Seite 1 von 1
Virus über ICQ!!
Verfasst: Di 26 Jun, 2007 14:11
von robat93
Hey Leute,
ich hab letztens von jemandem aus meiner ICQ-Kontaktliste einen Virus geschickt bekommen, der sich vermutlichvon seinem PC verschickt hat. Jetzt hab ich alle Sachen mit avira! Antivir gelöscht, beid denen es Alarm geschlagen hat. Aber da gibt es in C:/Windows/system32/ die datei "e1.dll", die ich NICHT löschen kann! Nichteinmal nach einem Neustart ist die Datei weg, nachdem ich sie mit avira!, eigentlich gelöscht habe. Auch mein "TuneUp Shredder" kann diese nicht löschen!!! Was ratet ihr mir zu tun? Muss ich jetzt formatieren?
Danke im Vorraus....
Das ist der Virus: Win32:Warezov-CJM [Wrm]
Der Virus wollte noch an fremde E-Mail Adressen sich auch verschicken, aber mein avira! hat alles schön geblockt und ich hoffe es wurde nichts durchgekommen. Danach hat mein Programm auch gesagt, dass die ICQ.exe auch ein Virus is. Habe ich natürlich auch gelöscht.
Verfasst: Di 26 Jun, 2007 15:19
von Captain
Auf jeden Fall isses ein Problem:
Code: Alles auswählen
Win32:Warezov is family of mass-mailing worms with backdoor functionality.
und weiter:
When Win32:Warezov is launched, it creates several executables in %WINDOWS% and %SYSTEM% directory (count and names of the files depend on the exact version of Win32:Warezov). These files are also detected as Win32Warezov. Then, it opens Notepad and displays random characters in the text file.
Win32:Warezov sets itself to run every time Windows starts by creating a registry entry in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Quelle: http://www.avast.com/eng/win32-warezov-family.html
Aber ich hab tatsächlich was gefunden:
Removal instructions
Detection for this variant of Warezov has already been released in an urgent update for Kaspersky Anti-Virus databases.
If 'Proactive Protection' is enabled, Kaspersky Anti-Virus 6.0 is able to detect this malicious program without an update to the antivirus databases.
Reboot the computer in Safe Mode (at the start of the boot sequence, press and hold F8, then choose ‘Safe Mode’ from the Windows boot menu. .
Use Task Manager to search for the following process:
serv.ex
If such a process is found, terminate it.
Manually delete the following files from the Windows root and system directories:
%System%\e1.dll
%System%\regaufat.dll
%System%\wupstlnt.dll
%System%\cssewmpd
%Windir%\serv.dll
%Windir%\serv.s
%Windir%\serv.wax
%Windir%\serv.exe
Delete the following registry values:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"serv"="%Windir%\serv.exe s"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wupstlnt.dll e1.dll"
Reboot the computer as normal, and check that you have deleted all infected emails from all mail folders.
Update your antivirus databases and perform a full scan of the computer (download a trial version of Kaspersky Anti-Virus.)
Quelle: http://forum.kaspersky.com/lofiversion/ ... 22865.html
Verfasst: Di 26 Jun, 2007 15:24
von robat93
geht das nur mit kaspersky??
Verfasst: Di 26 Jun, 2007 16:04
von Captain
Nein, ich kann es auch Hersteller-neutral formulieren:
Reboot the computer in Safe Mode (at the start of the boot sequence, press and hold F8, then choose ‘Safe Mode’ from the Windows boot menu. .
Use Task Manager to search for the following process:
serv.ex
If such a process is found, terminate it.
Manually delete the following files from the Windows root and system directories:
%System%\e1.dll
%System%\regaufat.dll
%System%\wupstlnt.dll
%System%\cssewmpd
%Windir%\serv.dll
%Windir%\serv.s
%Windir%\serv.wax
%Windir%\serv.exe
Delete the following registry values:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"serv"="%Windir%\serv.exe s"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wupstlnt.dll e1.dll"
Reboot the computer as normal, and check that you have deleted all infected emails from all mail folders.
Update your antivirus databases and perform a full scan of the computer.
Verfasst: Mi 08 Aug, 2007 11:43
von Firesale
Und? Hat das geholfen?