W32.Welchia.B.Worm kommt immer wieder

[pSYCHo bYT3]

ich habe alle von symantec empfolenen MS patche bei mir installiert.
trotzedem erscheinen immer noch nach ca. 1-4std. laufendem system + inet 3 aufeinander folgende "threat-alerts" die mich auf den wurm hinweisen. scheinbar löscht norton diese denn ich konnte nach den meldungen sowhl mit einem intensiv check mit norton als auch mit dem von symantec angebotenen entfernungs tool als auch mit stinger nichts mehr finden...

Kann mir da irgendjemand weiterhelfen?



@rene [zitat] "...auch mit stinger nichts mehr finden..." [ziat]

 

[René]

https://www.computerbase.de/downloads/sicherheit/antimalware/mcafee-labs-stinger/

 

[DjDIN0]

Sicherheitshalber im Tool unter "Preferences" die Otpion rechts unten "Scan all Files" aktivieren.Sollte er eine infizierte Datei nicht löschen können führe den Scanvorgang nochmal im abgesicherten Modus aus (=PC neu starten und dann F8 drücken) Wenn du mit Norton AV rangehst mach ein Online-Virensignaturupdate (LiveUpdate) und aktivier - da gründlicher - in Norton die Option alle Datein zu scannen : http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/gdocid/20020212133004905
WICHTIG : Solltest zum Zeitpunkt als du den Virus hast einen Systemsicherungspunkt per WinXP-Systemwiederherstellung gemacht haben solltest du den Festplattenordner leeren in welchen WinXP Wiederherstellungspunkte+Daten speichert weil der Virus da sonst unter Umständen mitgespeichert wurde. Sonst kommt der Virus wieder.Löscht du per Mausrechtsklick auf Arbeitsplatz->Eigenschaften->Systemwiederherstellung->"Systemwiederherstellung auf allen Laufwerken deaktivieren" markieren (das löscht sämtliche Wiederherstellungspunkte sammt Daten) - dann erst die Virusentfernung starten, kannst du nach nachher ja wieder aktivieren.

W32.Welchia.B-Entfernungsanleitung von Symantec :

1. Disable System Restore(=Systemwiederherstellung deaktivieren) (Windows XP). 
2. Update the virus definitions.(=NAV-LiveUpate machen) 
3. Restart the computer in Safe mode or VGA mode.
(=PC im [URL=http://support.microsoft.com/default.aspx?scid=kb;DE;315222][u]abgesicherten Modus[/u][/URL] starten) 
4. Run a full system scan and delete all the files detected as W32.Welchia.B.Worm. 
(=alle Partitionen und alle Dateitypen scannen)
Quelle : [url]http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html[/url]

 

[pSYCHo bYT3]

wiederhestellung hab ich immer aus, die intensieve suche ist bei mir auch immer an, die definitionen sind aktuell gewesen. er erkennt ja auch den virus ja auch und vernichtet ihn aber scheinbar kommt er von außen wieder in mein system (ähnlich dem mblaster-wurm)

 

[DjDIN0]

Symantec - W32.Welchia.B-Entferntool / abgesicherter Modus

Hast du auch diesen Punkt vor der Virusentfernung beachtet ? :
3. Restart the computer in Safe mode or VGA mode.
(=PC im abgesicherten Modus starten)


Symantec bietet auch ein W32.Welchia.B-Entferntool an, vermutlich weil Norton AV es derzeit noch nicht ganz beseitigen kann, Download :
http://www.symantec.com/avcenter/FixWelch.exe

Anleitung :

1.Download the FixWelch.exe file from: [url]http://www.symantec.com/avcenter/FixWelch.exe[/url]. 
2.Save the file to a convenient location, such as your downloads 
folder or the Windows desktop (or removable media known to be uninfected). 
3.To check the authenticity of the digital signature, refer to the 
"Digital signature" section later in this writeup. 
4.Close all the running programs before running the tool. 
5.If you are on a network or you have a full-time connection 
to the Internet, disconnect the computer from the network and the Internet.
[b](=PC vorher vom INET trennen!)[/b] 
6.If you are running Windows Me or XP, then disable System Restore. 
Refer to the "System Restore option in Windows Me/XP" section later in 
this writeup for further details.
Quelle : [url]http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.removal.tool.html[/url]

Symantec schreibt das möglicherweise nicht alle infizierte Datein entfernt werden können sollte das Tool nicht im abgesicherten Modus ausgeführt werden : "If the tool fails to run as expected or it reports that it was not able to remove all the files or end all the processes, run the tool again in Safe mode" - also mach es gleich besser in diesem Modus und der PC sollte vorher vom INET getrennt werden.

Edit : Symantec bietet für HIDS-nutzer ein zusätzliches Update an welches nötig ist zur Abwehr gegen W32.Welchia.B.Worm, W32.Welchia.C.Worm und W32.Beagle.B@mm : Symantec Host IDS 4.1.1 Security Update 3
Edit 2 : Alle von Symantec empfohlenen WinXP-Microsoft-Patches damit der Wurm und ähnliche nicht wieder kommen :
http://www.microsoft.com/downloads/...FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
http://www.microsoft.com/downloads/...FamilyID=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA
http://www.microsoft.com/downloads/...FamilyID=84FC577D-F2D5-47B8-AB98-77BA7501B00B
http://www.microsoft.com/downloads/...FamilyID=F02DA309-4B0A-4438-A0B9-5B67414C3833
http://www.microsoft.com/downloads/...FamilyID=DF24197E-6217-4ABD-A244-0A53320B2813

Wird ja immer lustiger

 

[pSYCHo bYT3]

norton und das symantec remove tool liefen beide unter dem abgesicherten (vergas ich zu erwähnen)


diese patches hab ich wie gesagt schon alle drauf.