Impressum | Werbung

Geizhals » Forum » Security & Viren » Gaobot.Al Virus!!!!! (16 Beiträge, 1448 Mal gelesen) Top-100 | Fresh-100

^ Forum  Security & Viren  #1098126 Gaobot.Al Virus!!!!! kracker 29.10.2003, 14:30:11 Ein freund von mir hat den virus, und der bekommt ihn nicht mehr weg! hat auch schon formatiert, geht net weg! finden bei google auch nix..... bitte um hilfe (sigkilled v1.6 (Wed Oct 29 14:31:01 2003): several images together had 27706 bytes) ^ Forum  Security & Viren  #1098150 Re: Gaobot.Al Virus!!!!! Maxl 29.10.2003, 14:42:11 welches programm hat den virus erkannt? weiss er, wie er dazu gekommen ist? >hat auch schon formatiert, geht net weg! dann bekommt er ihn anscheinend immer wieder neu. ^ Forum  Security & Viren  #1098183 Re: Gaobot.Al Virus!!!!! Funki 29.10.2003, 15:00:00 Den habe ich auch seit ein paar Tagen. Keine Ahnung woher. Norton hat ihn zwar isoliert, aber Tools und Tips fuer die entfernung habe ich auch noch nicht gefunden. mfg Denken ist die schwerste Arbeit, die es gibt. Das ist wahrscheinlich auch der Grund, warum sich so wenige Leute damit beschäftigen. Henry Ford    ^ Forum  Security & Viren  #1098190 Re: Gaobot.Al Virus!!!!! nico 29.10.2003, 15:02:48 Den hatte ein Kunde von mir. Hab NAV neueste VDF geladen und scannen lassen. Zuerst konnte er die .exe nicht löschen. also abgesichert hochgefahren und gelöscht. Dann NAV wieder scannen lassen, er fand noch mal eine infekte Datei, die er aber löschen konnte. Fertig. Keep on Googlin', airboy ^ Forum  Security & Viren  #1098204 Re(2): Gaobot.Al Virus!!!!! Funki 29.10.2003, 15:08:23 Bei mir sind diese Dateien infiziert: LSAS.EXE+WINHLPP32.EXE Isolieren kann NAV es aber nicht reparieren. Kann ich die einfach so loeschen? Die LSAS.EXE hat ja was mit den Benutzerkonten usw zu tun, oder? mfg Denken ist die schwerste Arbeit, die es gibt. Das ist wahrscheinlich auch der Grund, warum sich so wenige Leute damit beschäftigen. Henry Ford    ^ Forum  Security & Viren  #1098211 Re(3): Gaobot.Al Virus!!!!! nico 29.10.2003, 15:09:27 ja sind eh die selben files. nein LSAS.exe ist der Virus. die echte heisst anders ich glaub doppel l oder so. einfach löschen Keep on Googlin', airboy ^ Forum  Security & Viren  #1098228 Re(4): Gaobot.Al Virus!!!!! Funki 29.10.2003, 15:14:47 > ja sind eh die selben files.nein LSAS.exe ist der Virus. die echte heisst > andersich glaub doppel l oder so.einfach löschen Mit doppel S (LSASS.exe) die braucht man, hat funktioniert mit dem loeschen Thx. mfg Denken ist die schwerste Arbeit, die es gibt. Das ist wahrscheinlich auch der Grund, warum sich so wenige Leute damit beschäftigen. Henry Ford    ^ Forum  Security & Viren  #1098198 Re: Gaobot.Al Virus!!!!! Glockman 29.10.2003, 15:06:37 Hi! Lt. McAfee (http://vil.nai.com/vil/content/v_100725.htm ) ein Wurm, der die DCOM/RPC Lücke nutzt (MS03-039 Patch einspielen). Da es aber ziemlich viele Varianten davon gibt, schau unter http://vil.nai.com/vil/  und gib bei der Suche "gaobot" ein. greetz glockman - Ich beiße nicht, ich schau nur so aus - This system is ^ Forum  Security & Viren  #1098258 Re: Gaobot.Al Virus!!!!! Dennis666 29.10.2003, 15:33:15 http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.az.html "the more money I give to Microsoft, the more vulnerable my Windows computers are" (Spruch auf einer  seite, wo ein Bug in Office XP gezeigt wird, der das ganze Windows noch unsicherer macht !) ^ Forum  Security & Viren  #1100481 Re(2): Gaobot.Al Virus!!!!! Martin Tintel 30.10.2003, 18:39:54 Meine Freundn hatte den Virus auch!Das Problem bei dem Virus ist (in wirklichkeit ist es ein "Wurm"....),dass er sich automtisch startet und wenn man ihn nur löscht,wiederherstellt.Man muss mit regedit den Autostartbefehl entfernen (waren 2).Die Anleitung hab ich damals auf der symnatec Homepage gefunden! ^ Forum  Security & Viren  #1100917 Re(3): Gaobot.Al Virus!!!!! Dennis666 31.10.2003, 00:54:26 ja lästige angelegenheit........patches einspielen, Virescanner, Firewall dann ist man schon sicherer..... ( würde ich zumindest meiner freundin einspielen, damit nix mehr passieren kann..... ) "the more money I give to Microsoft, the more vulnerable my Windows computers are" (Spruch auf einer  seite, wo ein Bug in Office XP gezeigt wird, der das ganze Windows noch unsicherer macht !) ^ Forum  Security & Viren  #1101027 bitte auch um Hilfe!!!!! Gabeot Liz 31.10.2003, 09:00:21 meine freundin hat ihn leider auch. ebenfalls erfolglos formattiert. norton 2004 ist drauf, läßt sich aber nicht mehr starten. ebenfalls ist es nicht möglich, pc von der norton disk zu booten. Ich kenn mich nicht so gut aus, aber nur eine frage: die festplatte ist eh schon 3.5 jahre alt, wenn ich die einfach knicke und ihr eine neue einbaue, ist der virus dann weg, oder sitzt der im Masterboot? Wo ist der Masterboot sprich welche teile sind im schlimmsten fall zu schmeißen? Die schlaue norton seite (noch dazu nur auf englisch) hilft auch nicht, da auch das "intelligent update" nicht mehr geht, es geht schlicht nix mehr ^ Forum  Security & Viren  #1101144 Re: bitte auch um Hilfe!!!!! Gabeot snakebite 31.10.2003, 10:05:50 > meine freundin hat ihn leider auch. ebenfalls erfolglos formattiert. norton > 2004 ist drauf, läßt sich aber nicht mehr starten. Versuchs mal im abgesicherten Modus (beim Hochfahren F8 drücken) meistens lässt sich dann NAV wieder starten, findet den Virus und kann ihn entfernen...... ---------------------------------------------------------------------------------- ICH HASSE ONBOARD GRAFIK ^ Forum  Security & Viren  #1110733 Re(2): bitte auch um Hilfe!!!!! Gabeot scientifical_madness 05.11.2003, 22:55:20 grüß euch ! tjaaaaaaaaaaa,gestern hab ich kurz die firewall runtergemacht...voi lá ! hab die selben symptome festgestellt,wie sie meine schwester auf ihrem rechner hatte. bei ihr hat antivir den goabot.al festgestellt und mehrmals gelöscht,wegbekommen hab ich ihn aber von ihrem system noch nicht wirklich... da ich den selben dreck seit gestern auch zu haben scheine (zumindest den symptomen und der msg vorm runterfahren nach, weder antivir noch norton av haben auf meinem system einen gaobot gefunden obwohl ich bei den prozessen IEXPLORE.EXE und gleichzeitig ein paar mal SVCHOST.EXE laufen hab ) muss ich mich jetzt intensiver damit auseinander setzen . hab mir natürlich erstmal die oben geposteten msg bzw links durchgesehen, in der annahme das problem doch recht flott mit den tips/anleitungen lösen zu können... klarer fall von denkste hehe um es für euch leichter nachvollziehbar zu machen hier meine vorgehensweiße: 1)gestern wurmbefall bemerkt,mit antivir gescannt,one erfolg 2)gleich norton av trial gezogen,update der vir.def , scan ---> wieder nix 3)heute laufende prozesse angschaut , neuerlich gescannt,findet der norton doch glatt msblaster.exe--> DELETE (ohne murren)-->neustart-->prozesse immer noch am laufen 4)über google auf das thema hier gestoßen und mich schlau(er) gemacht 5)da systemwiederherstellung sowieso auf allen laufwerken deaktiviert war/is,hab ich zusätzlich den dienst in der verwaltung deaktiviert,da auch vom taskmanager irgendwo die rede is,diesen dienst auch gleich mit deaktiviert 6)meine registry nach den von symantec und mcafee angegeben einträgen gecheckt --> alle iexplor.exe -  und svchost.exe - einträge ausfindig gemacht und gelöscht und gleich danach den MS03-039 patch installiert     7)versucht,alle entsprechenden prozesse zu killen--> kein problem mit IEXPLORE.EXE aber svchost.exe is a bitch!lol sobald ich einen der laufenden svchost.exe prozesse beende,kommt die geile msg : "system wird heruntergefahren,ausgelößt von NTAUTORITÄT/SYSTEM da remoteprozeduraufruf (RPC) unerwartet beendet wurde" 8)ich stop den counter bzw das ereigniß mit ausführen-->"shutdown -a" um in ruhe weitermachen zu können ohne das der pc neustartet 9)nochmal die reg. gecheckt,wieder ein paar der netten einträge vorhanden und gelöscht AUSSER HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices "Config Loader" =  SCVHOST.EXE diesen eintrag gibts bei mir in der registry komischerweise gar nicht ! 10)zusätzlich irgendeine svc60.dll (oder so ähnlich) gelöscht,weil irgendwo geschrieben steht, die dll is nötig damit der wurm starten kann,löschen verhindert den start LANGSAM REGT SICH IN MIR DER VERDACHT,DASS ICH ES MIT MEHR ALS EINEM WURM ZU TUN HABE!? 11)neustart um im abgesicherten um die svchost.exe aus system32 zu löschen, GEHT NED ....aaaaaarg 12) win normal geladen,um nochmal zu versuchen,wieder einträge in der reg --> löschen,versuch proz zu stoppen,shutdown -a (nur aus prinzip,damit ich meinen rechner selber neustarten kann und das ned der wurm macht lol) naja,ab da befind ich mich in einer endlosschleife .... ich lösch raus aus der reg,neustart,einträge wieder drin und so weiter so sitz ich jetzt nach stundenlangen regedit-ieren,scannen und neustarten (abgesichert und normal) da und bin so schlau wie vorher ...teilweise sogar noch mehr verwirrt,da zu der svchost.exe bzw scvhost.exe unterschiedliche postings im web kursieren. mal soll's normal sein,andere postings sprechen von virus bzw wurm lange rede kurzer sinn,ich brauch hilfe ! *g* kann irgendwer irgendeinen tip geben bzw eine vorgehensweiße vorschlagen, die hier noch nicht angesprochen wurde? bzw mich auf eigene fehler aufmerksam machen? 1000 dank im voraus !   ^ Forum  Security & Viren  #1110827 Re(3): bitte auch um Hilfe!!!!! Gabeot scientifical_madness 05.11.2003, 23:27:32 ps: W32.Blaster.Worm Removal Tool von symantec findet auch nix .... ^ Forum  Security & Viren  #1112944 Re(4): bitte auch um Hilfe!!!!! Gabeot snakebite 06.11.2003, 21:36:33 Probier mal den Stinger http://vil.nai.com/vil/stinger/ ---------------------------------------------------------------------------------- ICH HASSE ONBOARD GRAFIK

 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung