WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Internet (http://www.wcm.at/forum/forumdisplay.php?f=8)
-   -   Virus? (bitte um Hilfe) (http://www.wcm.at/forum/showthread.php?t=120114)

klaunzi 28.12.2003 13:32

Virus? (bitte um Hilfe)
 
Hallo,

ich hab gestern meine Festplatte formatiert und Windows XP neu aufgesetzt, seitdem bekomme ich immer wieder mal die Meldung "Remoteprozeduraufruf unerwartet beendet - Windows is shutting down" etc. Ich hab das Problem schon vor ein paar Monaten mal gehabt (MsBlast glaube ich), aber dieses Mal findet sich absolut kein Virus auf meiner Festplatte. An was kann das liegen?

Danke, Martin

Rundumadumleuchtn 28.12.2003 13:42

hilft dir sicher weiter:
http://www.wcm.at/forum/showthread.p...prozeduraufruf

gib aber rasch vor dem runterfahren ein:
start/ausführen/ shutdown -a
dann fährt er einmal nicht mehr runter und du hast zeit für die reparatur.

Etienne 28.12.2003 13:58

Solltest vielleicht in der cmd shutdown -a beim dieser Fehlermeldung angeben anschließend in der msconfig den Blaster das Starten verbittten. Neustarten. und dann ein Removal Tool runtersaugen.

Da findest du es:
http://securityresponse.symantec.com...r/FixBlast.exe
mfg Etienne

klaunzi 28.12.2003 14:01

Danke erstmal für die Antworten,

ich glaub im Taskmanager läuft der Virus unter svchos1.exe, ist das eine Variante des msblaster? Ich finde nämlich in System oder System32 keinen msblaster, und auch mein Virenprogramm (antivir) findet nix.

Danke, Martin

K@sperl 28.12.2003 14:17

Ich glaub Du hast den Gaobot

http://www.wcm.at/forum/showthread.p...hreadid=120568
http://www.wcm.at/forum/showthread.p...hreadid=119056
http://securityresponse.symantec.com...gaobot.az.html

klaunzi 28.12.2003 14:35


Es laufen derzeit folgende Prozesse:

_____________________
taskmgr.exe
PSFree.exe
msmsgs.exe
ctfmon.exe
jusched.exe
UMonit2K.exe
rundll32.exe
explorer.exe
IEXLPORER.exe
svchos1.exe
spoolsv.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
System
Leerlaufprozess
_____________________________

Auffällig ist also dieses svchos1.exe und das svchost.exe 4mal aufscheint. Ausserdem befindet sich im Ordner System32 die Anwendung svchos1.exe!

Kann mir jemand eine einfache (möglichst die einfachste) Lösung zum Löschen dieses Virus mitteilen? Das Herunterfahren erfolgt ausserdem ziemlich unregelmäßig, jetzt funkts schon seit mehr als einer Stunde.

Danke, Martin

klaunzi 28.12.2003 15:13

ich hab mit einem Virenprogramm (Trend Micro) rausgefunden dass 3 Dateien den Virus WORM.AGOBOT.BK enthalten. Was nun?!?

_m3 28.12.2003 15:45

http://www.sophos.ch/virusinfo/analyses/w32agobotq.html

klaunzi 28.12.2003 15:57

ok ich habs mit den Anweisungen von Trend Micro hingebracht:

http://de.trendmicro-europe.com/ente...WORM_AGOBOT.BK

Ich hab ein bisschen in der Systemregistrierung herumgedoktert, danach hab ich die svchos1.exe und die winhlpp32.exe aus der System32 löschen können. Ich hab nachher noch mal denselben Virencheck laufen lassen, und es werden keine Viren mehr gefunden. Ee sollte also alles wieder passen. Danke für eure Hilfe!

K@sperl 28.12.2003 15:57

Zitat:

Original geschrieben von klaunzi
ich hab mit einem Virenprogramm (Trend Micro) rausgefunden dass 3 Dateien den Virus WORM.AGOBOT.BK enthalten. Was nun?!?
Du hast Dir die Links, die ich schon vorher gepostet habe, nicht durchgelesen, oder?

klaunzi 28.12.2003 18:58

@ kasperl

naja ich hab's überflogen aber ich war mir auch nicht sicher ob es sich überhaupt um diesen Virus handelt. Aber jetzt weiss ich's. Der Virus hat sich ausserdem wiedergemeldet, ich hab wohl irgendeinen Eintrag vergessen. Aber jetzt müsste es passen.

zzr1210 29.12.2003 07:49

@klaunzi
Du solltest vor dem löschen des wurmes die systemwiederherstellung
deaktivieren!!

wenn Du's nicht machst wird sich der agobot (oder gaobot)-wurm immer wieder "melden"

mfg
zzr1210

klaunzi 30.12.2003 13:58

@ zzr1210

ja danke das hab ich eh gemacht. Ein weiterer Beweis dafür, dass ich mir die Links vom Kasperl durchgelesen habe... ;) Von selbst wär ich da nämlich nie drauf gekommen, und der Wurm wär wieder da.

zzr1210 30.12.2003 14:15

is mir auch so gegangen (vonwegen sysrestore deaktivieren).
war stressig und nicht notwendig!!

mfg
zzr1210

Konrad 02.01.2004 15:59

Ich hatte über Neujahr einen AGOBOT.BE - Wurmbefall,
setzte NORTON ANTI VIRUS ein worauf sich das Mistvieh
im LAN auf 8 Festplatten verteilte. Mit AntiVir
einer Heft-CD fand ich den Namen und suchte mit Google.
... "Norton Live Updater = avapsvc.exe" war der Eintrag,
der das alles startete. Die ausführliche Beschreibung
mit Google gefunden, mit der Suchfunktion des PC alles
mit "Norton", "Symantec" finden und löschen - mit dem
Update von Antivir mehrmals drüberfahren hat mir geholfen.
Viel Erfolg ! Konrad


Alle Zeitangaben in WEZ +2. Es ist jetzt 15:13 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag