Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Nachi.b und svchost.exe (https://www.trojaner-board.de/1138-nachi-b-svchost-exe.html)

nachi_b 02.03.2004 14:31
hallo,

vor ca. 2 wochen hat mein pc-cillin bei mir den wurm nachi.b entdeckt, in:

C:\WINDOWS\System32\drivers\svchost.exe
und
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9WHIR4p4\WksPatch[1].exe

danach hab ich mein komplettes system gescannt und ihn nochmal unter gleichen adressen erwischt.
quarantäne und dann gelöscht.
dann hab ich mir bei trendmicro das removal tool geholt und das drüberlaufen lassen, mit window washer alle temporären datein gelöscht (incl. recycle bin) und mein system neu gestartet.

danach wieder das system gescannt (mit der neuesten patternfile von trendmicro) und alles schien sauber.

seit ca. 3 tagen hab ich ihn aber schon wieder. zumindest scheint es so, denn:

immer wenn ich meinen browser öffne kommt kurz danach eine meldung meiner firewall (zoneAlarm), dass die datei scvhost.exe ins internet will. so,
wenn ich es zulasse passiert folgendes:

wenn ich über ein programm (zB photoshop) eine datei öffnen will hängt sich das prog auf. genau so wenn ich bei einer email einen anhang dranmachen will -> der browser hängt sich auf.
und das schlimmste: der taskmgr wird nur unten rechts angezeigt, ich kann aber nichts machen, weil das fenster nicht kommt!!

wenn ich den svchost.exe nicht ins netz lasse, wird das ganze system lahm und der browser baut keine seiten mehr auf.


was tun?


vielen dank für die geduld wenn du bis hier gelesen hast!!!!


leo

Who Cares 02.03.2004 17:24
</font><blockquote>Zitat:</font><hr />Original erstellt von nachi_b:


1) dass die datei scvhost.exe ins internet will.
2) wenn ich den svchost.exe nicht ins netz lasse, </font>[/QUOTE]1) & 2) sind 2 verschiedenen Dinge, oder war das nur ein schbreibfehler ?

1) ist böse
2) kann gut oder böse sein, je nach dem, wo es steht (Pfad)

benutze Removal-Tools gegen Nachi von symantec und bitdefender & mache alle Windowsupdates!!

Dann im Board/auf og. Seiten über NACHI nachlesen, da steht alles weitere wichtige
;)

nachi_b 02.03.2004 17:45
ooops war nur ein schreibfehler!

muss beidemale "svchost.exe" heissen.

hab grad den stinger am durchlaufen und der sagt:

"Found the Exploit-DcomRpc.gen virus!!!"

jeweils auch svchost.exe und WksPatch[1].exe an o.g. orten! und er löscht sie dann auch beide.

aber so geht das auch mit pc cillin.
die foren hab ich schon durchgeschaut und auch alles gemacht, soweit ich dass beurteilen kann. aber irgendwie sie die beiden dateien immer wieder da!!

Who Cares 02.03.2004 19:48
</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares:
& mache alle Windowsupdates!!

Dann im Board/auf og. Seiten über NACHI nachlesen, da steht alles weitere wichtige
;) </font>[/QUOTE]


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131