~ Win32.Worm.Welchia.B der will net weg ;_;

Oliver_G

Oliver_G

Semiprofi
Thread Starter
Mitglied seit
06.04.2003
Beiträge
2.485
Hab da den doofes Wurm namens Welchia.B...
BitDefender detected die aber gibt mir zB nach dem Komplettscan nicht die Möglichkeit den Wurm zu entfernen. Das spezielle BitDefender-Tool hilft auch nix und das Symnatec-Tool sagt mir ich habe den Wurm nicht, obwohl beim Scan BF aufpoppt und sagt mir welche Dateien infiziert sind.
Die eine Datei ist die svchost.exe die andere ist in den Temp.Internet-Files so nen ...Patch.exe oder so.. -.-

HILFE!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Vielleicht solltest du nochmal ein 3. Tool ausprobieren... Soweit ich weiss ist ein Wurm ein eigenständiges Programm was in der Regel keine anderen Programme befällt (also seinen Code in das andere Programm schreiben so wie ein Virus)

Da die svchost.exe ne ziemlich wichtige Datei bei Windows NT Systemen ist solltest du mit der Datei auch ein wenig vorsichtig sein...

Lies dir das mal durch: (kommt von der Symantec Homepage)

Notes: %System% is a variable. The worm locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP). There is a legitimate system file, %System%\svchost.exe, which has the same file size as the worm on Windows XP system.
Zum Vergrößern anklicken....

Da steht das die "svchost.exe" von Windows XP die gleiche größe hat wie der Wurm - also falls du Windows XP hast wird der Bitdefender einfach falschen Alarm geschlagen haben - bloß was mit der anderen Datei ist kann ich dir nicht sagen...

Edit:
Zur einschränkung... Wenn die "svchost.exe" im Ordner "Windows\System32" liegt ist alles in Ordnung - falls die Datei im Ordner "Windows\System32\drivers" liegt ist es vermutlich doch der Wurm...
 
Zuletzt bearbeitet:
nene mein system ist auf jeden fall "befallen", soweit man das bei der art von wurm sagen kann ^^;
die eine datei die irgendwas von patch.exe hat habe ich und die lässt sich auch nicht löschen... ich versuchs dann mal zum x-ten mal mit dem 3. toll das nicht gewollt hat...
 
Mmmh, du weist ja wie die befallene Datei heißt - geh doch in den abgesicherten Modus und lösch das Teil einfach per Hand... Falls du XP hast kannste auch via "msconfig" das Teil aus'm Autostart entfernen und dann nach nem Reboot löschen... Wenn der Wurm nicht allzuklug ist kannste auch versuchen den Wurm via Taskmanager vorläufig zu beenden...
 
bei "msconfig" seh ich da keinen eintrag -.-
im taskmanager ist auch nix...
im abgesicherten modus kann ich die sicher löschen?
wenn nicht: wie komm ich nochmal in xp in den vollständigen dos-modus? ich vergess das immer -.-
 
Mmmh, also wenn dort kein Eintrag ist der verdächtig aussieht - ist der Wurm denn überhaupt aktiv ? Naja aber dann müsste man ihn einfach löschen können :confused:

Naja drück mal F8 beim booten - da müsstest du auch zur "DOS" Ebene kommen - ansonsten sollte man auch wenn man von der XP CD bootet auf die Repartur Konsole kommen...

Oder mit ner NTFS fähigen DOS Bootdisk... Auf anhieb fällt mir dann auch nix einfaches mehr ein...
 
Die komische blablapatch.exe konnt ich dann doch mit bitdefender löschen, aber was soll ich mit der svchost.exe unter "Windows\System32\drivers" machen? löschen? desinfizieren kann ich sie jedenfalls nicht...
 
Die unter "windows\system32\drivers" kannste (sofern es geht) einfach löschen... Aber auf keinen Fall die svchost unter "windows\system32" löschen ! Das ist ne Sysdatei und das würde Windows dir ziemlich übel nehmen :d
 
kk, scheine nun befreit zu sein :d
thx!
 
Wie hastes denn jetzt letztendlich geschafft den Virus zu deleten und ins Jenseits der Ewigen Würmer zu schicken ?
 
War wie gesagt kein Virus, war nen Wurm!
Hab einfach nochmal mit BitDefender das system32-verzeichniss gescannt und dann erst hat er mich gefragt was ich mit den infizierten dateien machen soll... hab ich dann halt gelöscht ^^
 
der wawurm ist wieder da :wall:
hab schon das eine patch von microsoft draufgespielt und der kommt trozdem wieedr :[
 
Ich hatte den auch.
Ich hatte als erstes AntiVir, das Programm hat den erkannt, aber konnte ihn nicht löschen.
Dann hab ich Norton Antivirus 2003 genommen und es war sofort weg.
 
Aber der kommt immer wieder... hab ich auch innem anderen Forum gelesen..
das gute ist: nach 120 tagen deaktiviert der sich XD
 
Hi,

hab hier mal was gepostet. Vielleicht hilfts euch ja auch! Bei mir hats funktioniert:d

MfG

kenji
 
waaaaa! Seit gestern bekomm ich den Wurm andauernd!!! F-Secure findet ihn zwar, beseitigt ihn auch, aber jedesmal danach klick ich z.B. auf nen Link im Inet Explorer. Dann will er eine Online Verbindung aufbauen, obwohl sie bereits besteht. Klick ich ok, wird die alte Verbindung aufgelegt, und die gleiche nochmal gewählt. Danach funktioniert nichts mehr. Kein Taskmanager, gar nix. Hildt nur ein restart. Gibts da kein Update von Microsoft? Das nervt...
 
Hab gelesen das soll das gleiche Update wie fürn Blaster-Worm helfen... aber bei mir bringt der nach wie vor nix -.-
BTW: Ich nutze inzwischen nen alternativen Taskmanager (KillProcess)
 
Ahhhh!!! Ich krieg das Ding immernoch net weg :grrr:
ich versuch mich hier dumm und dämlich mit allen möglichen tools und möglichkeiten doch nix hilfts :heul: krieg den vll für nen paar minuten weg, aber dann isser wieder da und das trotz des windoof patches :wall:
 
hab den scheiß wurm auch und krieg ihn nicht weg weg. außerdem verursacht er 100%systemauslastung und fährt den rechner runter wie der blaster wurm.
norton findet auch noch den w32.gaobot.gen!poly
kennt den jemand
 
ja leider :[

ich sags kurz und schmerzlos, hab alles getan den runterzubekommen, nix half, ausser einem, formatieren !!!
 
Musste zwischendurch mal formatieren weil Inet nich ging, aber der kam trotzdem wieder :grrr:
 
der scheiß wurm schreiber gehört an den eiern aufgehängt
 
da kann man nur auf folgendes warten:
"...beendet sich selber am 1. Juni 2004 oder nach 180 Tagen"
 
Die Frage die ich mir immer wieder stelle ist, warum Ihr mit diesem blasterlike Kram und auch diversen Spy- und Malware Zeugs Probleme habt? :wall:

Ich verfolge das jetzt schon eine ganze Weile hier und hatte hierzu vor einiger Zeit des öfteren etwas gepostet.
Irgendwie kann ich nicht verstehen, warum hier viele User Probs damit haben und ich nicht.
Liegt es vielleicht auch daran, dass Ihr auf Dienste zugreift die nicht ganz koscher sind oder einfach nur weil Ihr ob der Security Euer System nicht auf dem "laufenden" haltet?

Zum Teil scheint es auch oft so zu sein, dass gewisse Kriterien zur Entfernung dieser Wurm-Derivate nicht beachtet werden und konfuse Rettungsversuche eine Formatierung und Neuinstallation des OS als letzte Möglichkeit gesehen werden.

Dem muß nicht so sein, denn zur sicheren Nutzung der bekannten Remove-Tools gegen den Wurmbefall sollte man beachten:

1. shutdown -a (sollte jeder inzwischen kennen), unterbindet den durch einen Zählerwert (60s) festgelgten shutdown, wenn aktives System befallen ist
2. ein auf Sicherheitsupdates aktualisiertes OS sollte schon vorhanden sein (gehe jetzt von WinXP aus), außerdem ist eine Firewall-Soft nicht verkehrt um die üblich verdächtigen Ports wie 135, 445 usw. zu sperren. Auch ist es empfehlenswert den ganzen netbios-Kram nebst DCOM zu deaktivieren, anderfalls kann man es jetzt nachholen.
3. ein aktuell gehaltenes AV-Programm sollte vorhanden sein
4. die Systemwiederherstellung muß deaktiviert sein (ganz wichtig)
5. Reboot in den abgesicherten Modus (auch ganz wichtig)
6. Remove-Tools ausführen (Beispiel) und gegebenenfalls die Registy auf verdächtige RUN-Befehle durchsuchen (sollte wohl kein Prob darstellen)
7. Neustart in den Normal-Modus

Zu den Spy- und Malware oder auch durch ActiveX und Javascript installierte Fieslinge poste ich vielleicht zum wiederholten Male in einem entsprechenden Thread, wenn ich Lust dazu habe.

solele ...
 
Öh, ich hab gerade in dem gelinkten Thread gelesen, dass man bei dem Wurmbefall drei mal svchost.exe vom System laufen hat, und genau das hab ich... macht der Wurm irgendwas? Weil mir ist bis jetzt nichts aufgefallen?
 
Hi,
ich habe mit dem blöden Ding auch Schwierigkeiten (gehabt).
Allerdings hat er sich ganz normal entfernen lassen. Wenn ich aber ohne Firewall ins Netz gehe dauert es ca. 5 - 15 Minuten bis das lästige Vieh wieder da ist. Mit ner aktivierten Firewall habe ich allerdings keine Probleme mehr, zumindest bis jetzt.

jörg
 
Corello schrieb:
1. shutdown -a (sollte jeder inzwischen kennen), unterbindet den durch einen Zählerwert (60s) festgelgten shutdown, wenn aktives System befallen ist
2. ein auf Sicherheitsupdates aktualisiertes OS sollte schon vorhanden sein (gehe jetzt von WinXP aus), außerdem ist eine Firewall-Soft nicht verkehrt um die üblich verdächtigen Ports wie 135, 445 usw. zu sperren. Auch ist es empfehlenswert den ganzen netbios-Kram nebst DCOM zu deaktivieren, anderfalls kann man es jetzt nachholen.
3. ein aktuell gehaltenes AV-Programm sollte vorhanden sein
4. die Systemwiederherstellung muß deaktiviert sein (ganz wichtig)
5. Reboot in den abgesicherten Modus (auch ganz wichtig)
6. Remove-Tools ausführen (Beispiel) und gegebenenfalls die Registy auf verdächtige RUN-Befehle durchsuchen (sollte wohl kein Prob darstellen)
7. Neustart in den Normal-Modus

Zu den Spy- und Malware oder auch durch ActiveX und Javascript installierte Fieslinge poste ich vielleicht zum wiederholten Male in einem entsprechenden Thread, wenn ich Lust dazu habe.

solele ...
Zum Vergrößern anklicken....

Wie sperr ich die Ports und mach das mitm Netbios kram und dem annere zeugs.. halt die ganze nummer 2 Oo
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh