svchos1.exe

[hurt]

hi

ich habe WinXP und ein problem mit dem virus WORM_AGOBOT

der virus "tarnt" sich als svchos1.exe und irgendwie helfen bei mir die ganzen beschreibungen aus dem internet wie man den virus wegbekommt nix. die registry geht sofort wieder zu wenn ich sie oeffne, msconfig auch, der virenscanner sowieso. hab es schon einmal geschafft ihn wegzubekommen, aber er ist anscheinend noch immer da. hat hier wer die selben probleme schon mal gehabt?

danke
Michi

[Potassium]

ich weiß nicht ob es was hilft aber benenn mal die regedit.exe auf regedit.com um und versuche es nochmal. das hat bei nem andren virus mal was genutzt.

[flinx]

Zitat:

hat hier wer die selben probleme schon mal gehabt?

Einige. S.a.: http://www.wcm.at/forum/search.php?a...der=descending

Zitat:

die registry geht sofort wieder zu wenn ich sie oeffne, msconfig auch, der virenscanner sowieso.

Versuchs im abgesicherten Modus.

[hurt]

danke, hab das geizhals forum eh schon nach diesem virus untersucht, aber nicht so viele threads gefunden wie mit deiner abfrage.

abgesicherten modus werde ich probieren.

was wuerde passieren wenn ich die svchos1.exe einfach loesche?

[flinx]

Zitat:

was wuerde passieren wenn ich die svchos1.exe einfach loesche?

Wenn mich nicht alles täuscht, würde das System-Restore vom XP diese wiederherstellen.
S.a. z.B. http://securityresponse.symantec.com...gaobot.az.html

Eine genauere Identifizierung des Wurms wäre hilfreich, da vom Gaobot schon einige verschieden Varianten unterwegs sind.

[hurt]

AGOBOT.BK (oder GAOBOT.BK ???)
und
AGOBOT.GEN (oder GAOBOT.GEN ???)

hab beide oben

[flinx]

Zitat:

AGOBOT.BK (oder GAOBOT.BK ???)

Hm...
Welchen Virenscanner verwendest du?
Virensignaturen aktuell?

Vielleicht hilft ein Online-Scan zu besseren Identifizierung:
http://housecall.trendmicro.com/
http://www.bitdefender.de/scan/licence.php

[hurt]

ich konnte ja nicht nach viren scannen weil ja mein antivirenprogramm (NortonAntiVirus2002) immer geschlossen wurde. dann habe ich den Panda Online Scanner verwendet und der hat ihn "beseitigt", NAV konnte ich aber noch immer nicht starten. Mit dem intelligent updater hab ich den NAV dann geupdatet ohne ihn starten zu muessen. NAV hat dann den AGOBOT ein paarmal geblockt wie er aktiv werden wollte, aber er ist anscheinend trotzdem noch da.

aber ich werd mal ein paar online scanner verwenden u mich dann wieder melden

danke
michi

[flinx]

Zitat:

hat dann den AGOBOT ein paarmal geblockt wie er aktiv werden wollte, aber er ist anscheinend trotzdem noch da.

Hast du dein System auch schon gepatched? Sonst wirds nicht viel bringen...

[hurt]

hm, ich habe auf der microsoft seite keinen patch gefunden, oder ist es der gleiche wie der msblaster patch?