ARRGH WURM!
-
jo, habn dickes problem: ich bin hier auf ner lan und irgendjemand hat unser komplettes netzwerk mit dem gaobot(oder wie der heisst, jedenfalls ein wurm) infiziert.
bei mir äußert sich das durch die datei neroASM.exe, die nicht löschbar ist.
zu allem überfluss killt die software die den wurm eigentlich entfernen soll den wurm nicht...
hab nu alle prozesse bis auf die kritischen beendet, und kann die datei immernoch nicht löschen.wir haben erstmal alle freigaben zurückgezogen, und wissen nicht wirklich weiter... Irgendwelche tips?
-
Hi,
das sollte bestimmt helfen:
http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.baj.htmlGruß
ravel
-
Ravel schrieb:
Hi,
das sollte bestimmt helfen:
http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.baj.htmlGruß
ravelich denke nicht
Disables access to certain antivirus Web sites by adding the following lines to %System%\drivers\etc\hosts:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
-
Hi,
ja ist mir beim weiteren lesen auch aufgefallen. Aber vielleicht funktioniert der Link ja trotzdem für ihn, da es ja nicht die genaue Domain ist sondern ein weiterführender Link.
Gruß
ravel
-
Ravel schrieb:
Hi,
ja ist mir beim weiteren lesen auch aufgefallen. Aber vielleicht funktioniert der Link ja trotzdem für ihn, da es ja nicht die genaue Domain ist sondern ein weiterführender Link.
Gruß
ravelwenn nich melde dich hier otze, dann kopiert das jemand hier rein, was zu tun is, damit du die seite sehen kannst.
-
Lösche einfach in genannter hosts-Datei alles ausser "127.0.0.1 localhost"
Alternativ: http://213.248.112.115/avcenter/venc/data/w32.gaobot.baj.html
http://193.45.10.118/avcenter/venc/data/w32.gaobot.baj.html
-
otze schrieb:
bei mir äußert sich das durch die datei neroASM.exe, die nicht löschbar ist.
zu allem überfluss killt die software die den wurm eigentlich entfernen soll den wurm nicht...
hab nu alle prozesse bis auf die kritischen beendet, und kann die datei immernoch nicht löschen.Heißt das, daß Du Dein kompromittiertes System gebootet hast und daraus versuchst Dein System zu "retten"?
Wenn ja, würde ein Sicherheitsexperte dafür mit spitzen, flachen und Kieselsteinen nach Dir werfen.
Zum Glück bin ich kein Sicherheitsexperte. Du solltest Dein System vom Netzwerk trennen, anschließend von einem sauberen Rettungsmedium booten und darüber versuchen, den Wurm zu entfernen.
-
nein, ich hab nur versucht den prozess zu killen der die datei schützt, hats aber nicht wirklich gebracht.
war aber auch die letzte ,öglichkeit, nachdem ein besuch auf der symantek seite mit benutzung der entfernungssoftware nichts gebracht hat
.in meiner registry findet sich nichts was irgendwie zum wurm passen könnte, im system32 ist auch nichts, das einzige problem ist scheinbar diese eine datei 00
is das erste mal das mir ein wurm solche schwierigkeiten macht-.-
-
Schon mal versucht die Datei unter Knoppix umzubenennen, und so den
wurm evtl. auszubooten ?Devil
-
So bald ein System kompromitiert wurde, kannst du es eigentlich wegschmeißen. Siehe dazu auch den Artikel von Microsoft: http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx
-
otze schrieb:
ich bin hier auf ner lan und irgendjemand hat unser komplettes netzwerk mit dem gaobot(oder wie der heisst, jedenfalls ein wurm) infiziert.
Dagegen kann ich www.dingens.org empfehlen. Dann musst du einen Wurm wenigstens manuell starten und nicht zusehen, wie er Windows automatisch infiziert.
edit: Wann warst du das letzte Mal beim Windowsupdate?
-
vor nicht alzulanger zeit
achja,im abgesicherten modus hab ich die datei totbekommen,ansonsten hab ich jetzt scheinbar keine probleme mehr...naja auf dem ersten blick(und wenn doch muss ich doch meine 120gb medien festplatte formatieren, die ich mir gekauft hab, weil ich mir keinen dvd brenner leisten kann...ergo kein backup Oo)