wer kann mir beim gaobot. virus helfen????

wer kann mir beim gaobot. virus helfen????

Impressum | Werbung

Geizhals » Forum » Security & Viren »

wer kann mir beim gaobot. virus helfen???? (26 Beiträge, 656 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

Hi!
Ich glaube, ich hab den w32.hllw.gaobot.in virus. Am pc erscheint immer die Meldung "NT-Autorität/System" und der pc fährt nach einer minute von selbst hinunter.
Anfangs dachten wir, es sei der msblaster oder welchia, doch ich hab mir die norton-virusdefinition gegen diese beiden runtergeladen und der virus ist immer noch da.

kann mir jemand helfen? wie bekomm ich diesen wurm weg???
oder ist es besser den pc komplett neu aufzusetzen? meine daten hab ich eh gesichert, von da her wärs egal.

lg
sabrina

ist kein virus ...

das ist der MsBlast ...

bitte die aktuellsten Patche downloaden und hier im Forum mal nach MsBlast, RPC suchen ...

<sing> Oh - thinking about the younger years </sing>
10 LOAD "SCISSORS"
20 RUNSee ? Sharp !

wer lesen kann, ist klar im Vorteil...

Anfangs dachten wir, es sei der msblaster oder welchia, doch ich hab mir die norton-virusdefinition gegen diese beiden runtergeladen und der virus ist immer noch da.

*** Quits: TITANIC (Excess Flood)

was nützen dir die virus informationen, wenn dein system windows-bedingt von aussen verwundbar ist ?

<sing> Oh - thinking about the younger years </sing>
10 LOAD "SCISSORS"
20 RUNSee ? Sharp !

weil die normalerweise den virus löschen...

*** Quits: TITANIC (Excess Flood)

es ist nunmal kein virus ...

ein allerletztes mal:
nur weil DEIN PC neu startet, heisst es NICHT, dass der virus auf DEINEM PC ist ..

das ist eine schwäche von windows (die durch einen patch beseitigt werdne würde, wären alle fähig diesen zu installieren) ...

<sing> Oh - thinking about the younger years </sing>
10 LOAD "SCISSORS"
20 RUNSee ? Sharp !

der befindet sich aber in der virus defi.

*** Quits: TITANIC (Excess Flood)

wieso sollte sich ein MS Patch in der Virendefinitionsdatei von Microsoft befinden ?

<sing> Oh - thinking about the younger years </sing>
10 LOAD "SCISSORS"
20 RUNSee ? Sharp !

ich rede nicht über den Patch, nur benötigt er die msblast.exe und um die geht es und die würde nav löschen denn er kennt alle 6 bekannten Verianten!

*** Quits: TITANIC (Excess Flood)

die msblast.exe ist ja wahrscheinlich nichtmal auf ihrem PC ...

<sing> Oh - thinking about the younger years </sing>
10 LOAD "SCISSORS"
20 RUNSee ? Sharp !

soll das heissen die msblast wird gar nicht benötigt ? wenn ja hab ich da wohl was durcheinander gebracht :/

*** Quits: TITANIC (Excess Flood)

schau ...

es gibt PCs auf denen ist der virus drauf (1) ... und es gibt PCs die werden von ersteren übers Internet attackiert (2)...

so eine attacke würde nichts ausmachen, wenn (2) den patch installiert hätte (den von der Microsoft Seite).
Ist der Patch jedoch nicht installiert, so können zwei möglichkeiten sein:

Soweit ich weiss gibts von dem Wurm (oder was auch immer das ist) 2 Versionen - Eine für Win2k und eine für WinXP ...

Nun kann folgendes passieren (angenommen (1) hat die Variante für XP drauf)
1.) Die Attacke trifft einen WinXP PC -> Es erscheint die von ihr genannte meldung und der PC würde sich abschalten/neustarten
2.) Die Attacke trifft einen Win2k PC -> Das Offset für die Attacke stimmt hier nicht genau überein und trifft etwas die falsche stelle und bringt den RPC Dienst zum Absturz (svchost.exe hat fehler verursacht ...)

Der Norton löscht wahrscheinlich den Virus auf (1) .. gegen Attacken aus dem Inet kann er aber wahrscheinlich nichts ausrichten ... das kann nur eine Firewall oder ein korrekt installierter Patch ..

ich hoffe das stimmt so halbwegs

<sing> Oh - thinking about the younger years </sing>
10 LOAD "SCISSORS"
20 RUNSee ? Sharp !

oki

was der wurm bewrikte hab ich gewusst nur dachte ich, muss der auch am Rechner vom Opfer sein... dann isses klar das man den Patch installieren muss..

Dankefür die Aufklärung!

*** Quits: TITANIC (Excess Flood)

und wie gesagt - ich hoffe es stimmt so halbwegs wie ich das zusammengetippselt habe ..

<sing> Oh - thinking about the younger years </sing>
10 LOAD "SCISSORS"
20 RUNSee ? Sharp !

hoff ma es mal ^^

*** Quits: TITANIC (Excess Flood)

hmmmmmm,glaub ganz so leicht is es nicht

erstens gibts von dem wurm schon etliche mutationen *.a/*.aa/*.al/*.ag/...

und zweitens findet der norton zwar den wurm selber,macht aber nix gegen infizierte dateien,ändert die registry nicht, schaltet die systemwiederherstellung nicht aus,deaktiviert den systemwiederherstellungs-dienst nicht usw
(laut symantec hp und anderen quellen im netz alles nötig,um das teil vom system ganz zu entfernen)
außdem kann der norton den wurm im normalen modus ANGEBLICH (!!) gar ned löschen (nur isolieren, löschen muss man laut anderen postings hier auf geizhals im abgesicherten modus)

naja,ich fahr xp,hab gestern für 2 minuten die firewall unten gehabt
BAAAAAAAAAAAAAAAAAAAAAAAAAAAAMM
seitdem nerven mich folgende prozesse : scvhost.exe bzw svchost.exe UND IEXPLORE.EXE + deren dauernd neu erstellten registry einträge

kämpf jetzt seit 17.30 mit nortonAV (mit neuestem update) + antivir + Version 1.0.6.1 of the W32.Blaster.Worm Removal Tool (symantec) gegen den befall,noch immer ohne aufregenden erfolg ...naja,beim 3 scan hat der norton einen msblaster gefunden,den konnt er trotz anderslautender postings löschen. trotzdem hab ich die verdammten prozesse am laufen , find weder virus noch wurm und hab immer noch streß mit dem runtergefahren werden (naja,ich verhinder das rebooten mit ausführen-->"shutdown -a" danach geht aber am system nix mehr mit rechtsklick)

KANN IRGENDWER WEITERHELFEN?
bin am verzweifeln

nie wieder fahr ich die firewall runter

wenn dus gelesen hättest dann wüsstest du wo das problem liegt ...

svchost (service host) ist ein gaaanz normaler prozess der auf jedem winXP/2k system läuft ...

die mutationen des virus sind uninteressant für leute die den virus gar nicht auf der platte haben (was der grossteil sein dürfte).

inwiefern man den virus löscht hab ich oben nicht geschrieben ... nur wie man die probleme behebt die der virus verursacht ..

schliesslich haben ja mehr leute probleme dadurch, dass eben andere den Virus auf dem PC haben und erstere von zweiteren "abgeschossen" werden...

<sing> Oh - thinking about the younger years </sing>
10 LOAD "SCISSORS"
20 RUNSee ? Sharp !

lol wer lesen kann is klar im vorteil hast du geschrieben ...

und wer im glashaus sitzt....

"(1)ein allerletztes mal:
nur weil DEIN PC neu startet, heisst es NICHT, dass der virus auf DEINEM PC ist ..

(2)das ist eine schwäche von windows (die durch einen patch beseitigt werdne würde, wären alle fähig diesen zu installieren) ... "

1) falsch meines wissens nach ! wenn du vom wurm befallen wurdest, hat er sich über einen best. (135 , 445 , ua) port AUF DEIN SYSTEM kopiert.

Similarly to previous variants ( W32/Gaobot.worm.aa for example), this worm attempts to use several vulnerabilities to spread:
MS03-001  (RPC Locator)
MS03-026  (Dcom RPC)
Upon execution, the worm copies itself to %SysDir% as:
SCVHOST.EXE
(Where %SysDir% is the System directory, for example: C:\WINNT\SYSTEM32.)

2) auch falsch ! der patch beseitigt nix,er schließt eine sicherheitslücke

siehe auch http://support.microsoft.com/default.aspx?kbid=824146

"die mutationen des virus sind uninteressant für leute die den virus gar nicht auf der platte haben (was der grossteil sein dürfte)."

wer von einem wurm befallen wurde,hat ihn auf der platte ! siehe oben oder hier :

When W32.HLLW.Gaobot.AZ runs, it does the following:
Copies itself as %System%\IEXPLORER.exe.
The worm locates the System folder and copies itself to that location

noch was bzgl 'wer lesen kann...'
...sollt es nicht nur tun sondern auch noch genau

denn ich hab geschrieben :
"seitdem nerven mich folgende prozesse : scvhost.exe BZW svchost.exe "

hast schon recht,svchost.exe is ein ganz normaler systemprozess ABER nicht
sCVhost.exe denn das is das produkt eines würmchens ! du siehst den unterschied?? CV vertauscht,damit's ned gleich auffällt ...
konnte mich nur nicht genau erinnern,welche der beiden executables jetzt die böse is und welche die normale ..deswegen das BEZIEHUNGSWEISE

und nun? bin kein wurm bzw viren experte aber ich glaub in dem fall stimmt kaum was von deinen postings ...verzeih , falls du doch mit irgendwas recht hast ! will hier niemanden am sack gehen sondern nur mein problem beseitigen . wär natürlich noch cooler,wenn dann auch andere ihre 'infektionen' mit hilfe der erfahrungen anderer neseitigen können ... dafür sind foren ja da,nicht wahr nicht !?

also dann,friede !

ad 1.)
es ist vollkommen korrekt ..
viele leute denen ich geholfen habe (computer startet neu unter xp, svchost(ja so heisst die gute) hat fehler verursacht ...) hatten diesen Wurm NICHT auf dem PC ... nur eben den patch nicht eingespielt .. daraus schliesse ich dass nicht alle versionen sich selbst auf den PC kopieren ..
und wie du richtig schreibst: Upon Execution (bei Ausführung) ... ausgeführt wird nunmal wenn du irgendwas startest .. ob man über den RPC Dienst was starten kann weiss ich nicht ... Bin nicht der Buffor Overflow Chef ..

ad 2.) genauer lesen bitte:
der Patch beseitigt das Problem dass der PC neu startet oder dass die leidige svchost meldung kommt ... dass er den Wurm entfernt habe ich NIE geschrieben .. nicht ein einziges mal ..

meine postings sind grösstenteils korrekt .. und es würde mich freuen wenn hier mal jemand was dazu schreiben könnte der es 100 % ig weiss ..

<sing> Oh - thinking about the younger years </sing>
10 LOAD "SCISSORS"
20 RUNSee ? Sharp !

http://forum.geizhals.at/t196838.html

schau mal hier: http://forum.geizhals.at/t196838.html

der wurm is auch nicht auf deinen pc.

du musst port 135 schließen weil der blast exploit einen fehler in windows verursacht und rpc automatisch windows runterfährt.

am besten firewall + update installeiren.

I got a F, a C and I got a K too,
the only thing's missing is a bitch like U.

Hi sabrina
Bestes Vorgehen (Vorausgesetzt, dass Du XP verwendest):
.) Netzwerk nach aussen unterbrechen (Modem aus oder Kabel abstecken)
Booten
.) mindestens die XP-Interne Bruchstückfirewall einschalten. Gegen MS-Blast reicht die vorerst. Das hilft ausreichend gegen (2) von Posting "Somnatic 03.11.2003, 20:43 Uhr"
.) erst jetzt Internetverbindung zulassen. (einschalten/anstecken)
.) von symnatec die Datei fixblast.exe herunterladen - ausführen. Die Meldungen lesen und, wegen Verständniss, in die Muttersprache übersetzen. Da steht z.B. zum Schluss unter Umständen "Your System is vulnerable" - frag mich nicht was das heisst.

.) den Patch von mircozoff herunterladen (ca. 1,2MByte) und extern sichern, (damit Du beim nächsten neuinstall von XP einspielen kannst, ohne ins Netz zu müssen oder die XP-Firewall zu nutzen) z.B. auf Diskette, besser CD, siehe unten, die zur Win-XP-CD dazugelegt wird.
.) den Patch installieren. Das Schützt auch gegen (1) von Posting "Somnatic 03.11.2003, 20:43 Uhr"
.) wenn die Verbindung breitbandig genug ist: das Service-Paket 1 ebenfalls herunterladen und sichern. (vermutlich zusätzliche CD brennen, gleicher Grund u. gleiches Vorgehen wie oben),
.) SP1 installieren
.) Netz trennen - XP-Firewall aus, In deiner Traum-Firewall die Ports schließen, damit Du gegen zukünftige ähnliche Würmer und Viren geschützt bist. MSBLAST ist nicht der erste dieser Art.
Gruß und *zirp*
GriLLe
--
Why do programmers always confuse Halloween and Christmas? Because 31 Oct. = 25 Dec.

panda antivirus titanium 2004 unter google suchen testversion runterladen
findet und vernichtet diesen
unter http://www.zdnet den sicherheitspatch runterladen und die sicherheitslücke schließen

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung