ICQ Wurm Stration.Gen

Versuche es mal mit dem Removal Tool von Norman (ca. 2,2 MB), beachte dabei die Hinweise auf Webseite, Stichwort abgesicherter Modus von Windows.
http://www.norman.com/Virus/Virus_removal_tools/de
(Anmerkung: Auch wenn auf der Webseite die Malware “Stration“ nicht in der Liste aufgeführt ist, kann das Tool viele Varianten von diesen erkennen und entfernen)

Alternative:
AV Cleaner “Damage Cleanup“ von Trend Micro.
(Spezielles Entfernungstool für fast alle bekannten Viren - In englischer Sprache)
Die Dateien sysclean.com und lpt$vpn.xxx müssen im selben Ordner abgelegt sein, keine Installation notwendig!
a. Sysclean Package, ca. 3,3 MB
http://de.trendmicro-europe.com/enterprise/support/tsc.php
b. Pattern, ca. 14,2 MB Zipdatei
http://de.trendmicro-europe.com/enterprise/support/pattern.php


Anschließend sollte um eine weitere mögliche Malwareinfizierung auszuschließen bzw. zuerkennen zur Kontrolle auch eine Überprüfung mit dem Freeware Online-Scanner von
F-Secure vorgenommen werden. Für eine schnelle und kostenlose Überprüfung des kompletten Systems bietet dieser Online-Scanner gute Dienste und liefert eine zweite Meinung. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml
(Einige wenige Teile der Software sind in Englisch)
Wähle die Option “Vollständiger Systemscan“

Poste bitte auf jeden Fall die ausführlichen Berichte der Scanner hier !

...
Wichtiger ergänzender Hinweis:
Um eine optimale Überprüfung mit den Tools von Norman und Trend zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen (Kabel ziehen!)
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Ok... ich probiere es mal mit ersterem, da ich hier momentan in der Schule am computer bin. Ich habe mir das Norman removaltool auf USB Stick gezogen und schau, dass ich das hinkriege

Hat nichts funktioniert. Das Programm hat was anderes gefunden, aber nicht den Wurm, der momentan mein System lahmlegt....
Die Files  /system32/slbipsch.pll  und .exe und /system32/vb5dmpo.dll sind infiziert und müssen gelöscht werden. Antivir kann sie weder in Quarantäne verschieben noch Löschen, da sie ständig in Benutzung sind.
*brumm*

Hat nichts funktioniert. Das Programm hat was anderes gefunden, aber nicht den Wurm, der momentan mein System lahmlegt....

Was hat er gefunden ?
Für eine genaue Hilfe benötigen wir jede Informatioen die wir bekommen können!

OK,
die Malware ist zu Neu für das Tool von Norman,
sie wurde erst am 15.12. entdeckt.
http://www.symantec.com/security_response/writeup.jsp?docid=2006-121511-2140-99

Verwende das Programm Killbox um die folgenden Dateien zu löschen:
Download = http://www.bleepingcomputer.com/files/killbox.php

vb5dmpo.dll
slbipsch.pll

Achtung!
Vermutlich extestiert auch noch diese Datei:
C:\Windows\System32\slbipsch.exe
Sie muss ebenfalls gelöscht werden.
Unter Umständen befinden sogar noch weitere Dateien auf deinen PC die für Infektion verantwortlich sind.

Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html

Wie sieht es mit dem Tool von Trend aus ?
Führe auch einen HijackThis-Log zu Informationszwecken aus.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/     
und folge den Anweisungen und poste den Log.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Hallo,
ich hatte gestern auch den Wurm stration.gen. Ich habe den PC im abgesicherten Modus gestartet und anschließend mit der Systemwiederherstellung (Start-Programme-Zubehör-Systemprogramme-Systemwiederherstellung) einen Wiederherstellungspunkt von einem Tag vorher wiederhergestellt. Voraussetzung ist natürlich, dass man Windows XP hat und die Systemwiederherstellung nicht deaktiviert hat. Anschließend startete der PC wieder normal und ich konnte mit AVIRA AntiVir alle betroffenen Dateien suchen und löschen. Es war keine Datei dabei, die wirklich zum Windows gehört, also: alle weg! Heute hat AntiVir nochmal welche im Verzeichnis System Volume Information gefunden, die ließen sich aber alle löschen. Viel Glück!

