Hallo, ihr Spezialisten
Laut Virenlexikon (http://www.sophos.de/virusinfo/analyses/w32agobotev.html) ist das ein Wurm.
Ich habe mal Hijack-This (v1.98) drüber laufen lassen und erfahren, das regsvc32.exe "Böse" ist.So weit, so gut.Nur lässt sich das Ding nicht Entfernen.
Es schreibt sich immer wieder in die Registry, und unter C:\WINDOWS\system32 ist es nicht löschbar.
Nun wollte ich wissen wie man den Wurm,wenn's denn einer ist, löscht???

mfG

Hast du es schon im abgesicherten Modus (F8 beim Startvorgang) versucht?

1. Virenscanner ausführen & alle Dateien überprüfen lassen ;)

2. Start -> Ausführen -> regedit eingeben&bestätigen.
Nach "regsvc32.exe" suchen und alle Verknüpfungen zu besagter Datei löschen, wenn sie infiziert ist.

3. Wenn diese nicht in Verwendung ist -> löschen.
Sollte diese in Verwendung sein, solltest du jetzt neu starten und wieder den abgesicherten Modus laden. Jetzt sollte die Datei löschbar sein, wenn sie sich nicht wieder automatisch in die Registry eingetragen hat.

4. Sollte das der Fall sein: Alle Registry-Verknüpfungen zu dieser Datei löschen und eine bootfähige Diskette/CD (für FAT32/NTFS) erstellen.
Von dieser Diskette/CD booten und die Datei in DOS löschen.

Wenn die Verknüpfungen in der Registry vorher gelöscht wurden, sollte die Datei jetzt weg sein.

Beachten sollte man auf jeden Fall folgendes: Manche Viren legen "Kopien" von sich selber in irgendeinem anderen Ordner ab.
Es wäre wichtig zu wissen, ob es mehr als eine Datei mit dem Namen "regsvc32.exe" gibt - hierbei sollte der Virenscanner (auch im abgesicherten Modus) helfen können.

Das hört sich ja richtig nach Arbeit an ;)
Werde es mal versuchen.Danke schon mal.

mfG

Theoretisch ist das eine Sache von 5 Minuten, wenn man die richtigen Hilfsmittel zur Hand hat ;)

... Diese Viren/Trojaner/Würmer gibt es oft. Die Vorgehensweise ist fast immer die gleiche.

Eine bootfähige Diskette/CD für FAT32/NTFS (einmalig erstellt) kann wunder bewirken. Unter DOS werden diese Schädlinge nämlich überhaupt nicht geladen und lassen sich so einfach löschen.


In Zukunft sollte niemand mehr als Adminstrator arbeiten ;)
Wenn man ein Benutzerkonto hat, kann der Virus sich nicht ausbreiten, da alle wichtigen Systemdateien gesperrt sind.
Außerdem befällt er dann nur das "Benutzerkonto" - nicht jedoch das Konto des "Administrators". Das macht das entfernen noch leichter, da dann alle Windows-Funktionen uneingeschränkt zur Verfügung stehen.

Hat geklappt, im abgesicherten Modus war alles löschbar.
Man muss halt nur wissen wie's geht :idea:
Danke noch mal, für die Lektion.

mfG