WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Hardware (http://www.wcm.at/forum/forumdisplay.php?f=21)
-   -   Virus oder Co? (http://www.wcm.at/forum/showthread.php?t=132437)

Jim Phelps 25.04.2004 22:10
Virus oder Co?
 
Hi,

Ich habe irgendwas auf dem Rechner. Wenn ich auf einer bestimmten Internetseite einen Link drücke, erscheint bei mir eine cyper detektiv Seite. Die sollte aber nicht erscheinen, sondern der gewünschte Link. Einer meinte, ich hätte einen Trojaner drauf.

Also habe ich Ad aware 6.0 geladen und durchlaufen lassen. Alle Sachen die er fand gelöscht. Nur eine lässt sich nicht löschen:

Hersteller: Win32.Welchia.B
Kategorie: Data Miner
Objekt Typ: Prozess
Ort: ...windows/system32/drivers/svchost.exe
Gefährdung: hoch

Wie bekomme ich den weg? Jedes mal wenn ich ihn an wähle und danach neu scanne, erscheint er wieder.


Wie bekomme ich mein System heilwegs sicher? Muss ich jetzt Angst haben, dass jemand für mich bei Ebay ersteigert? Bin Laie.

Gruß Marcus

KaffDad 26.04.2004 07:35
Moin Moin !

Geh mal auf www.free-av.de und lade Dir dort den Anti-Viren-Scanner herunter und lass den nochmal drüber laufen.

CU

Stephan

Toddy.sh 26.04.2004 17:59
-
Hi,

das System nicht hochfahren, sondern mit
Rettungs-Disk starten und System überprüfen.

Der Unterschied:
Die Vieren sind schlau geworden und
setzen sich in Ecken die nicht gekickt
werden können.
Aber, wenn das System nicht hochgefahren wird,
ist es dem Vieren-Scanner ausgeliefert.

Garmin196 26.04.2004 21:08
Das ist KEIN !!! Virus, sondern ein ganz
"Normales" Programm, in diesem Fall ein
Data Miner, (Wurm)wie der Name schon sagt, sammelt der Data Miner Daten über das Nutzerverhalten des betreffenden PC´s
wird übrigens über den DCOM RPC Service gestartet u. installiert sich unter
%System%\drivers directory mit dem Service Namen WKSPatch
Da sich der Wurm auf Deinem System installieren konnte, hast Du den DCOM.RPC Patch nicht eingspielt, das solltest Du schleunigst tun, sonst bekommst Du den Wurm nicht weg

Technische Beschreibung:

Der Wurm dringt unter Ausnutzung einer der folgenden Windows Schwächen ein:

1. DCOM RPC vulnerability beschrieben im MS03-026 bulletin

2. WebDav vulnerability beschrieben im MS03-007 bulletin

3. Workstation Service vulnerability beschrieben im MS03-049 bulletin

Wenn er ein System infiziert, kopiert er sich an folgenden Ort:
%SYSDIR%\Drivers\SVCHOST.EXE

und erstellt einen Dienst namens WksPatch, der bei jedem Windows Start ausgeführt wird.

Zum Infizieren anderer Systeme generiert er zufällige IP Adressen und sendet Packete über die Ports 135, 80 und 445, um die Ziele mittels derselben Schwächen zu erreichen (siehe oben).

Er versucht den Wurm Mydoom ebenso zu entfernen, wie die frühere Version von Welchia: Win32.Worm.Welchia.A. Er lädt die Patches KB828035 und KB828749 von Microsoft's Website herunter und führt diese aus.

Hiermit kannst Du das Problem fixen Marcus

http://www.bitdefender-av.de/Removal...welchia-DE.exe

gruß
mike


Alle Zeitangaben in WEZ +2. Es ist jetzt 00:16 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag