Gaobot.Al Virus!!!!!

Re(4): bitte auch um Hilfe!!!!! Gabeot

snakebite — Thu, 06 Nov 2003 20:36:33 GMT

Probier mal den Stinger

http://vil.nai.com/vil/stinger/

Re(3): bitte auch um Hilfe!!!!! Gabeot

scientifical_madness — Wed, 05 Nov 2003 22:27:32 GMT

ps: W32.Blaster.Worm Removal Tool von symantec findet auch nix ....

Re(2): bitte auch um Hilfe!!!!! Gabeot

scientifical_madness — Wed, 05 Nov 2003 21:55:20 GMT

grüß euch !

tjaaaaaaaaaaa,gestern hab ich kurz die firewall runtergemacht...voi lá !

hab die selben symptome festgestellt,wie sie meine schwester auf ihrem rechner hatte. bei ihr hat antivir den goabot.al festgestellt und mehrmals gelöscht,wegbekommen hab ich ihn aber von ihrem system noch nicht wirklich...

da ich den selben dreck seit gestern auch zu haben scheine (zumindest den symptomen und der msg vorm runterfahren nach, weder antivir noch norton av haben auf meinem system einen gaobot gefunden obwohl ich bei den prozessen IEXPLORE.EXE und gleichzeitig ein paar mal SVCHOST.EXE laufen hab )
muss ich mich jetzt intensiver damit auseinander setzen .

hab mir natürlich erstmal die oben geposteten msg bzw links durchgesehen, in der annahme das problem doch recht flott mit den tips/anleitungen lösen zu können...

klarer fall von denkste hehe

um es für euch leichter nachvollziehbar zu machen hier meine vorgehensweiße:

1)gestern wurmbefall bemerkt,mit antivir gescannt,one erfolg
2)gleich norton av trial gezogen,update der vir.def , scan ---> wieder nix
3)heute laufende prozesse angschaut , neuerlich gescannt,findet der norton doch glatt msblaster.exe--> DELETE (ohne murren)-->neustart-->prozesse immer noch am laufen
4)über google auf das thema hier gestoßen und mich schlau(er) gemacht
5)da systemwiederherstellung sowieso auf allen laufwerken deaktiviert war/is,hab ich zusätzlich den dienst in der verwaltung deaktiviert,da auch vom taskmanager irgendwo die rede is,diesen dienst auch gleich mit deaktiviert
6)meine registry nach den von symantec und mcafee angegeben einträgen gecheckt --> alle iexplor.exe -  und svchost.exe - einträge ausfindig gemacht und gelöscht und gleich danach den MS03-039 patch installiert
7)versucht,alle entsprechenden prozesse zu killen--> kein problem mit IEXPLORE.EXE aber svchost.exe is a bitch!lol sobald ich einen der laufenden svchost.exe prozesse beende,kommt die geile msg : "system wird heruntergefahren,ausgelößt von NTAUTORITÄT/SYSTEM da remoteprozeduraufruf (RPC) unerwartet beendet wurde"
8)ich stop den counter bzw das ereigniß mit ausführen-->"shutdown -a" um in ruhe weitermachen zu können ohne das der pc neustartet
9)nochmal die reg. gecheckt,wieder ein paar der netten einträge vorhanden und gelöscht AUSSER HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices "Config Loader" =  SCVHOST.EXE
diesen eintrag gibts bei mir in der registry komischerweise gar nicht !
10)zusätzlich irgendeine svc60.dll (oder so ähnlich) gelöscht,weil irgendwo geschrieben steht, die dll is nötig damit der wurm starten kann,löschen verhindert den start

LANGSAM REGT SICH IN MIR DER VERDACHT,DASS ICH ES MIT MEHR ALS EINEM WURM ZU TUN HABE!?

11)neustart um im abgesicherten um die svchost.exe aus system32 zu löschen, GEHT NED ....aaaaaarg
12) win normal geladen,um nochmal zu versuchen,wieder einträge in der reg --> löschen,versuch proz zu stoppen,shutdown -a (nur aus prinzip,damit ich meinen rechner selber neustarten kann und das ned der wurm macht lol)

naja,ab da befind ich mich in einer endlosschleife .... ich lösch raus aus der reg,neustart,einträge wieder drin und so weiter

so sitz ich jetzt nach stundenlangen regedit-ieren,scannen und neustarten (abgesichert und normal) da und bin so schlau wie vorher ...teilweise sogar noch mehr verwirrt,da zu der svchost.exe bzw scvhost.exe unterschiedliche postings im web kursieren. mal soll's normal sein,andere postings sprechen von virus bzw wurm

lange rede kurzer sinn,ich brauch hilfe ! *g*
kann irgendwer irgendeinen tip geben bzw eine vorgehensweiße vorschlagen, die hier noch nicht angesprochen wurde? bzw mich auf eigene fehler aufmerksam machen?

1000 dank im voraus !

Re: bitte auch um Hilfe!!!!! Gabeot

snakebite — Fri, 31 Oct 2003 09:05:50 GMT

> meine freundin hat ihn leider auch. ebenfalls erfolglos formattiert. norton
> 2004 ist drauf, läßt sich aber nicht mehr starten.

Versuchs mal im abgesicherten Modus (beim Hochfahren F8 drücken)

meistens lässt sich dann NAV wieder starten, findet den Virus und kann ihn entfernen......

bitte auch um Hilfe!!!!! Gabeot

Liz — Fri, 31 Oct 2003 08:00:21 GMT

meine freundin hat ihn leider auch. ebenfalls erfolglos formattiert. norton 2004 ist drauf, läßt sich aber nicht mehr starten. ebenfalls ist es nicht möglich, pc von der norton disk zu booten.
Ich kenn mich nicht so gut aus, aber nur eine frage: die festplatte ist eh schon 3.5 jahre alt, wenn ich die einfach knicke und ihr eine neue einbaue, ist der virus dann weg, oder sitzt der im Masterboot? Wo ist der Masterboot sprich welche teile sind im schlimmsten fall zu schmeißen?
Die schlaue norton seite (noch dazu nur auf englisch) hilft auch nicht, da auch das "intelligent update" nicht mehr geht, es geht schlicht nix mehr

Re(3): Gaobot.Al Virus!!!!!

Dennis666 — Thu, 30 Oct 2003 23:54:26 GMT

ja lästige angelegenheit........patches einspielen, Virescanner, Firewall dann ist man schon sicherer..... ( würde ich zumindest meiner freundin einspielen, damit nix mehr passieren kann..... )

Re(2): Gaobot.Al Virus!!!!!

Martin Tintel — Thu, 30 Oct 2003 17:39:54 GMT

Meine Freundn hatte den Virus auch!Das Problem bei dem Virus ist (in wirklichkeit ist es ein "Wurm"....),dass er sich automtisch startet und wenn man ihn nur löscht,wiederherstellt.Man muss mit regedit den Autostartbefehl entfernen (waren 2).Die Anleitung hab ich damals auf der symnatec Homepage gefunden!

Re: Gaobot.Al Virus!!!!!

Dennis666 — Wed, 29 Oct 2003 14:33:15 GMT

http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.az.html

Re(4): Gaobot.Al Virus!!!!!

Funki — Wed, 29 Oct 2003 14:14:47 GMT

> ja sind eh die selben files.nein LSAS.exe ist der Virus. die echte heisst
> andersich glaub doppel l oder so.einfach löschen

Mit doppel S (LSASS.exe) die braucht man, hat funktioniert mit dem loeschen Thx.

Re(3): Gaobot.Al Virus!!!!!

airboy — Wed, 29 Oct 2003 14:09:27 GMT

ja sind eh die selben files.
nein LSAS.exe ist der Virus. die echte heisst anders
ich glaub doppel l oder so.

einfach löschen

Re(2): Gaobot.Al Virus!!!!!

Funki — Wed, 29 Oct 2003 14:08:23 GMT

Bei mir sind diese Dateien infiziert: LSAS.EXE+WINHLPP32.EXE

Isolieren kann NAV es aber nicht reparieren. Kann ich die einfach so loeschen? Die LSAS.EXE hat ja was mit den Benutzerkonten usw zu tun, oder?

Re: Gaobot.Al Virus!!!!!

Glockman — Wed, 29 Oct 2003 14:06:37 GMT

Hi!

Lt. McAfee (http://vil.nai.com/vil/content/v_100725.htm ) ein Wurm, der die DCOM/RPC Lücke nutzt (MS03-039 Patch einspielen). Da es aber ziemlich viele Varianten davon gibt, schau unter http://vil.nai.com/vil/ und gib bei der Suche "gaobot" ein.

Re: Gaobot.Al Virus!!!!!

airboy — Wed, 29 Oct 2003 14:02:48 GMT

Den hatte ein Kunde von mir.
Hab NAV neueste VDF geladen und scannen lassen.
Zuerst konnte er die .exe nicht löschen.

also abgesichert hochgefahren und gelöscht.
Dann NAV wieder scannen lassen, er fand noch mal eine infekte Datei, die er aber löschen konnte.

Fertig.

Re: Gaobot.Al Virus!!!!!

Funki — Wed, 29 Oct 2003 14:00:00 GMT

Den habe ich auch seit ein paar Tagen. Keine Ahnung woher. Norton hat ihn zwar isoliert, aber Tools und Tips fuer die entfernung habe ich auch noch nicht gefunden.

Re: Gaobot.Al Virus!!!!!

Maxl — Wed, 29 Oct 2003 13:42:11 GMT

welches programm hat den virus erkannt? weiss er, wie er dazu gekommen ist?

>hat auch schon formatiert, geht net weg!
dann bekommt er ihn anscheinend immer wieder neu.

Gaobot.Al Virus!!!!!

kracker — Wed, 29 Oct 2003 13:30:11 GMT

Ein freund von mir hat den virus, und der bekommt ihn nicht mehr weg!
hat auch schon formatiert, geht net weg!
finden bei google auch nix..... bitte um hilfe