Allgemeines 21.944 Themen, 147.692 Beiträge

Verfolgung starten Optionen

Hilfe! WORM AGOBOT.Q

rosa101 / 1 Antworten / Flachansicht Nickles


Hallo!


Ich habe heute auch das Problem mit dem Remoteprozedur bzw. Wurm Blaster gehabt. Aufgrund der Antworten zu NadineH habe ich versucht, einiges zu tun. Bei der LAN-Verbindung habe ich das Firewall aktiviert. Die Security-Patches habe ich installiert. Von T-Online habe ich Symantec Removal Tool (3 mal) heruntergeladen, es fand kein Blaster. Trotzdem aber bekam ich wieder diese Meldung „das Computer wird in 50 sek. neugestartet. usw.“


 


Ich habe AntiVir (Version 6) und Trend Micro-HouseCall. Mit Trend Micro habe ich heute 3 oder 4 Mal nach Viren gesucht, und jedes Mal habe ich etwas gelöscht. Beim letzten Mal fand TM den Virus bei 2 Dateien. Der Virus heißt WORM AGOBOT.Q  Ich konnte bei jedem Scannen diesen Virus beim C\WINDOWS\system32\scvhost.exe weder löschen, noch säubern. Es steht erstens bei der „Aktion Bei Virenfund“Zugriff nicht möglich“. Zweitens wenn ich löschen oder säubern will, steht „… konnte nicht gesäubert (oder gelöscht) werden, weil sie zur Zeit verwendet wird.“


 


Was soll ich tun?


 


Wann soll man löschen oder säubern?


 


Übrigens TM-HouseCall fand 58 207 Dateien und AntiVir über 75 000 Dateien. Wie geht das?


 


Danke im Voraus


ROSA


 
bei Antwort benachrichtigen
0007 rosa101 „Hilfe! WORM AGOBOT.Q“
Optionen

Wenn Sie mit Windows XP arbeiten, deaktivieren Sie die Option "System Restore". Zusätzliche Informationen finden Sie im Abschnitt Systemwiederherstellungsoption in Windows Me/XP.

ACHTUNG: Wenn Sie mit Windows XP arbeiten, empfehlen wir Ihnen dringend, diesen Schritt nicht zu überspringen. Die Infektion kann möglicherweise nicht erfolgreich entfernt werden, wenn die Systemwiederherstellung in Windows XP noch aktiv ist, da Windows die Systemwiederherstellung gegen Modifikationen von außerhalb des Programms schützt.

Doppelklicken Sie auf die Datei FixBlast.exe, um das Entfernungsprogramm zu starten.
Klicken Sie auf "Start", um den Vorgang zu starten, und führen Sie das Programm aus.


Hinweis: Wenn Sie bei Ausführung des Programms die Meldung erhalten, dass eine oder mehrere Dateien nicht entfernt werden konnten, führen Sie das Programm im abgesicherten Modus aus. Fahren Sie den Computer herunter und schalten Sie ihn aus. Warten Sie 30 Sekunden. Starten Sie den Computer im abgesicherten Modus neu und führen Sie das Programm erneut aus. Alle 32-Bit-Windows-Betriebssysteme mit Ausnahme von Windows NT können im abgesicherten Modus neu gestartet werden.
Starten Sie den Computer neu.
Führen Sie das Entfernungsprogramm noch einmal aus, um sicherzugehen, dass das System gesäubert ist.
Wenn Sie mit Windows XP arbeiten, reaktivieren Sie die Systemwiederherstellung.
Führen Sie LiveUpdate aus, um sicherzustellen, dass Sie über die aktuellsten Virusdefinitionen verfügen.

Nach Abschluss des Programms wird Ihnen in einer Nachricht gemeldet, ob der Computer von W32.Blaster.Worm infiziert war oder nicht. Falls der Wurm tatsächlich entfernt wurde, zeigt das Programm folgende Ergebnisse an:
--------------
Was gegen das Ausschalten hilft, ist unter
Start->Ausführen "shutdown -a" einzugeben. Dann fährt die Kiste wenigstens nicht mehr gleich runter.
start->ausführen->Eingabe: shutdown -a

Auffällig bei infizierten PCs ist die zufällige Beendigung des RPC-Dienstes, die bei Windows XP mit dem Herunterfahren des Computers endet. Meist im Windows/System-Verzeichnis befindet sich die eigentliche Wurm-Datei mit dem Namen msblast.exe. Ein Registry-Eintrag unter "SOFTWARE/Microsoft/Windows/CurrentVersion/Run" verweist auf den Wurm, der so jedes mal mit dem System gestartet wird.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersionRun "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersionRun "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

bei Antwort benachrichtigen