Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
worm/roron.50.a

worm/roron.50.a


Plagegeister aller Art und deren Bekämpfung: worm/roron.50.a

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.09.2006, 09:09   #1
quantsch
 
worm/roron.50.a - Standard

worm/roron.50.a


Hallo zusammen,

seit nunmehr drei Tagen finde ich in zwei für's Netzwerk freigegebenen Ordnern immer wieder nach dem selben Muster benannte .exe, die beim Betrachten des Ordners direkt von meinem AV-Guard als Dateien mit der Signatur des worm/roron.50.a erkannt werden. Nachdem ein kompletter Scan mit AV nicht das gewünschte Ergebnis gebracht hatte, habe ich es nocheinmal mit Escan getan, was zu Tage brachte, dass unter D://system volume information/ weitere .exe Dateien gefunden wurden. Nach Entfernen des Häkchens bei Systemwiederherstellung und anschließendem Neustart sind zumindest diese .exe nicht mehr aufgetaucht. Leider sind in den beiden anderen erwähnten Ordnern in unregelmäßigen Abständen diese .exe wieder erschienen. Ich habe auch einen Regestry Eintrag gefunden, der auf diesen Wurm hinweist:
HKCR\regfile\shell\open\command hat den Wert: regedit.exe "%1"
außerdem ist eine Autorun.inf Datei mit folgendem Inhalt in einem der beiden befallenen Ordner:
[Autorun]
OPEN=\\QUANTSCH\FTP\PCDUDE~1.EXE

Da ich mich ein im Internet etwas schlau gemacht habe, befällt mich allmählich ein wenig Panik, da dieser Wurm angeblich an einem 9. oder 19 eines Monats aktiv wird und dann richtig böse wird.

Ich kann auch ein log file von escan posten, falls dies zur Klärung beirtägt.

Weiß jemand, wie ich das Problem sicher beheben kann??

Vielen Dank im voraus

Quantsch

Alt 07.09.2006, 09:26   #2
quantsch
 
worm/roron.50.a - Standard

worm/roron.50.a


Hier ist noch das mit Find.bat erstellte .log-File von Escan:

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
Tue Sep 05 15:33:03 2006 => File C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente\KamaSutra(Eng).exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Tue Sep 05 15:33:05 2006 => File C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente\Teen Sex Cam (Rated).exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Tue Sep 05 15:33:10 2006 => File C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente\VirtualRape(Rated).exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 00:48:22 2006 => File C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente\Lolita3.0.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Wed Sep 06 02:47:56 2006 => File C:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136222.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 02:47:57 2006 => File C:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136225.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 02:48:01 2006 => File C:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136270.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 02:48:02 2006 => File C:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136274.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 02:48:03 2006 => File C:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136275.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 02:48:03 2006 => File C:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136276.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 02:48:04 2006 => File C:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136277.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 02:48:04 2006 => File C:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136278.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 04:20:21 2006 => File D:\FTP\Anal Explorer 3D.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 04:20:22 2006 => File D:\FTP\KamaSutrav4.5.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 04:20:22 2006 => File D:\FTP\LaFemmeNikita3.0.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 04:20:30 2006 => File D:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136223.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 04:20:31 2006 => File D:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136279.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 04:20:32 2006 => File D:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136280.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 04:20:32 2006 => File D:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136281.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 04:20:33 2006 => File D:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136282.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 04:20:33 2006 => File D:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136283.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Wed Sep 06 04:20:34 2006 => File D:\System Volume Information\_restore{F3F8C378-3930-41DC-8DED-30054E97E024}\RP396\A0136284.exe infected by "Email-Worm.Win32.Roron.50.a" Virus. Action Taken: File Deleted.
Thu Sep 07 09:18:42 2006 => File D:\FTP\Britney Suxx (sHow).exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Thu Sep 07 09:18:46 2006 => File D:\FTP\Hot Blondiesv4.5.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Tue Sep 05 15:45:21 2006 => Total Number of Virus(es) Found: 3
Wed Sep 06 04:24:36 2006 => Total Number of Virus(es) Found: 19
Wed Sep 06 13:56:45 2006 => Total Number of Virus(es) Found: 0
Wed Sep 06 14:12:37 2006 => Total Number of Virus(es) Found: 0
Wed Sep 06 16:56:24 2006 => Total Number of Virus(es) Found: 0
Thu Sep 07 09:25:19 2006 => Total Number of Virus(es) Found: 2
Tue Sep 05 15:45:21 2006 => Total Number of Errors: 7
Wed Sep 06 04:24:36 2006 => Total Number of Errors: 9
Wed Sep 06 13:56:45 2006 => Total Number of Errors: 6
Wed Sep 06 14:12:38 2006 => Total Number of Errors: 6
Wed Sep 06 16:56:24 2006 => Total Number of Errors: 7
Thu Sep 07 09:25:19 2006 => Total Number of Errors: 13
Tue Sep 05 15:45:21 2006 => Time Elapsed: 00:19:34
Wed Sep 06 04:24:36 2006 => Time Elapsed: 03:43:43
Wed Sep 06 13:56:45 2006 => Time Elapsed: 00:05:55
Wed Sep 06 14:12:38 2006 => Time Elapsed: 00:04:43
Wed Sep 06 16:56:24 2006 => Time Elapsed: 02:43:04
Thu Sep 07 09:25:19 2006 => Time Elapsed: 08:20:21
Tue Sep 05 15:45:21 2006 => Total Number of Files Scanned: 7453
Wed Sep 06 04:24:36 2006 => Total Number of Files Scanned: 102534
Wed Sep 06 13:56:45 2006 => Total Number of Files Scanned: 2859
Wed Sep 06 14:12:37 2006 => Total Number of Files Scanned: 2870
Wed Sep 06 16:56:24 2006 => Total Number of Files Scanned: 52279
Thu Sep 07 09:25:19 2006 => Total Number of Files Scanned: 100301
Tue Sep 05 15:18:19 2006 => Virus Database Date: 2006/08/23
Tue Sep 05 15:24:42 2006 => Virus Database Date: 2006/08/23
Tue Sep 05 15:45:20 2006 => Virus Database Date: 2006/08/23
Tue Sep 05 15:45:27 2006 => Virus Database Date: 2006/08/23
Wed Sep 06 00:40:08 2006 => Virus Database Date: 2006/08/23
Wed Sep 06 04:24:36 2006 => Virus Database Date: 2006/08/23
Wed Sep 06 06:34:06 2006 => Virus Database Date: 2006/08/23
Wed Sep 06 13:50:34 2006 => Virus Database Date: 2006/08/23
Wed Sep 06 13:56:45 2006 => Virus Database Date: 2006/08/23
Wed Sep 06 14:07:45 2006 => Virus Database Date: 2006/08/23
Wed Sep 06 14:12:38 2006 => Virus Database Date: 2006/08/23
Wed Sep 06 14:12:56 2006 => Virus Database Date: 2006/08/23
Wed Sep 06 16:56:24 2006 => Virus Database Date: 2006/08/23
Wed Sep 06 16:56:29 2006 => Virus Database Date: 2006/08/23
Thu Sep 07 01:04:07 2006 => Virus Database Date: 2006/08/23
Thu Sep 07 09:25:19 2006 => Virus Database Date: 2006/08/23
Thu Sep 07 09:51:29 2006 => Virus Database Date: 2006/08/23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Grüße
Quantsch
__________________
Antwort

