Wurm Welchia geht einfach nicht weg |
||
---|---|---|
#0
| ||
07.03.2004, 07:02
...neu hier
Beiträge: 4 |
||
|
||
07.03.2004, 08:45
...neu hier
Beiträge: 3 |
#2
Hallo,kannst du mir mal beschreiben wie die Auswirkungen des Wurms sind.
Habe ihn auch und das selbe Problem wie du,bekomme ihn einfach nicht weg. Mfg serte |
|
|
||
07.03.2004, 09:30
Moderator
Beiträge: 7805 |
#3
Wo wird denn der Wurm gemeldet? In welchem Ordner und mit welchem Dateinamen?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.03.2004, 09:48
...neu hier
Themenstarter Beiträge: 4 |
#4
Bei mir äussert sich der Virus so ich starte den PC ganz normal und dann funktioniert auf einmal der IE nicht mehr kein Task Manager usw.
Virus taucht einmal im system32 Ordner als SVchost.exe und als WKSPATCH in irgendeinen Temp IE Files auf und ich kriege dieses verfi**te teil nicht weg ich experimentiere nun schon seit 2 Wochen. Aber nun bin ich mit meinem Latein am ende |
|
|
||
07.03.2004, 10:06
...neu hier
Beiträge: 2 |
#5
Moin,
mach's einfach so wie ich es ebenfalls vor ein paar Stunden gemacht hab - Windows neuinstallieren! ^^ Is gar nicht so schlimm wie man vorher meint, im Gegenteil, wenn man die ganze Sache erstmal durchgestanden hat ist man teilweise sogar extrem glücklich, weil man denkt das man seinem System nach zig Monaten mal wieder etwas Gutes getan hat... dieses Gefühl verfliegt allerdings wieder ziemlich schnell, sobald Win nach Neuinstallation und 2-3 weiteren Neustarts die erste Fehlermeldung als Willkommenstext auf den Bildschirm "zaubert" :-D Aber mal im Ernst, in den 2 Wochen hättest Du bestimmt schon 100x Windows neuinstallieren können... Alles Gute & Gesundheit S2kde |
|
|
||
07.03.2004, 10:08
Moderator
Beiträge: 7805 |
#6
SVCHOST im System32 Ordner ist eine Systemdatei!
Dieser Cleaner sollte den Virus entfernen koennen. Dazu am besten im abgesichertn Modus starten, damit euer aktiver Virenscanner da nicht quer schiesst! http://www.symantec.com/avcenter/FixWelch.exe Wenn ihr euer System nicht via www.windowsupdate.com aktualisiert, bekommt ihr ihn imer wieder! Im Zweifelsfalle die Windowsfirewall aktivieren, bevor ihr nach der Reinigung wieder ins Internet geht! __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 07.03.2004 um 10:10 Uhr von raman editiert.
|
|
|
||
07.03.2004, 11:20
...neu hier
Themenstarter Beiträge: 4 |
#7
Ich hatte bereits oben schon geschrieben das ich so ziemlich alle Removal Tools hab drüber laufen lassen die finden aber leider gottes nichts.
Das Problem ist das ich im moment kein bock auf Datensicherung habe und deswegen will ich halt das FOrmat C:\ verzichten. Also hat noch jemand ne andere Idee?? |
|
|
||
07.03.2004, 11:32
Member
Beiträge: 1122 |
||
|
||
07.03.2004, 13:01
...neu hier
Beiträge: 2 |
#9
Was heisst hier "kein bock auf Datensicherung"?
Dann nimmst Du halt nen Tool wie z.B. PartitionMagic und schneidest die bereits vorhandene Partition in zwei Teile. Dem neu erstellten Teil drückst Du etwa 3GB freien Speicherplatz von der alten Partition ab, danach konfigurierst Du die neue Partition als aktive Partition (Boot-Partition). Dann machsten Reset, installierst Windows neu und wenn in Windows wieder alles halbwegs hergerichtet ist, fügst Du die beiden Parts mittels PartitionMagic wieder zusammen (oder auch nicht) und siehe da: Du besitzt wieder ein sauberes OS und bist happy bis an Dein Lebensende, weil Du keinen einzigen Rohling dafür verschwenden musstest und Deine Daten trotzdem noch erhalten sind :o) <- Nachtrag: .... falls Du nichts verkehrt machst! ^^ Naja, könnte in der Praxis u.U. zwar etwas komplizierter sein als ich's jetzt dargestellt hab, aber Du hast ja nach weiteren Ideen gefragt... ansonsten kann ich Dir leider nicht weiterhelfen... sorry! MfG S2k Dieser Beitrag wurde am 07.03.2004 um 13:03 Uhr von S2kde editiert.
|
|
|
||
07.03.2004, 13:21
...neu hier
Beiträge: 3 |
#10
@Alpinch3n,
Das gleiche Problem habe ich auch.IE kann keine Bilder oder Dateien speichern. Taskmanager funktioniert nicht mehr.Systemsteuerung (Software unsw. funzt auch nicht).Alle Tools drüberlaufen lassen kein Erfolg. Patches von Microsoft draufgespielt auch kein Erfolg. Hier ist noch mein Logfile: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE D:\Tools\NetLimiter\NetLimiter.exe D:\Programme\JavaSE1.4.2\bin\jusched.exe D:\Tools\Antivir\AVGUARD.EXE D:\Tools\Antivir\AVWUPSRV.EXE C:\WINDOWS\System32\javaw.exe C:\WINDOWS\System32\taskmgr.exe C:\WINDOWS\System32\taskmgr.exe C:\Programme\Internet Explorer\iexplore.exe D:\Tools\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 203.115.204.133:8080 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\Tools\FlashGet\jccatch.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Tools\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NetLimiter] D:\Tools\NetLimiter\NetLimiter.exe /s O4 - HKLM\..\Run: [AVGCtrl] D:\Tools\Antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\JavaSE1.4.2\bin\jusched.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - D:\Tools\FlashGet\jc_all.htm O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - D:\Tools\FlashGet\jc_link.htm O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://www.webgateinc.com/wizard/control/10135/wg_webeye.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{485A5197-311F-459B-A19E-5812F5DBE00D}: NameServer = 62.155.254.208 194.25.2.129 MfG serte Dieser Beitrag wurde am 07.03.2004 um 13:30 Uhr von serte editiert.
