Würmer belasten mich svchost.exe mscrt32.exe

#0
01.11.2003, 23:34
Member

Beiträge: 55
#1 hallo leute,
leider Gottes hab ich mir einen Wurm durch die Schule eingefangen.
Der 1. war ein Gabot oder so (August-Release) und ich hab dann McAffee 2004 mit dem neusten Virus Def. Packet installiert (update). Dann hab ich gescannt, hatte nix mehr... komischer weiße machte der wurm sich auch nimmer bemerkbar und nun hab ich gestern meinen rechner neu aufgesetzt
windows 2000
und ich habe wurm nummer 2: mscrt32.exe / steht in der regedit,
hab mir nun wieder mcaffee mit dem neusten packet oben.

Kann es sein das mcaffee den wurm nicht findet?
Kann es sein das er sich über einen port selbstständig reinspielt, auch wenn ich nichts mache?

Liebe Grüße
Seitenanfang Seitenende
02.11.2003, 00:11
Member

Themenstarter

Beiträge: 55
#2 wie können die eigentlich auf meinen rechner kommen, wenn ich alles abgescannt hab mit dem neusten packet? wo liegt der Hund begraben, wie finde ich dass raus?

Liebe Grüße
Seitenanfang Seitenende
02.11.2003, 01:23
Member

Beiträge: 41
#3 http://securityresponse.symantec.com/avcenter/venc/data/w32.ajm.worm.html

Oder einfach mal googeln ;)

Über den port selbstständig reinspielen macht z.B. der allseits beliebte Blaster-Wurm (Port 135). Dein Schädling versendet sich allerdings über E-Mail. Wie man ihn entfernt ist auch ganz nett und einfach beschrieben. ;)
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
02.11.2003, 01:35
Member

Themenstarter

Beiträge: 55
#4 Du wirst lachen, aber das ist nicht so ganz einfach.
Ich möchte schon sagen, dass ich mich mit Rechner gut auskenne und selber programmiere. ;) aber dieser virus ist nicht normal!

1. Ich hab schon nach ihm gesucht, versucht auch manuell zu entfernen.
2. komischerweiße habe ich folgende zwei files in meinem WINNT verzeichnis,
wenn ich diese lösche, kopieren sie sich selber wieder rein:
welcome.exe
winrep.exe
Das ding muss irgendwo im speicher sein, und wird vom neusten mcaffee nicht unterstützt. Ich öffne niemals emails mit attachments, und den virus hab ich mir durch die SCHEIß SCHULE eingefangen! Ich programmierte dort, und nahm das projekt mit nach Hause. Normalerweiße ist die Schule ja sicher, aber der sch** Adm**, der hat nen ... aber egal...

Nun habe ich zu Hause weiterprogrammiert, kompiliert, exe gestartet (die ich mal in der schule kompiliert hab) und das ding war bei mir zu Hause.
gemerkt habe ich es an: svchost.exe und das mein Rechner voll komische Sachen machte:
a) einfügen, kopieren ging nicht -> das ist eine klarer fall....

Hab mir dann Norton Ghost image gezogen, der virus war noch immer da...
hab dann alles abgescannt, neustes update, blabla....
dann nochmal windows installiert... und der scheiß will nicht weg...
Seitenanfang Seitenende
02.11.2003, 02:16
Member

Beiträge: 41
#5 Das ist seltsam. Schau mal in den anderen Thread von mentor, und check ob du diese Registry Einträge hast.

Eventuell hast du dir eine ge c r a c k t e Trojaner Version eingefangen. Viele Trojaner haben Routinen um bekannte Virenprogrammen zu umgehen und MCAffee ist nun mal bekannt.

Heisst die Datei SVChost oder SCVhost? Letzeres ist nämlich dieser Agobot (Wurm incl. IRC-Trojaner).

MSCONFIG untersuchen ob besondere Autostart-Einträge vorhanden sind, Registry Einträge entfernen, Ports schließen und vielleicht einen anderen Virenscanner benutzen. Kaspersky ist ziemlich gut ;) Solang dein PC offen ist wie ein Scheuentor, kommt das Ding immer wieder.
Auf jeden Fall hast du den Malicious Code noch irgendwo drauf.

EDIT: Solang der Prozess mit dem Code läuft "reparieren" sich die Dateien immer wieder. Zuerst die Ursache finden!
__________
Hab ich "NULL" gewählt?
Dieser Beitrag wurde am 02.11.2003 um 02:46 Uhr von Kimmi editiert.
Seitenanfang Seitenende
02.11.2003, 09:34
Member

Themenstarter

Beiträge: 55
#6 ;) hab alles im Griff...
es können mehrere Prozesse von Svchost.exe starten, wahrscheinlich war dies eh nicht wurm... Der Wurm war jedoch "mscrt32.exe" Das 100%,
und ich weiß wie er sich eingespeist hat. Ich hab ja mein system aufgesetzt, und nicht vom inet abgehängt einfach so. Jedesmal wenn ich es aufgesetzt hab, war er nach einiger Zeit da und hat das arbeiten behindert. Installationen abgeschossen, NAV und McAffee außer gefecht gesetzt. Hab dann bei symantec nach der Verbreitungsmethode gesucht.

Port 135, da war alles klar -> rechner vom netz, aufsetzen, firewall+ NaV neu ins netz, update... und jetzt passt alles ;)

Die mscrt32.exe muss irgendwo bei meinem Provider im Netz sein, bzw. hier irgendwo im teilnetz auf einem rechner :/ der rest geht mich eh nichts an *g*

Liebe Grüße, danke jedenfalls ;)
Bist du auf Viren und Würmer spezialisiert, oder interessiert dich eher mehr der SEC bereich ;) ?
Seitenanfang Seitenende
02.11.2003, 10:48
Member

Beiträge: 41
#7 Eigentlich bin ich mehr auf Trojaner spezialisiert, aber zwangsläufig muss man sich auch mit den anderen Vertretern des malicious code beschäftigen, wobei Trojaner ja nicht gleich böse heissen muss, ;)
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
02.11.2003, 13:49
Member

Themenstarter

Beiträge: 55
#8 programmierst du vielleicht MFC?

Grüße
Seitenanfang Seitenende
02.11.2003, 15:53
Member

Beiträge: 41
#9 Microsoft Foundation Classes?? Nein, ich hab von C++ und so weiter keine Ahnung ;)
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: