svchos1.exe
 

hi

ich habe WinXP und ein problem mit dem virus WORM_AGOBOT

der virus "tarnt" sich als svchos1.exe und irgendwie helfen bei mir die ganzen beschreibungen aus dem internet wie man den virus wegbekommt nix. die registry geht sofort wieder zu wenn ich sie oeffne, msconfig auch, der virenscanner sowieso. hab es schon einmal geschafft ihn wegzubekommen, aber er ist anscheinend noch immer da. hat hier wer die selben probleme schon mal gehabt?

danke
Michi

ich weiß nicht ob es was hilft aber benenn mal die regedit.exe auf regedit.com um und versuche es nochmal. das hat bei nem andren virus mal was genutzt.

Einige. S.a.: http://www.wcm.at/forum/search.php?a...der=descending

Versuchs im abgesicherten Modus.

danke, hab das geizhals forum eh schon nach diesem virus untersucht, aber nicht so viele threads gefunden wie mit deiner abfrage.

abgesicherten modus werde ich probieren.

was wuerde passieren wenn ich die svchos1.exe einfach loesche?

Wenn mich nicht alles täuscht, würde das System-Restore vom XP diese wiederherstellen.
S.a. z.B. http://securityresponse.symantec.com...gaobot.az.html

Eine genauere Identifizierung des Wurms wäre hilfreich, da vom Gaobot schon einige verschieden Varianten unterwegs sind.

AGOBOT.BK (oder GAOBOT.BK ???)
und
AGOBOT.GEN (oder GAOBOT.GEN ???)

hab beide oben

Hm...
Welchen Virenscanner verwendest du?
Virensignaturen aktuell?

Vielleicht hilft ein Online-Scan zu besseren Identifizierung:
http://housecall.trendmicro.com/
http://www.bitdefender.de/scan/licence.php

ich konnte ja nicht nach viren scannen weil ja mein antivirenprogramm (NortonAntiVirus2002) immer geschlossen wurde. dann habe ich den Panda Online Scanner verwendet und der hat ihn "beseitigt", NAV konnte ich aber noch immer nicht starten. Mit dem intelligent updater hab ich den NAV dann geupdatet ohne ihn starten zu muessen. NAV hat dann den AGOBOT ein paarmal geblockt wie er aktiv werden wollte, aber er ist anscheinend trotzdem noch da.

aber ich werd mal ein paar online scanner verwenden u mich dann wieder melden

danke
michi

Hast du dein System auch schon gepatched? Sonst wirds nicht viel bringen...

hm, ich habe auf der microsoft seite keinen patch gefunden, oder ist es der gleiche wie der msblaster patch?

Das kommt drauf an, welchen Blaster-Patch du meinst. ;)
Aktuell ist AFAIK MS03-39 (http://www.microsoft.com/technet/tre...n/MS03-039.asp)

BTW: http://www.symantec.com/avcenter/ven...gaobot.dk.html passt auf deine Beschreibung.

ok, werd einfach mal den blaster patch raufspielen

ja, so wie es auf der symantec seite steht funktioniert es aber nicht so ganz. ich werds mal mit regedit.exe umbenennen probieren

hatte ein Freund von mir auch. Mit dem abgesicherten Modus hats dann funktioniert, diese elendige Datei zu löschen :D

safe mode
 

hat bei mir auch geklappt im safe mode.
dort die registry einträge löschen und dann NAV wieder drüber fahren.

alles mit scvhos1 löschen.

viel glück.


jj

hi

also ich habs probiert mit regedit umbenennen und dann starten, hat geklappt, sie ist nicht wieder geschlossen worden. dort hab ich ueberall svchos1 geloescht, also nur den wert, nicht die ganze variable. der onlinescanner hat noch ein paar viren gefunden.

nach dem neustart ist dann wieder dieses fenster gekommen dass er in einer minute runterfaehrt (mit shutdown -a gehts weg), aber es findet kein virenscanner (hab 4 probiert) mehr einen virus auf der festplatte - auch regedit etc. bleibt offen wenn man sie aufruft. ein virenscanner hat angezeigt dass er auf die csrrs.exe und auf die winhlpp32.exe nicht zugreifen kann und dass er sie deswegen nicht scannen kann - was ist mit diesen beiden dateien?

das einzige was mir noch auffaellt ist dass alle programme ewig lang zum starten brauchen. ich kann nicht copy - pasten und im explorer keine seiten in einem neuen fenster oeffnen. die svchos1.exe ist nicht mehr bei den aktiven prozessen (ich habe die datei auch geloescht). es war dann noch eine services.exe befallen - kann ich die auch loeschen?

bitte helft mir :-)
LG, michi.

ein kleiner trick:

such die svchos1.exe und benenn sie um, schreib irgendan scheiss dazwischen, dann start neu, dadurch dass in den start-einträgen was anderes steht wird sie nicht gestartet, da sie jetz ned rennt kannst sie killen wenn dein virenscanner das nicht vor dir tut ;)
zum drüberstreuen noch ab in die die dienste und beim RPC auf eigenschaften, dann den tab "wiederherstellen" und alles auf "keine aktion durchführen" stellen dann fahrt er auch nimma runter wennst den virus hast.

In einer der letzten C'ts war ein bootbarer Linux-Scanner auf Knoppix-Basis. Vielleicht hilf Dir der was?

die svchos1.exe ist ja schon weg u mein virenscanner findet nichts mehr bis auf die 2 dateien die er nicht scannen kann

schau mal ob du in /WINDOWS "scvhost.exe" findest.

nein, nach der hab ich auch schon gesucht

es brauchen auch alle programme so lange bis sie aufgehen, sogar START - SEARCH - FOR FILES AND FOLDERS. ist das "normal" bei diesem virus?

danke
michi