wurm w32/agobot cg in svchost.exe... |
||
---|---|---|
#0
| ||
28.12.2003, 22:34
...neu hier
Beiträge: 5 |
||
|
||
29.12.2003, 04:34
Moderator
Beiträge: 7805 |
#2
Ich wuerde mich wundern, wenn f-secure dort einen Fehlalarm produzieren wuerde. Die SVCOST von Windows befindet sich im system32 ordner, der Wurm meistens im Windows Ordner. F-Secure sollte ihn entfernen, wenn du es im abgesicherten Modus startest. Infos zu dem Wurm (Varianten)findest du hier http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=w32%2Fagobot.c&product=0
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.12.2003, 04:54
...neu hier
Themenstarter Beiträge: 5 |
#3
hi raman,
das habe ich längst versucht, aber auch im abgesicherten modus bekomme ich keinen zugriff auf die datei... das ist és ja u.a., was mich so nervt. und f-secure findet nur die infizierte svchost.exe-datei... |
|
|
||
29.12.2003, 05:01
Moderator
Beiträge: 7805 |
#4
Poste mal ein Hijackthis log. Mal schauen, wo sich die Datei befindet: http://board.protecus.de/t9391.htm
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.12.2003, 05:34
...neu hier
Themenstarter Beiträge: 5 |
#5
here it is....
Logfile of HijackThis v1.97.7 Scan saved at 05:28:53, on 29.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\spoolsv.exe C:\WINDOWS.0\System32\S3hotkey.exe C:\WINDOWS.0\System32\S3tray2.exe C:\Programme\FSI\F-Prot\F-StopW.EXE C:\Programme\FSI\F-Prot\F-Sched.exe C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe C:\WINDOWS.0\System32\ctfmon.exe C:\Programme\CookieCooker\CookieCooker.exe C:\Programme\Telekom\Sinus 62 Komfort\Capictrl.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\...Eigene Dateien\downloads\reg-cleaner\HijackThis.exe .... Dieser Beitrag wurde am 29.12.2003 um 07:28 Uhr von gruener editiert.
|
|
|
||
29.12.2003, 05:42
Moderator
Beiträge: 7805 |
#6
Sieht wohl wirklich nach Fehlalarm aus. Wo findet F-Prot den agobot genau(Datei bzw Ordner). Hast du schon wieder ein Update von F-prot gemacht?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.12.2003, 05:46
...neu hier
Themenstarter Beiträge: 5 |
#7
unter:
windows/system32/svchost.exe sowie in den restore-dateien ein neues update von f-prot liegt nicht vor, aber eine frage meinerseits an den deutschen ableger. mal gucken, was die antworten. und: noch mal ganz dumm gefragt: was aus den einträgen kann ich in jedem fall entfernen bzw sollte ich? Dieser Beitrag wurde am 29.12.2003 um 05:51 Uhr von gruener editiert.
|
|
|
||
29.12.2003, 06:06
Moderator
Beiträge: 7805 |
#8
NIchts! Sieht sehr aufgeraeumt aus!
BTW: Du kannst die Datei ja mal hier testen: http://www.kaspersky.com/remoteviruschk.html Wenn dort irgendwas als gepacket/packed angezeigt wird, ist das mehr als verdaechtig! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.12.2003, 06:10
...neu hier
Themenstarter Beiträge: 5 |
#9
hmmm....
hier das ergebnis: Current object: svchost.exe Statistics: -------------------------------------------------------------------------------- Known viruses: 80038 Updated: 29.12.2003 File size (Kb): 0 Scan time: 00:00:01 Speed (Kb/sec): 1 Virus bodies: 0 Archives: 0 Packed: 0 Folders: 0 Files: 0 Suspicious: 0 Warnings: 0 jetzt bin ich ratlos... (oder sollte ich eher beruhigt sein?) aber danke für das lob... ich finde, das log sieht eher chaotisch aus... nachtrag gegen 7:30 h raman, dir zur kenntnis: es war ein fehlalarm!!!!!!!!!!!!!!! (sagt percomp...) vielen dank trotzdem für die hilfe! Dieser Beitrag wurde am 29.12.2003 um 07:28 Uhr von gruener editiert.
|
|
|
||
ich bräuchte mal eure hilfe.
ich habe seit heute den oben beschriebenen wurm in entsprechender datei...
mein virenscanner (f-secure) erkennt ihn zwar, will ihn aber nicht löschen.
was kann ich tun? mir ist zudem unklar, welchen schaden dieser wurm anrichten kann, da ich noch keine beschreibung über ihn gefunden habe.
kurzer nachtrag:
an anderer stelle wird hier viel über einen wurm in der datei scvhost.exe geschrieben...
daher möchte ich feststellen:
ich habe mich nicht vertippt. mein problem liegt wirklich in der datei svchost.exe, die einen verdächtigen inhalt namens w32/agobot.cg aufweist.
andere virenscanner, die ich ausgetestet habe. erkennen dieses problem bislang allerdings nicht. auch konnte ich in der registry bislang keine für di verschiedenen agobat-varianten typischen einträge feststellen (oder ich habe sie einfach nur noch nicht gefunden.) auch adaware und spybot haben nix gefunden.
auch alle restore-dateien sind davon betroffen.
um bestimmte problemlösungen auszuschließen: xp ist frisch upgedatet, f-secure ebenfalls.
kann das ev. ne fehlmeldung von f-secure sein, weil ich finde nix über einen dernamigen wurm?