|
|
|
||
07.03.2004, 14:18
Moderator
Beiträge: 7805 |
#11
Ihr solltet euch mal die Beschreibungen zu Welchia ansehen und dabei besonders darauf achten, was er wo veraendert und loescht:
http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=welchia&product=0 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.03.2004, 15:42
...neu hier
Themenstarter Beiträge: 4 |
#12
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\PROGRA~1\Serv-U\ServUDaemon.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp3\winampa.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Browser MOUSE\mouse32a.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Muiltmedia keyboard utility\1.3\KbdAp32A.exe C:\Dokumente und Einstellungen\Alpi\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Recherchieren (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{086F87E1-A06E-4C50-9C11-7E58DF462FAE}: NameServer = 145.253.2.142 145.253.2.81 O17 - HKLM\System\CS1\Services\Tcpip\..\{086F87E1-A06E-4C50-9C11-7E58DF462FAE}: NameServer = 145.253.2.142 145.253.2.81 |
|
|
||
08.03.2004, 13:04
...neu hier
Beiträge: 3 |
#13
Hi,habe jetzt bei Microsoft ein Online-Update
gemacht.Hat mir 11 Updates und Sicherheitspatches empfohlen. Habe sie Installiert,jetzt läuft alles wieder. Mfg serte |
|
|
||
12.03.2004, 17:47
...neu hier
Beiträge: 1 |
#14
ich Hab seit 4 wochen den gleichen Wurm...die gleichen Symtome...Den gleichen misserfolg und ca 100 Bords durch bei dennen die gleichen schlauen antworten von denen kommen die ihn noch nicht haben und schlau daher reden!!!
Warum reagierne die teuren Vierenhersteller nicht???Es gibt nur removeall tools die nicht greifen( Ich geh nurnoch mit Linux (da hat sowas keine Chance) online, dh Zocken adee...Es ist zum ausrasten hab soagr die daten der Uhr und das Datum verstellt aber er findet immmerwieder einen Weg...Und die %%&$§"....Grrrrrrr Windows Patches sind ja echt der bringer...nichts geht damit!!Die dreckmister!! Auch die IneternetChache im regeditor gesäubert...hat ganze 4 stunden gedauert bis der Wurm, wieder da war Nachib1 heist er. Windows ist tod!!!!!! |
|
|
||
13.03.2004, 15:36
Member
Beiträge: 17 |
#15
Hi@all
Ich habe das gleiche problem.......Welchia D worm..... Habe mir den wurm auf meine neu installierte festplatte geladen...ö.wie weiß ich selber nicht. Norton läuft bei immer (aktuell) drum ist es mir ein Rätsel wie der zu mir kommen konnte. RAMON: hast du eventuell eine lösung??????????? Das Fixwelch findet nichts.aber der rechner stürzt trodzdem. Norton findet den virus unter svchost.exe. und win[patch]1.exe löschen kann er ihn jedoch nicht. zudem aktiviert er sich bei jedem neustart wieder..... Der ober genannte patch,ist vermutlich jener den der virus selbst öffnet demit er sich verbreiten kannn. ich bin mit meinen latein am ende..............und alle schreien nach DEINER hilfe vielen lieben dank an alle die uns helfen können |
|
|
||
bevor Ihr denkt der kann nicht die Hilfe funktion benutzen mooeeep falsch gedacht hab schon die meissten Threads zu dem Wurm gelesen leider ist irgendwie keine 100 %ige Lösung dabei und da ich Format C:\ verhindern will wende ich mich nochmal vorher an euch.
Also Welchia Wurm wie oben beschrieben kommt Immer wieder hab vorher Kaspersky drauf gehabt der hat den wurm auch erkannt und gab dann beim Löschen nen Fehler. Mit Antivir welches ich danach raufgemacht habe fand er ebenfalls den Wurm und löschte diesen aber er kommt immer wieder. Das Kuriose ist wenn ich die removal Tools von Symantec oder Bitdefender drüberlaufen lassen finden die nichts. Aber der Wurm ist immernoch aktiv. Ich habe jetzt im moment Antivir laufen. Habe sämtliche Webcheck.dlls mit \%system%\ gelöscht trotzdem ist der Virus noch da Habe auch schon wie im Board beschrieben im Safemode gestartet und durchlaufen lassen und entfernen lassen => Gleicher effekt. Was kann ich machen um dieses verschissene ding weg zumachen?
Kerio4 Läuft auch und ich hab bis jetzt nichts verdächtiges festgestellt, Hijackthis hat meines erachtens auch nichts verdächtiges gefunden ich bin wirklich mit meinem Latein am ende.
Systemwiederherstellung habe ich auch schon ausgemacht
Mit sanften grüsse
Alpi