Hallo Sas,
Normen hat am 20.12. eine neue Version seines Removal Tools heraus gebracht,
dabei werden ca. 50 neue Varianten vom Worm “Stration“ erkannt und beseitigt.
Versuche es mal mit der neuen Version um die Malware zu beseitigen, ansonsten ist das erwähnt Tool von Trend eine gute Alternative.

Hallo!!!

Könnte den Kommentar von solarwind ohne zusätze unterschreiben.Hab mir den Wurm vorgestern eingefangen,dann im abg. Modus Systemwiederherstellung gemacht und Pc lief wieder.Gestern ist dann Anti Vir in genau den gleichen Dateien wie bei solarwind fündig geworden.Ließ sich aber alles löschen....Ich hoffe das die ganze SAche sich jetzt für mich erledigt hat!!!

Hier gibts eine gute Anleitung zum Entfernen des Wurms, hat bei mir auch geklappt. 

Ich hab das gleich Problem, habe mir auch die Virus eingefangen. Ich habe noch eine frage zu dem Norman Malware 
Scanner / Entferner.
Ich hab mir die Datei runtergeladen .. im abgesicherten Modus gestartet .. Programm ausgeführt und Scann durchlaufen laufenlassen. Hat auch gleich ein paar Viren entdeckt, nur weiß ich jetzt nicht wie ich diese entferne. Ist es möglich das ich mir erst eine Lizenz beschaffen muss um diese Funktion zu nutzen?
danke für die Tipps

Hallo JOJOD,
Normen sollte die Infektion automatisch bereinigt haben!
Auf dem Desktop wurde eine Protokolldatei vom Scanner abgelegt, poste diese bitte hier.

Hallo,
nach der Beseitigung des ICQ Wurm Stration.Gen habe ich nun festgestellt, dass die aktuell verfügbaren Windows Updates zwar gesucht und gefunden sowie zu installieren versucht werden, die Installation aber nicht gelingt.

Nach der Initialisierung erscheint folgendes:

Installation wird initialisiert... Abgeschlossen!
Update für Office 2003 (KB907417) wird installiert (Update 1 von 6)... Fehlgeschlagen!
Visio 2003 Service Pack 2 wird installiert (Update 2 von 6)... Fehlgeschlagen!
OneNote 2003 Service Pack 2 wird installiert (Update 3 von 6)...
usw....

Die beiden immer wieder in Foren genannten Registry Einträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

und

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

bestehen und bestanden bisher in meiner Registry nicht und das Update hat bisher problemlos funktioniert. Eine Überprüfung auf 2 anderen Rechnern, die nicht vom Wurm befallen waren, hat die beiden Einträge ebenfalls nicht bestätigt. Es sollte also noch anderswo nach dem Fehler zu suchen sein, nur wo ?
Wäre super wenn Ihr mir da weiter helfen könnt und wie gesagt ging es bisher ohne die beiden Einträge.

Jürgen

Also bei mir steht fast das selbe drinn, also hat er anscheinend doch versucht zu säubern.
Ist ihm aber irgendwie nicht gelungen, dh es hat sich eigentlich nichts verändert. Virus ist immernoch aufm rechner :/

Wenn ich den ein zweites mal durchlaufen lasse macht er genau das selbe wie beim ersten mal , das kann ja irgendwie nicht sein....

Also bei mir steht fast das selbe drinn, also hat er anscheinend doch versucht zu säubern.
Ist ihm aber irgendwie nicht gelungen, dh es hat sich eigentlich nichts verändert. Virus ist immernoch aufm rechner :/

Wenn ich den ein zweites mal durchlaufen lasse macht er genau das selbe wie beim ersten mal , das kann ja irgendwie nicht sein....

Nein, das kann es nicht sein.
Normaler weiße arbeitet das Tool zuverlässig, nur leider hier nicht. Poste bitte trotzdem den Bericht Norman hier.
Wie sieht das Ergebnis mit der Alternative von Trend aus?