\system32\ms.exe
Location: C:\WINDOWS\system32
Action taken: Clean failed : Quarantine failed :
Date found: Montag, 19. April 2004 11:53:12

Nr.2)
Scan type: Manual Scan
Event: Virus Found!
Virus name:
File: C:\WINDOWS\system32\ms.exe
Location: C:\WINDOWS\system32
Action taken: Clean failed : Quarantine failed :
Date found: Montag, 19. April 2004 11:53:12

Nr.3)
Scan type: Manual Scan
Event: Virus Found!
Virus name: W32.Randex.gen
File: C:\WINDOWS\system32\ms.exe>>C:\WINDOWS\system32\ms.exe
Location: Quarantine
Action taken: Quarantine succeeded :
Date found: Montag, 19. April 2004 11:53:12

Nr.4)
Scan type: Realtime Protection Scan
Event: Virus Found!
Virus name: W32.Welchia.B.Worm
File: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YT43O12D\WksPatch[3].exe
Location: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YT43O12D
Action taken: Clean failed : Quarantine failed : Access denied
Date found: Montag, 19. April 2004 11:56:03

Zum W32.Welchia.B.Worm habe ich ein tool gefunden der im abgesicherten modus auszuführen ist, erfolgreiches entfernen fakt ist aber das dieser Wurm auch wieder ständig auftaucht kann es sein das es mi Randex.gen zusammen steckt, ich werde den ganzen misst nicht mehr los obwohl ich nach 1000 versuchen FORMAT:C gemacht habe sind beide immer noch da!!

Nun was soll ich tun und wie werde ich sie zum himmelswillen los !!!

Need Help
Gruss Santo@Rico
Seitenanfang Seitenende
19.04.2004, 12:56
Member

Beiträge: 1095
#9 Hi Santo

Dein Problem ist folgendes.
Dieser Trojaner/Virus schleicht sich über "Fehler" im Betriebssystem immer wieder ein. Da kannst du 1000 mal formatieren, sobald du wieder Online geht's erwischts dich wieder.

Du mußt dein Windows bei www.windowsupdate.com auf den neusten Stand bringen. Dann kann der Wurm dich nicht mehr erwischen.
Auch eine "Personal Firewall" wie "ZoneAlarm" oder "Kerio" würden dir helfen.
Wenn du WindowsXP hast , kannst dzu auch die dort eingebaute Firewall aktivieren.

1. Erst dem Wurm den "Nährboden" entziehen. (Windowsupdate oder Firewall)

2. Dann den Wurm, im abgesicherten Modus von Windows, mit Symatec aufstöbern und löschen.

3. Dann hier mal HiJackThis Logfile posten und wir schauen mal ob sich noch etwas versteckt hat ;)

Gruß paff

P.S. Wenn der Virenscanner "Access denied" meldet, dann ist der Wurm noch im Speicher geladen und kann nicht entfernt werden. Du kannst im Taskmanager (STRG+ALT+ENTF) allerdings den Thread der Wurmes beenden. Dann kann er gelöscht werden.
Den "W32.Welchia.B.Worm" kannst du durch löschen der "Temporäre Internetfiles" unter "Systemsteuerung/Internetoptionen/Dateien löschen..."
entfernen.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 19.04.2004 um 13:23 Uhr von paff editiert.
Seitenanfang Seitenende
19.04.2004, 20:52
...neu hier

Beiträge: 4
#10 hi,

kanns sein das der randex sich irgendwo in meinem netzwerkfestsetz,oder in meinem router bios oder sonst wo sitz, denn cih hab jetzt 8 verschiedene möglichkeiten probviert dieses verfiggte Schei... ding zu beseitigen, bloß bis jetzt hats net geklatt, folgendes problem ist aufgetreten, das Schei... ding vermehrt sich wie die kanickel gestern abend war es einer, nach 1 neustart un 30 min nutzung sinns 50 geworden! ich bräucht ma bissi hilfe,un wenns geht noch bevor der rechner ganz im Ars..*patsch* is!

mfg birdhouse
Seitenanfang Seitenende
19.04.2004, 21:04
Member
Avatar Dafra

Beiträge: 1122
#11 Machs doch wie Paff es gesagt hat, im Bios sitzt er nicht und im Router auch nicht. Du musst aber noch die Systemwiederherstellung deaktivieren.
Also so:


Du mußt dein Windows bei www.windowsupdate.com auf den neusten Stand bringen. Dann kann der Wurm dich nicht mehr erwischen.
Auch eine "Personal Firewall" wie "ZoneAlarm" oder "Kerio" würden dir helfen.
Wenn du WindowsXP hast , kannst dzu auch die dort eingebaute Firewall aktivieren.

1. Erst dem Wurm den "Nährboden" entziehen. (Windowsupdate oder Firewall)

2. Systemwiederherstellung deaktivieren: http://www.pctip.ch/helpdesk/kummerkasten/archiv/viren/26316.asp [das hat Paff vergessen]

3. Dann den Wurm, im abgesicherten Modus von Windows, mit Symatec aufstöbern und löschen.

4. Dann hier mal HiJackThis Logfile posten und wir schauen mal ob sich noch etwas versteckt hat

Gruß paff

P.S. Wenn der Virenscanner "Access denied" meldet, dann ist der Wurm noch im Speicher geladen und kann nicht entfernt werden. Du kannst im Taskmanager (STRG+ALT+ENTF) allerdings den Thread der Wurmes beenden. Dann kann er gelöscht werden.
Den "W32.Welchia.B.Worm" kannst du durch löschen der "Temporäre Internetfiles" unter "Systemsteuerung/Internetoptionen/Dateien löschen..."
entfernen.


MFG
DAFRA
Dieser Beitrag wurde am 19.04.2004 um 21:04 Uhr von Dafra editiert.
Seitenanfang Seitenende
19.04.2004, 21:12
...neu hier

Beiträge: 4
#12 muss ich im abgesichertem modus als admin oder user angemeldet sein?
Seitenanfang Seitenende
19.04.2004, 21:16
Member
Avatar Dafra

Beiträge: 1122
#13 In den Abgesicherten Modus kannst du nur als Admin.
MFG
DAFRA
Seitenanfang Seitenende
19.04.2004, 21:19
...neu hier

Beiträge: 4
#14 geb mir ma deine icq nummer oder so ich will das hier nichts als chat benutzen, un das is falsch ich kann im abgsichertem modus admin oder user anmelden



Logfile of HijackThis v1.97.7
Scan saved at 22:09:18, on 19.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQ\Icq.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\BIRDHO~1.BIR\LOKALE~1\Temp\Rar$EX00.343\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\AntiVirenKit 2004 trial\AVKPOP.EXE"
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\icq.exe -minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\RunOnce: [KB826939] rundll32.exe apphelp.dll,ShimFlushCache
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,76/mcinsctl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38096.5092592593
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,16/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFE6F96D-C200-4E24-8D77-E163FB52C51B}: NameServer = 192.168.1.254



so ich hab jetzt irgendwie einen gelöscht bekommen, seht euch dasma bidde an!
Dieser Beitrag wurde am 19.04.2004 um 22:11 Uhr von birdhouse editiert.
Seitenanfang Seitenende
19.04.2004, 23:07
Member

Beiträge: 1095
#15 Hi du solltest alle Windowsupdates machen (www.windowsupdate.com)
oder 'ne Firewall installieren

Dann das fixen
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe


Das ist Gator Spyware
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
kommt gerne bei Kazaa oder ähnlichem mit
Solltest du ganz deinstallieren

Gruß paff

P.S.
Der hier ist mir ein bißchen suspekt
O4 - HKLM\..\RunOnce: [KB826939] rundll32.exe apphelp.dll,ShimFlushCache
Kannst du bitte mal diese Datei auf deiner Platte suchen "apphelp.dll"
Schick Sie mir bitte gezippt an mike_hangover@gozomail.com (Meine Fake-addresse) oder mach nen OnlineCheck
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 19.04.2004 um 23:18 Uhr von paff editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: