so ich habe ein problem mit ein wurm habe ihn schön gefunden mit gdata von aol aber wie bekomme ich den wieder weg kann ich nicht entfernen der wurm heist worm.win32.welchia.h

http://board.protecus.de/showtopic.php?threadid=9391

Von dieser Seite laedst du das Tool HijackThis
scannst (nichts fixen !!!!) , kopierst alles was erscheint und kopierst es ins Forum.
So wie du es bei anderen im Sicherheits-Forenteil siehst.
Du schickst mir mit diesem Log alles , was so auf deinem Comp ist. und ich kann dir helfen.

wenn nicht heute...dann morgen...
MfG
Nikita


http://www.zdnet.de/downloads/programs/ ... EA-wc.html

Logfile of HijackThis v1.97.7
Scan saved at 10:53:23, on 03.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\AIM95\aim.exe
C:\Programme\SMSChat\SMSChat.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Dokumente und Einstellungen\Andre und Denise\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe
C:\Dokumente und Einstellungen\Andre und Denise\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2851388889
O17 - HKLM\System\CCS\Services\Tcpip\..\{F281F8BC-7532-47AE-A869-69262A8563A8}: NameServer = 195.93.70.134

Du hast den Sasser-Wurm

1. deaktiviere die Wiederherstellung (nach der Reinigung wieder aktivieren)
http://service1.symantec.com/SUPPORT/IN ... 7105707924


fixe mit dem Hijacker folgendes und dann starte den Comp . neu .....
dann beim Hochfahren in den abgesicherten Modus gehen (F8 druecken)

O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe



-----------------------------------------------------------------------------------
Um den Virus von Hand zu entfernen, in den abgesicherten Modus gehen . Drücke die F8-Taste bevor das Bootlogo von Windows erscheint und wähle die Option 'Abgesicherter Modus'. Lösche folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehe auf Start und wähle 'Ausführen'. Gebe im angezeigten Fenster 'regedit' ein und lösche folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe

Starte den Computer neu und anschließend den Suchlauf von AntiVir.

http://www.free-av.com/
-----------------------------------------------------------------------------------------------------------
oder du laedst das Removaltool von Symantec von dieser Site:
http://securityresponse.symantec.com/av ... .tool.html


Du musst unbedingt alle WindowUpdates ausfuehre und so die SicherheitsPatch von Microsoft laden, sonst hast du den Wurm gleich wieder drauf

Start<Programme<WindowsUpdate

Wenn du noch keine Firewall hast...lade diese
http://smb.sygate.com/products/spf_standard.htm


MfG
Nikita

so habe alle gemacht so wie du das oben beschrieben hast,
und finde die einträge nicht die ich löschen soll.
habe auch ein onlin vieren scannig durchgeführt aber hatte auch nur den gezeigt den ich oben gesagt habe

Mach mal folgendes:

Start<Ausfuehren<msconfig reinschreiben < Systemstart nimm das Haeckchen vor avserve.exe raus.

neustarten

Dann Du musst im Exporer unter EXtras/Ordneroptionen/Ansicht/Versteckte Dateien und Ordner "Alle Dateien und Ordner anzeigen"


Mit Hilfe der Suchfunktion findest und loescht du diese exe.
---------------------------------------------------------------------------------------
Dann Start<Ausfuehren <regedit reinschreiben
Es oeffnet sich die Registry

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Dort muesste auf der rechten Seite avserve.exe stehen
loesche diese exe.

Dann scannst du noch einmal im abgesicherten Modus(F8 beim Hochfahren druecken)
mit dem Antivir.
http://www.free-av.com/

Poste mal, ob das Problem dann behoben ist.


-----------------------------------------------------------------------------------

Entfernungstool fuer den Welchia


http://www.zdnet.de/downloads/programs/ ... EA-wc.html
MfG
Nikita

Ich habe auch den Welchia.H wurm

C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*\

Dort erstellen sich Dateien mit svchost.exe und so!
Antivir erkennt und löscht den Wurm zwar, aber er kommt trotzdem immer wieder. in msconfig und regedit/run ist nichts

*update:

Seit paar Minuten wird AntiVir immer fündiger...

update12.js : Java-Scriptvirus JS/Startpage.gen
u070104.exe : Trojanisches Pferd TR/Small.EP.3
tmksrvu.exe : Trojanisches Pferd TR/Small.EP.2

was soll der *lol* denn.. warum krieg immer ich die würmer und andere nicht :<

http://board.protecus.de/showtopic.php?threadid=9391
Lade das hijackThis, scanne, save und dann kopiere das Log ins Forum.
So kann ich dir helfen, den Comp. sauber zu bekommen
..........................................................................................................
Tip
Loesche unter InternetOptionen die TemporaryInternetFiles

scanne dann mit dem Antivir. im abgesicherten Modus...F8 beim Hochfahren druecken.

normal hochfahren

Lade den Stinger
http://www.zdnet.de/downloads/programs/ ... is-wc.html

MfG
Nikita