Virus oder Co?

Jim Phelps · 25.04.2004, 22:10

Hi,

Ich habe irgendwas auf dem Rechner. Wenn ich auf einer bestimmten Internetseite einen Link drücke, erscheint bei mir eine cyper detektiv Seite. Die sollte aber nicht erscheinen, sondern der gewünschte Link. Einer meinte, ich hätte einen Trojaner drauf.

Also habe ich Ad aware 6.0 geladen und durchlaufen lassen. Alle Sachen die er fand gelöscht. Nur eine lässt sich nicht löschen:

Hersteller: Win32.Welchia.B
Kategorie: Data Miner
Objekt Typ: Prozess
Ort: ...windows/system32/drivers/svchost.exe
Gefährdung: hoch

Wie bekomme ich den weg? Jedes mal wenn ich ihn an wähle und danach neu scanne, erscheint er wieder.

Wie bekomme ich mein System heilwegs sicher? Muss ich jetzt Angst haben, dass jemand für mich bei Ebay ersteigert? Bin Laie.

Gruß Marcus

KaffDad · 26.04.2004, 07:35

Moin Moin !

Geh mal auf www.free-av.de und lade Dir dort den Anti-Viren-Scanner herunter und lass den nochmal drüber laufen.

CU

Stephan

Toddy.sh · 26.04.2004, 17:59

-
Hi,

das System nicht hochfahren, sondern mit
Rettungs-Disk starten und System überprüfen.

Der Unterschied:
Die Vieren sind schlau geworden und
setzen sich in Ecken die nicht gekickt
werden können.
Aber, wenn das System nicht hochgefahren wird,
ist es dem Vieren-Scanner ausgeliefert.

Garmin196 · 26.04.2004, 21:08

Das ist KEIN !!! Virus, sondern ein ganz
"Normales" Programm, in diesem Fall ein
Data Miner, (Wurm)wie der Name schon sagt, sammelt der Data Miner Daten über das Nutzerverhalten des betreffenden PC´s
wird übrigens über den DCOM RPC Service gestartet u. installiert sich unter
%System%\drivers directory mit dem Service Namen WKSPatch
Da sich der Wurm auf Deinem System installieren konnte, hast Du den DCOM.RPC Patch nicht eingspielt, das solltest Du schleunigst tun, sonst bekommst Du den Wurm nicht weg

Technische Beschreibung:

Der Wurm dringt unter Ausnutzung einer der folgenden Windows Schwächen ein:

1. DCOM RPC vulnerability beschrieben im MS03-026 bulletin

2. WebDav vulnerability beschrieben im MS03-007 bulletin

3. Workstation Service vulnerability beschrieben im MS03-049 bulletin

Wenn er ein System infiziert, kopiert er sich an folgenden Ort:
%SYSDIR%\Drivers\SVCHOST.EXE

und erstellt einen Dienst namens WksPatch, der bei jedem Windows Start ausgeführt wird.

Zum Infizieren anderer Systeme generiert er zufällige IP Adressen und sendet Packete über die Ports 135, 80 und 445, um die Ziele mittels derselben Schwächen zu erreichen (siehe oben).

Er versucht den Wurm Mydoom ebenso zu entfernen, wie die frühere Version von Welchia: Win32.Worm.Welchia.A. Er lädt die Patches KB828035 und KB828749 von Microsoft's Website herunter und führt diese aus.

Hiermit kannst Du das Problem fixen Marcus

http://www.bitdefender-av.de/Removal...welchia-DE.exe

gruß
mike

25.04.2004, 22:10	#1
Jim Phelps Inventar Registriert seit: 17.01.2003 Alter: 48 Beiträge: 1.989	Virus oder Co? Hi, Ich habe irgendwas auf dem Rechner. Wenn ich auf einer bestimmten Internetseite einen Link drücke, erscheint bei mir eine cyper detektiv Seite. Die sollte aber nicht erscheinen, sondern der gewünschte Link. Einer meinte, ich hätte einen Trojaner drauf. Also habe ich Ad aware 6.0 geladen und durchlaufen lassen. Alle Sachen die er fand gelöscht. Nur eine lässt sich nicht löschen: Hersteller: Win32.Welchia.B Kategorie: Data Miner Objekt Typ: Prozess Ort: ...windows/system32/drivers/svchost.exe Gefährdung: hoch Wie bekomme ich den weg? Jedes mal wenn ich ihn an wähle und danach neu scanne, erscheint er wieder. Wie bekomme ich mein System heilwegs sicher? Muss ich jetzt Angst haben, dass jemand für mich bei Ebay ersteigert? Bin Laie. Gruß Marcus ____________________________________ Gruß Marcus

26.04.2004, 07:35	#2
KaffDad Inventar Registriert seit: 11.02.2001 Beiträge: 1.809	Moin Moin ! Geh mal auf www.free-av.de und lade Dir dort den Anti-Viren-Scanner herunter und lass den nochmal drüber laufen. CU Stephan

26.04.2004, 17:59	#3
Toddy.sh bitte Mailadresse prüfen! Registriert seit: 17.04.2004 Alter: 62 Beiträge: 239	- Hi, das System nicht hochfahren, sondern mit Rettungs-Disk starten und System überprüfen. Der Unterschied: Die Vieren sind schlau geworden und setzen sich in Ecken die nicht gekickt werden können. Aber, wenn das System nicht hochgefahren wird, ist es dem Vieren-Scanner ausgeliefert.

26.04.2004, 21:08	#4
Garmin196 Elite Registriert seit: 06.09.2003 Alter: 76 Beiträge: 1.080	Das ist KEIN !!! Virus, sondern ein ganz "Normales" Programm, in diesem Fall ein Data Miner, (Wurm)wie der Name schon sagt, sammelt der Data Miner Daten über das Nutzerverhalten des betreffenden PC´s wird übrigens über den DCOM RPC Service gestartet u. installiert sich unter %System%\drivers directory mit dem Service Namen WKSPatch Da sich der Wurm auf Deinem System installieren konnte, hast Du den DCOM.RPC Patch nicht eingspielt, das solltest Du schleunigst tun, sonst bekommst Du den Wurm nicht weg Technische Beschreibung: Der Wurm dringt unter Ausnutzung einer der folgenden Windows Schwächen ein: 1. DCOM RPC vulnerability beschrieben im MS03-026 bulletin 2. WebDav vulnerability beschrieben im MS03-007 bulletin 3. Workstation Service vulnerability beschrieben im MS03-049 bulletin Wenn er ein System infiziert, kopiert er sich an folgenden Ort: %SYSDIR%\Drivers\SVCHOST.EXE und erstellt einen Dienst namens WksPatch, der bei jedem Windows Start ausgeführt wird. Zum Infizieren anderer Systeme generiert er zufällige IP Adressen und sendet Packete über die Ports 135, 80 und 445, um die Ziele mittels derselben Schwächen zu erreichen (siehe oben). Er versucht den Wurm Mydoom ebenso zu entfernen, wie die frühere Version von Welchia: Win32.Worm.Welchia.A. Er lädt die Patches KB828035 und KB828749 von Microsoft's Website herunter und führt diese aus. Hiermit kannst Du das Problem fixen Marcus http://www.bitdefender-av.de/Removal...welchia-DE.exe gruß mike

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)