Worm/RBot.99840.7

[japandi]

Hallo,

mein Antivir zeigt mir den Wurm "Worm/RBot.99840.7" an.

Hab keine Ahnung wie ich den wegbekomme und bin auch sonst nicht grade ein Computer-Experte :lach

Vielleicht kann mir ja irgendjemand helfen!?

Hab Windows XP Home Edition drauf (Vorinstaliert)

Grüße, Japandi

 

[anonymum2]

Re: Worm/RBot.99840.7

Hallo japandi

Überprüfe die Schreibweise. Einen Worm/RBot.99840.7 gibt es nicht.

Vielleicht fehlt da eine 32 ?

gruss rolfpower

 

[japandi]

Re: Worm/RBot.99840.7

Hallo rolfpower,

also, hab etrust antivir drauf, und das zeigt in der Meldung genau diesen Namen!?

Hab auch ansonsten keine Probleme, nur immer wieder diese Meldung. Und ich weiss ja nicht was der Wurm im Hintergrund so macht....

 

[japandi]

Re: Worm/RBot.99840.7

....So steht es in der log datei:

31.05.2005,18:24:42 [WARNUNG] Enthält Signatur des Wurmes Worm/RBot.99840.7!
C:\WINDOWS\SYSTEM32\WINREGS327.EXE

 

[japandi]

Re: Worm/RBot.99840.7

Folgender ist jetzt noch dazu gekommen:

01.06.2005,15:36:27 [WARNUNG] Enthält Signatur des Wurmes Worm/RBot.108032.3!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{3C678002-996A-4C4B-A097-FD8B8E8FABC6}\RP41\A0013359.EXE

HILFEEEEEE!!!!

 

[anonymum2]

Re: Worm/RBot.99840.7

Hallo japandi

Die WINREGS327.EXE im System32 Ordner manuell löschen.

Mit einem anderen Virenscanner (Mc Afee)untersuchen. Eigentlich sollte ein Programm ,welches den
Worm erkennt, den auch löschen können.

gruss rolfpower

 

[japandi]

Re: Worm/RBot.99840.7

Hallo nochmal,

vielen Dank schonmal für die Tips!

WINREGS327.EXE lässt sich nicht löschen, der Zugriff wird verweigert.

Außerdem ist noch ein neuer Freund dazu gekommen:

01.06.2005,22:48:18 [WARNUNG] Enthält Signatur des Wurmes Worm/SdBot.89F20E5D!
C:\WINDOWS\SYSTEM32\POPUPBLOCKER611.EXE

Wie gesagt, hab Antivir drauf, weiß auch nicht warum das die Würmer nicht löschen kann???

Werd jetzt erstmal versuchen mir McAfee zu besorgen und dann mal weiter schaun.

Gruß japandi

 

[anonymum2]

Re: Worm/RBot.99840.7

Hi japandi

Check mal online und Setze mal einen HiJackThis-Log zur Auswertung hierhin.

Nach einem Symantec Scan wird auch das entsprechende AV Tool angeboten.

Please, Anmelden or Registrieren to view URLs content!

gruss rolfpower

 

[japandi]

Re: Worm/RBot.99840.7

Hi Rolfpower,

hab, wie Du mir geraten hast, McAfee VirusScan durchlafen lassen. Der hat auch so einiges an Würmern und Trojanern gefunden und jetzt scheint alles sauber zu sein. Hab in diesem Zuge direkt acvh mal ne Firewall installiert, wahrscheinlich nicht die schlechteste Idee :grin:

Hier trotzdem noch die Hijachthis.log:

Logfile of HijackThis v1.99.1
Scan saved at 12:52:40, on 02.06.2005
Platform: Windows XP (WinNT 5.01.2600)

Warum benutzt niemand den Upload ? editiert rolfpower 14:12

Please, Anmelden or Registrieren to view URLs content!

Gruß Japandi

 

[anonymum2]

Re: Worm/RBot.99840.7

Hi japandi

Benutze demnächst für die langen Tapetenrollen den "Upload"

Die 2 Fixen:
O4 - HKLM\..\Run: [Microsoft Windows Updata] scvhost.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updata] scvhost.exe

gruss rolfpower

 

[japandi]

Re: Worm/RBot.99840.7

Hallo Rolfpower,

sorry, werde demnächst den Upload benutzen :grin:

Hab die beiden gefixt.

Hab dann entdeckt dass im Systemstart (MsConfig) noch eine deaktivierte scvhost.exe ist.
Soll ich damit noch irgendwas machen?

Und ist es sinnvoll automatische Windows-Updates zu deaktivieren?
Und sollte ich mir service-Pack 2 runterladen?

Fragen über Fragen.... ich hoffe ich nerve nicht!!

Grüße japandi

 

[anonymum2]

Re: Worm/RBot.99840.7

Hallo japandi

Du nervst überhaupt nicht- im Gegenteil.

Die svchost ist mehrmals vorhanden und eine wichtige Ausführungsdatei, die nicht gelöscht werden darf.
Trojaner und Würmer tarnen sich mit veränderter Schreibweise soe wie hier : scvhost

und muss dringend manuell gelöscht werden. Also; ran an den Feind

gruss rolfpower

 

[japandi]

Re: Worm/RBot.99840.7

Hallo, da bin ich aber beruhigt und kann ja munter weiter fragen :lach

Also die exe im Systemstart heißt scvhost, ist also wenn ich Dich richtig verstanden hab böse!?
Nun kann ich aber den Pfad nicht finden und auch der Suchassistent findet keine solche Datei.

Soll ich die scvhost.exe im Systemstart wieder aktivieren und dann noch mal mit highjackthis scannen und dann fixen?

Und wie siehts mit Windows auto-updates aus. Ich glaub mein xp-anti-spy hat die ausgeschaltet und McAfee sagt ich sollte die besser wieder aktivieren!?

Gruß japandi

 

[anonymum2]

Re: Worm/RBot.99840.7

Hi japandi

Windows Updates solltest Du im AntiSpy aktivieren ,sonnst könntest Du ein wichtiges SP(Sicherheitspatch verpassen.

Svchost.exe ist im C:/Windows/System32/svchost.exe. Sollte sie anders geschrieben sein;
löschen.

rolfpower

 

[japandi]

Re: Worm/RBot.99840.7

Hallo Rolfpower,

scvhost.exe war nicht im system32 ordner, ist aber in der highjackthis logfile aufgetaucht. Habs dann gefixt und jetzt scheint alles wieder in Ordnung zu sein.

Vielen Dank für Deine Unterstützung, hab euer Forum auf der Suche nach dem ominösen Wurm entdeckt un dbin echt begeistert!!!

Zuguterletzt noch eine Frage:

hab Sp2 installiert und nach dem Neustart hat McAfee hat die Firewall vom Windows-security-center deaktiviert, mit der Begründung, 2 Firewalls würden nur die Fehlermeldungen verdoppeln.

Ist es ratsamer die McAfee Firewall als Standart laufen zu lassen oder das Windows-Security-Center?

Grüße japandi

 

[anonymum2]

Re: Worm/RBot.99840.7

Hallo japandi

Grundsätzlich stimmt es , mit den 2 Firewall's, so auch mit AntVirenGuard's.

Deaktiviere die XP- Firwall und arbeite mit Mc Afee. Die XP FW habe ich 6 Monate getestet und festgestellt,dass die Windows Firewall sehr brüchig ist.

Es freut mich,dass Du Dich als NewUser hier wohlfühlst .

gruss rolfpower

 

[Hecki58]

Re: Worm/RBot.99840.7

Hallo Rolfpower,da bist du nicht der einzige.Ich habe statt Mc Afree (ist egal) Sygate installiert ,Antivir PE, dazu noch Spybot-Search and Destroy und seit langer Zeit keine Probleme

HECKI