Wurm Welchia geht einfach nicht weg

#1 Servus,

bevor Ihr denkt der kann nicht die Hilfe funktion benutzen mooeeep falsch gedacht hab schon die meissten Threads zu dem Wurm gelesen leider ist irgendwie keine 100 %ige Lösung dabei und da ich Format C:\ verhindern will wende ich mich nochmal vorher an euch.

Also Welchia Wurm wie oben beschrieben kommt Immer wieder hab vorher Kaspersky drauf gehabt der hat den wurm auch erkannt und gab dann beim Löschen nen Fehler. Mit Antivir welches ich danach raufgemacht habe fand er ebenfalls den Wurm und löschte diesen aber er kommt immer wieder. Das Kuriose ist wenn ich die removal Tools von Symantec oder Bitdefender drüberlaufen lassen finden die nichts. Aber der Wurm ist immernoch aktiv. Ich habe jetzt im moment Antivir laufen. Habe sämtliche Webcheck.dlls mit \%system%\ gelöscht trotzdem ist der Virus noch da Habe auch schon wie im Board beschrieben im Safemode gestartet und durchlaufen lassen und entfernen lassen => Gleicher effekt. Was kann ich machen um dieses verschissene ding weg zumachen?

Kerio4 Läuft auch und ich hab bis jetzt nichts verdächtiges festgestellt, Hijackthis hat meines erachtens auch nichts verdächtiges gefunden ich bin wirklich mit meinem Latein am ende.
Systemwiederherstellung habe ich auch schon ausgemacht
Mit sanften grüsse

Alpi

#2 Hallo,kannst du mir mal beschreiben wie die Auswirkungen des Wurms sind.

Habe ihn auch und das selbe Problem wie du,bekomme ihn einfach nicht weg.

Mfg serte

#3 Wo wird denn der Wurm gemeldet? In welchem Ordner und mit welchem Dateinamen?
__________
MfG Ralf
SEO-Spam Hunter

#4 Bei mir äussert sich der Virus so ich starte den PC ganz normal und dann funktioniert auf einmal der IE nicht mehr kein Task Manager usw.


Virus taucht einmal im system32 Ordner als SVchost.exe
und als WKSPATCH in irgendeinen Temp IE Files auf und ich kriege dieses verfi**te teil nicht weg ich experimentiere nun schon seit 2 Wochen. Aber nun bin ich mit meinem Latein am ende

#5 Moin,

mach's einfach so wie ich es ebenfalls vor ein paar Stunden gemacht hab - Windows neuinstallieren! ^^

Is gar nicht so schlimm wie man vorher meint, im Gegenteil, wenn man die ganze Sache erstmal durchgestanden hat ist man teilweise sogar extrem glücklich, weil man denkt das man seinem System nach zig Monaten mal wieder etwas Gutes getan hat... dieses Gefühl verfliegt allerdings wieder ziemlich schnell, sobald Win nach Neuinstallation und 2-3 weiteren Neustarts die erste Fehlermeldung als Willkommenstext auf den Bildschirm "zaubert" :-D

Aber mal im Ernst, in den 2 Wochen hättest Du bestimmt schon 100x Windows neuinstallieren können...

Alles Gute & Gesundheit
S2kde

#6 SVCHOST im System32 Ordner ist eine Systemdatei!

Dieser Cleaner sollte den Virus entfernen koennen. Dazu am besten im abgesichertn Modus starten, damit euer aktiver Virenscanner da nicht quer schiesst! http://www.symantec.com/avcenter/FixWelch.exe

Wenn ihr euer System nicht via www.windowsupdate.com aktualisiert, bekommt ihr ihn imer wieder! Im Zweifelsfalle die Windowsfirewall aktivieren, bevor ihr nach der Reinigung wieder ins Internet geht!
__________
MfG Ralf
SEO-Spam Hunter

#7 Ich hatte bereits oben schon geschrieben das ich so ziemlich alle Removal Tools hab drüber laufen lassen die finden aber leider gottes nichts.

Das Problem ist das ich im moment kein bock auf Datensicherung habe und deswegen will ich halt das FOrmat C:\ verzichten. Also hat noch jemand ne andere Idee??

#8 Poste mal ein Hijackthis Log.
Und deaktiviere die Systemwiederherstellung.
MFG
DAFRA

#9 Was heisst hier "kein bock auf Datensicherung"?

Dann nimmst Du halt nen Tool wie z.B. PartitionMagic und schneidest die bereits vorhandene Partition in zwei Teile. Dem neu erstellten Teil drückst Du etwa 3GB freien Speicherplatz von der alten Partition ab, danach konfigurierst Du die neue Partition als aktive Partition (Boot-Partition). Dann machsten Reset, installierst Windows neu und wenn in Windows wieder alles halbwegs hergerichtet ist, fügst Du die beiden Parts mittels PartitionMagic wieder zusammen (oder auch nicht) und siehe da: Du besitzt wieder ein sauberes OS und bist happy bis an Dein Lebensende, weil Du keinen einzigen Rohling dafür verschwenden musstest und Deine Daten trotzdem noch erhalten sind :o) <- Nachtrag: .... falls Du nichts verkehrt machst! ^^

Naja, könnte in der Praxis u.U. zwar etwas komplizierter sein als ich's jetzt dargestellt hab, aber Du hast ja nach weiteren Ideen gefragt... ansonsten kann ich Dir leider nicht weiterhelfen... sorry!

MfG
S2k

#10 @Alpinch3n,
Das gleiche Problem habe ich auch.IE kann keine Bilder oder Dateien speichern.
Taskmanager funktioniert nicht mehr.Systemsteuerung (Software unsw. funzt auch nicht).Alle Tools drüberlaufen lassen kein Erfolg.
Patches von Microsoft draufgespielt auch kein Erfolg.

Hier ist noch mein Logfile:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Tools\NetLimiter\NetLimiter.exe
D:\Programme\JavaSE1.4.2\bin\jusched.exe
D:\Tools\Antivir\AVGUARD.EXE
D:\Tools\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\javaw.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Tools\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 203.115.204.133:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\Tools\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Tools\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NetLimiter] D:\Tools\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [AVGCtrl] D:\Tools\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\JavaSE1.4.2\bin\jusched.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Tools\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - D:\Tools\FlashGet\jc_link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://www.webgateinc.com/wizard/control/10135/wg_webeye.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{485A5197-311F-459B-A19E-5812F5DBE00D}: NameServer = 62.155.254.208 194.25.2.129


MfG serte

#11 Ihr solltet euch mal die Beschreibungen zu Welchia ansehen und dabei besonders darauf achten, was er wo veraendert und loescht:
http://www.virusbtn.com/resources/vgrep/vgrep.cgi?terms=welchia&product=0
__________
MfG Ralf
SEO-Spam Hunter

#12 C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\PROGRA~1\Serv-U\ServUDaemon.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Muiltmedia keyboard utility\1.3\KbdAp32A.exe
C:\Dokumente und Einstellungen\Alpi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{086F87E1-A06E-4C50-9C11-7E58DF462FAE}: NameServer = 145.253.2.142 145.253.2.81
O17 - HKLM\System\CS1\Services\Tcpip\..\{086F87E1-A06E-4C50-9C11-7E58DF462FAE}: NameServer = 145.253.2.142 145.253.2.81

#13 Hi,habe jetzt bei Microsoft ein Online-Update
gemacht.Hat mir 11 Updates und Sicherheitspatches empfohlen.
Habe sie Installiert,jetzt läuft alles wieder.

Mfg serte

#14 ich Hab seit 4 wochen den gleichen Wurm...die gleichen Symtome...Den gleichen misserfolg und ca 100 Bords durch bei dennen die gleichen schlauen antworten von denen kommen die ihn noch nicht haben und schlau daher reden!!!
Warum reagierne die teuren Vierenhersteller nicht???Es gibt nur removeall tools die nicht greifen(
Ich geh nurnoch mit Linux (da hat sowas keine Chance) online, dh Zocken adee...Es ist zum ausrasten hab soagr die daten der Uhr und das Datum verstellt aber er findet immmerwieder einen Weg...Und die %%&$§"....Grrrrrrr
Windows Patches sind ja echt der bringer...nichts geht damit!!Die dreckmister!!
Auch die IneternetChache im regeditor gesäubert...hat ganze 4 stunden gedauert bis der Wurm, wieder da war Nachib1 heist er.
Windows ist tod!!!!!!

#15 Hi@all

Ich habe das gleiche problem.......Welchia D worm.....
Habe mir den wurm auf meine neu installierte festplatte geladen...ö.wie weiß ich selber nicht.
Norton läuft bei immer (aktuell) drum ist es mir ein Rätsel wie der zu mir kommen konnte.

RAMON: hast du eventuell eine lösung???????????

Das Fixwelch findet nichts.aber der rechner stürzt trodzdem.

Norton findet den virus unter svchost.exe. und
win[patch]1.exe

löschen kann er ihn jedoch nicht.
zudem aktiviert er sich bei jedem neustart wieder.....
Der ober genannte patch,ist vermutlich jener den der virus selbst öffnet demit er sich verbreiten kannn.
ich bin mit meinen latein am ende..............und alle schreien nach DEINER hilfe


vielen lieben dank an alle die uns helfen können