Realsched + W32Agobot.ATV



Neuges
07-09-2005, 10:49 PM
Hallo!
Wir haben WinXP und ServicePack2 samt integrierter Firewall und den neuesten
e-Trust Antivirus und doch gibt es einen Schädling im Netz. Ein File mit
Namen realsched.exe und testfile erscheinen immer auf der Partition E:
Die Files lassen sich nicht löschen, ich formatiere die Partition, gleich
darauf taucht er wieder auf irgendeiner Partition auf. eTrust findet immer
wieder als infizierte Datei mit dem W32Agobot.ATV Wurm, bereinigt das
realsched.exe file und der Kreislauf tritt neu auf: Realsched taucht
irgendwo im Netz auf, wird bereinigt und taucht wieder infiziert auf, wird
bereinigt, etc.
Das kann es wohl nicht sein, dass eTrust inzwischen 600e infizierte Dateien
gefunden und bereingt hat.
Weiss wer Hilfe??
Neuges

David H. Lipman
07-09-2005, 10:49 PM
From: "Neuges" <NO@networld.at>

| Hallo!
| Wir haben WinXP und ServicePack2 samt integrierter Firewall und den neuesten
| e-Trust Antivirus und doch gibt es einen Schädling im Netz. Ein File mit
| Namen realsched.exe und testfile erscheinen immer auf der Partition E:
| Die Files lassen sich nicht löschen, ich formatiere die Partition, gleich
| darauf taucht er wieder auf irgendeiner Partition auf. eTrust findet immer
| wieder als infizierte Datei mit dem W32Agobot.ATV Wurm, bereinigt das
| realsched.exe file und der Kreislauf tritt neu auf: Realsched taucht
| irgendwo im Netz auf, wird bereinigt und taucht wieder infiziert auf, wird
| bereinigt, etc.
| Das kann es wohl nicht sein, dass eTrust inzwischen 600e infizierte Dateien
| gefunden und bereingt hat.
| Weiss wer Hilfe??
| Neuges
|

Dump the contents of the IE Temporary Internet Folder cache (TIF)
Start --> Settings --> Control Panel --> Internet Options --> Delete Files

Dump the contents of the Mozilla FireFox Cache { if you use FireFox }
Tools --> Options --> Privacy --> Cache --> Clear


Download CLEAN.EXE from the URL --
http://www.ik-cs.com/programs/virtools/clean.exe

It is a self-extracting ZIP file that contains the Kixtart Script Interpreter
{ http://kixtart.org Kixtart is CareWare } three batch files, two Kixtart scripts, two Link
(.lnk) files and a PDF instruction file.

GETFILES.BAT -- For downloading (FTP) the files needed to run the McAfee Command Line
Scanner. You may have to disable your FireWall or allow FTP.EXE to go through your FireWall
to allow the FTP utility to download the needed files

CLEAN.BAT -- For running within Windows after running c:\mcafee\GetFiles.BAT. If you choose
to scan again at a future date, run this batch file. It will automatically check the date
of the McAfee DAT files and if it is a couple of days old, it will download (FTP) the latest
signature files and install them before performing the scan.

DOSCLEAN.BAT -- For use on a Win9x/ME PC or on a Win2K/WinXP PC that is using FAT32 after
you have booted from an Emergency Boot Disk or DOS disk and have already executed;
c:\mcafee\GetFiles.BAT from within Windows. DOS disk boot images can be obtained from;
http://www.bootdisk.com/bootdisk.htm

I need you to perform the following...

Execute; CLEAN.EXE
Choose; Unzip
Choose; Close

Execute; c:\mcafee\GetFiles.BAT
{ or Double-click on 'GetFiles Link' in c:\mcafee }

Reboot the PC into Safe Mode [F8 key during boot]

Shutdown as many applications as possible !
It would also help for you to read - "How to perform a clean boot in Windows XP"
http://support.microsoft.com/kb/310353

Execute; c:\mcafee\CLEAN.BAT
{ or Double-click on 'Clean Link' in c:\mcafee }

A final report in HTML format called C:\mcafee\ScanReport.HTML will be generated. At the
end of the scan, it will be displayed in your browser (Opera, FireFox or Internet Explorer).
It is suggested that you move the report out of c:\mcafee before performing another scan.
It would be a good idea to scan in Safe Mode and in Normal Mode and save a copy of the HTML
report for each session.


* * * Please report back your results * * *



--
Dave
http://www.claymania.com/removal-trojan-adware.html
http://www.ik-cs.com/got-a-virus.htm

Neuges
07-09-2005, 10:49 PM
"David H. Lipman" <DLipman~nospam~@Verizon.Net> schrieb im Newsbeitrag
news:%23bAmZktZFHA.2520@TK2MSFTNGP09.phx.gbl...
> From: "Neuges" <NO@networld.at>
> I need you to perform the following...
>

Eine der wenigen konkreten Vorschläge, sonst empfiehlt man nur, alle PCs neu
zu formatieren.
Danke vorerst, ich bin noch am versuchen.

neuges


Realsched + W32Agobot.ATV