Themen zu worm/roron.50.a
aktiv, autorun.inf, dateien, ellung, entfernen, ergebnis, erkannt, escan, folge, ftp, hallo zusammen, immer wieder, internet, log, log file, netzwerk, neustart, nicht mehr, ordner, panik, problem, regedit.exe, scan, shell, systemwiederherstellung, unregelmäßige, wurm


« trojaner spy.html.bankfraud.k,downl. mediamotor.c und downl.eh. | TR/vundo.gen mit Namen pmkhi.dll »


Ähnliche Themen: worm/roron.50.a


  1. AVG AV 2013 meldet Worm/VB.DYC, Worm/VB.DYA, Trojaner: Dropper.Generic.TEL im Verzeichniss \\WUALA_BY_LACIE\...\RECYCLED\...
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (9)
  2. WORM/Kido.IX und WORM/Confick.164228 auf externer Festplatte
    Log-Analyse und Auswertung - 03.06.2012 (16)
  3. Virusbefall Worm/Downadup, Worm/Generic_c.ZS, Verbeitung mit autorun.inf auf Wechselmedien
    Log-Analyse und Auswertung - 28.06.2011 (44)
  4. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  5. Worm.Zimuse.A / Worm.Zimuse.Gen entfernen
    Anleitungen, FAQs & Links - 06.02.2010 (2)
  6. WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (16)
  7. WORM/Autorun.tca und WORM/TRL.A
    Log-Analyse und Auswertung - 04.12.2008 (0)
  8. Wurm/Trojaner namens roron.50
    Log-Analyse und Auswertung - 29.11.2008 (7)
  9. Wurmbefall Worm ICRBot 54784.12 oder W32/WHIPSER-B WORM
    Log-Analyse und Auswertung - 22.06.2008 (7)
  10. worm vs. worm beschimpfungen
    Diskussionsforum - 26.03.2008 (2)
  11. netsta.exe -> WORM/IRCBot.1195026 bzw. Worm.Gaobot
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (5)
  12. Hilfe, bekomme Worm/SdDrop.P2P.B.1 und Worm/RBot nicht weg
    Log-Analyse und Auswertung - 25.11.2005 (3)
  13. Worm/Rbot-AEu & Worm/Rbot-AFC Hilfe
    Mülltonne - 12.10.2005 (1)
  14. Worm Rbot 67393 / Worm Sdbot 42496
    Plagegeister aller Art und deren Bekämpfung - 08.08.2005 (5)
  15. Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (12)
  16. Bitte helft mir mit Worm/Roron.50.A
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (10)
  17. W32/Slanper.worm und W32/Warpi.worm.gen
    Plagegeister aller Art und deren Bekämpfung - 27.07.2003 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema worm/roron.50.a - Hallo zusammen, seit nunmehr drei Tagen finde ich in zwei für's Netzwerk freigegebenen Ordnern immer wieder nach dem selben Muster benannte .exe, die beim Betrachten des Ordners direkt von meinem - worm/roron.50.a...
Archiv
Du betrachtest: worm/roron.50.a auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54