WCM Forum - Virusalarm!

WCM Forum (http://www.wcm.at/forum/index.php)

- Software (http://www.wcm.at/forum/forumdisplay.php?f=5)

- - Virusalarm! (http://www.wcm.at/forum/showthread.php?t=113114)

J@ck	23.10.2003 17:07

Virusalarm!

Habe die ganze Zeit gedacht dass auf dem Laptop eines Bekannten der Blaster Wurm sitzt.
Jetzt hab ich aber die Gewissheit: W32/Gaobot.worm.aa ist der Schädling. Und das dumme ist: Der sitzt in der scvhost.exe und ich krieg den nicht raus.
Hat wer ne Idee wie ich den wieder los werd?

der_morpheus1

23.10.2003 17:11

schau mal hier: http://vil.nai.com/vil/content/v_100611.htm
mfg.morph.:tux:

macmadmax

23.10.2003 17:37

gut das das wer hier reinschreibt.. ich habe genau den gleichen virus... also bei mir heisst er genaugenommen W32.HLLW.Gaobot.AE .. aba ich nehm an das das an systemworks liegt (das er so heisst)
bei mir is er auch in der scvhost.exe... und der link hilft mir ehrlichgesagt nicht weiter.. kann mir das vielleicht wer erklären?
mfg
macmadmax

J@ck	23.10.2003 17:41

Is bei mir das selbe, komme auch nicht wirklich weiter :(

flinx

23.10.2003 17:48

Vielleicht helfen die Removal Anweisungen von Symantec:
http://www.symantec.com/avcenter/ven...gaobot.aa.html
http://www.symantec.com/avcenter/ven...gaobot.ae.html

J@ck	23.10.2003 19:13

Perfekt, er scheint raus zu sein.
Hab den Schlüssel in der Reg gelöscht, im abgesicherten Modus gestartet und Norton drüberbrettern lassen. Jetzt isser raus *freu*

Thx.

alpi	03.11.2003 09:09

ACHTUNG!

Bitte aufpassen!
Mit der scvhost.exe ist das so eine Sache. Bei mir hat der Taskmanager eine permanente 100%-Auslastung der CPU gemeldet; demnach war auch das ganze System extrem langsam, da voll ausgelastet. Der Prozess, der das verursacht hat war der scvhost. ABER: das dürfte eine manipulierte Datei sein, da die original-Datei die svchost.exe ist. Erst nach Entfernen der manipulierten war das Problem beseitigt.

Ich bin mir nur jetzt nicht sicher, welche die orig. Datei ist (scv... oder svc...), da ich im Moment nicht auf meinem W2K-Rechner bin; aber schaut euch das auf einem "sauberen" W2K-Rechner an. Die orig. Datei ist ca. 8K groß; die manipulierte war - glaub' ich - ca. 56K.

Jetzt hab' ich aber auch noch eine Frage:
ist es möglich, dass der Virus dieses Typs im BIOS nistet, und dass mir eine Neuinstallation mit vorangehender kompletter Formatierung nichts nützt???

Wenn ja, was tu' ich dann?????????

der_morpheus1

05.11.2003 08:25

Zitat:

Jetzt hab' ich aber auch noch eine Frage:

im bios glaube ich kaum...;)
fdisk /mbr überschreibt den masterbootsector (hier können sich viren einisten)
dann die cd einlegen und windows den mbr wieder herstellen lassen.
wenn er noch immer da ist kannst immer noch formatieren:D
virenscanner mit aktueller signatur drüberlaufen lassen...
mfg.morph.:tux:

Alle Zeitangaben in WEZ +2. Es ist jetzt 22:05 Uhr.