Worm Randex.H.2 ??

Ich hab den Link mal überflogen und werde mir das heute Abend später noch mal in Ruhe zu Gemüte führen, hab jetzt keine zeit. Einige Dienste wie diese Remot-Sache hatte ich allerdings von Anfang an deaktiviert, also bissel achte ich schon drauf, dass nicht jeder so einfach auf mein Rechner kann.

 

Ich schrieb, der Wurm verfügt über Backdoor-Fähigkeiten. Entweder, du hast noch weitere offensichtliche Malware auf deinem System (gehabt), oder du hast mich missverstanden.

Und da nach einer so erheblichen Systemkompromittierung noch die Möglichkeit einer nicht offenslichtlichen Malware bleibt, gab ich dir die Empfehlung, das System neu aufzusetzen.

Nein, das war nicht dein wirklicher Fehler. Was du machst, ist nur Symptom-, aber keine Ursachenbekämpfung. Folge dem Link, den ich dir gab, und führe die entsprechenden Maßnahmen durch.

 

Hab ich grade gemacht, iss nich drin! Hat mein AntiVir wahrscheinlich doch gefunden mit der neuen Signatur.

 

sehr gut !!

 

Oooops, du warst schneller! Trotzdem danke für die vergebliche Mühe mit dem Übersetzen....

 

Dann schau' aber trotzdem nochmal in der reg. nach, ob die obengenannten einträge dort stehen, dann löschen wie eben beschrieben.

 

Danke, brauchste nicht übersetzen, soweit reicht es doch noch. Dieser Eintrag war definitiv nicht in der Registry!

 

So gehts besser:
ABER VORHER REGISTRY SICHERN !!!!!!!!!!!!!!!

Click Start, and then click Run. (The Run dialog box appears.)
Type regedit

START-AUSFÜHREN-REGEDIT

Then click OK. (The Registry Editor opens.)

OK KLICKEN


Navigate to the key:
GEHE ZUM SCHLÜSSEL:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


In the right pane, delete the value:
IM RECHTEN FENSTER LÖSCHE DEN EINTRAG:

"Microsoft Spool Server for Win32" = "spoolsrv.exe"


Navigate to the key:
GEHE ZUM SCHLÜSSEL:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices


In the right pane, delete the value:
IM RECHTEN FENSTER LÖSCHEN:

"Microsoft Spool Server for Win32" = "spoolsrv.exe"


Exit the Registry Editor.
VERLASSE DEN REGISTRY-EDITOR

 

Die Datei hat er nicht gefunden, also hat er es nach dem Neustart doch geschafft, das Ding zu löschen. Beim letzten Scan hat er ihn auch nicht mehr gefunden.

 

dann geht es an die registry. übersetzung dauert etwas ...

Click Start, and then click Run. (The Run dialog box appears.)
Type regedit

Then click OK. (The Registry Editor opens.)


Navigate to the key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


In the right pane, delete the value:

"Microsoft Spool Server for Win32" = "spoolsrv.exe"


Navigate to the key:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices


In the right pane, delete the value:

"Microsoft Spool Server for Win32" = "spoolsrv.exe"


Exit the Registry Editor.

 

Danke für die Tipps. Das Backdoorproggi lies sich beim ersten Versuch gleich löschen, bloß der Wurm nicht. Bin selber bissel Schuld, hab längere Zeit die AntiVirus-Definitionen nicht aktualisiert. Hab nu eingestellt, dass das automatisch passiert.

 

dafür ist dein russisch besser wie meins

also, im taskmanager die datei/den prozess "Spoolsrv.exe" suchen, beenden und danach einen erneuten komplettcheck mit AKTUELLEN SIGNATUREN machen. dann alles löschen, was der scanner anzeigt.

 

Und ich kenne sein Firewall-Programm!

 

Nein, wozu? Besser die Sicherheitslücken in deinem System schließen, damit sowas nicht ständig wieder passiert:

http://www.ntsvcfg.de/

Am sichersten wird es sein, das System neu aufzusetzen, zumal der Wurm über eine Backdoorfunktion verfügt. Dann vor der ersten Internetverbindung die oben genannten Absciherungsmaßnahmen durchführen.

 

Ich hab Win 2k und mein Englisch ist nicht sooo toll! *schäm*

 

Um Gottes Willen, das hatte ich nie vor!

 

War nicht ernst gemeint, oder?
Ich starte hier keine AV-Diskussion!
:p

 

Wie siehts aus mit englisch ??? welches Betriebssystem hast du denn ?

Restarting the computer in Safe mode or ending the Trojan process
Windows 95/98/Me
Restart the computer in Safe mode. All the Windows 32-bit operating systems, except for Windows NT, can be restarted in Safe mode. For instructions, read the document, "How to start the computer in Safe Mode."

Windows NT/2000/XP
To end the Trojan process:
Press Ctrl+Alt+Delete once.
Click Task Manager.
Click the Processes tab.
Double-click the Image Name column header to alphabetically sort the processes.
Scroll through the list and look for Spoolsrv.exe.
If you find the file, click it, and then click End Process.
Exit the Task Manager.

4. Scanning for and deleting the infected files
Start your Symantec antivirus program and make sure that it is configured to scan all the files.
For Norton AntiVirus consumer products: Read the document, "How to configure Norton AntiVirus to scan all files."
For Symantec AntiVirus Enterprise products: Read the document, "How to verify that a Symantec Corporate antivirus product is set to scan all files."
Run a full system scan.
If any files are detected as infected with W32.Randex.H, click Delete.

 

Danke Nachbar! Soll ich mir jetzt echt den Norton AV insten?

 

W32.Randex.H is a variant of W32.Randex.F that connects to an IRC channel on a specific IRC and waits for instructions from its creator. The worm is packed with ...

Link