[xp] sysconf.exe gaobot virus.

Windows Operated Systems >> Beveiliging & Virussen

En kijk hier even in de faq wat je allemaal zou kunnen doen of neem even de topic listing door op gelijkende topics

[google=Gaobot.worm.gen.d removal tool] → W32.Gaobot.SA

Staan genoeg tips om er vanaf te komen die je eventueel zou kunnen proberen. We hebben hier trouwens een speciaal deel voor

[ Voor 2% gewijzigd door Hahn op 08-04-2004 20:32 . Reden: te laat ]

Verwijderd schreef op 08 april 2004 @ 20:33:
ehmm sorry ik gebruik normaal gesproken de search

_{In MED staat wel een tip om toch via google op GoT te kunnen zoeken}

Verwijderd schreef op 08 april 2004 @ 20:29:
W32/Gaobot.worm.gen.d
Heb op google al gezocht en hier doet de search het niet!
Wie kan me helpen.

http://www.symantec.com/search/
http://us.mcafee.com/virusInfo/default.asp
gaobot.d
etc.

Deze zou eenvoudig met de laatste virusupdates te verwijderen zijn.
Bij windowsXP en ME
/me eerst de system restore uitzetten en rebooten, daarna scannen.

[ Voor 3% gewijzigd door Verwijderd op 08-04-2004 22:21 ]

Zelfde probleem hier, al die removal instructies zijn leuk en aardig, maar ik heb zowat allemaal al geprobeerd en niks word gevonden.
Norton virus alert schermpje zit te blaten over SVCHOSTS in My Documents, maar die zit er gewoon niet (ook niet hidden) en als ik op OK drukt komt het schermpje weer (1e melding, Access denied to file, 2e melding Unable to repair this file en weer terug naar 1e etc etc als je op OK blijft drukken) Het schermpje gaat dus NIET weg!

Aargh

Ik heb hem nu ook

Geen idee hoe ik eraan gekomen ben, elke pc op het netwerk hier heeft hem nu.
Symantec.com ligt plat: dus niet, dat lekkere virus verandert je host file zodat symantec niet meer te vinden is

gelukkig heeft google de pagina's in cache.

Ziet er uit als een zwaar vervelend virus

EDIT: Norton Antivirus vindt hem geeneens, terwijl ik de laatste updates heb.
Volgens de pagina echter zou hij hem wel moeten vinden...

EDIT: Het bestand kopieert zich ook als winhlpp32.exe

[ Voor 30% gewijzigd door Verwijderd op 22-04-2004 19:36 ]

Zou je de betreffende files eens kunnen mailen?
Zie sig voor mail.

Volgens mij gaat het hier toch om een oude variant die ook NAV al tijden detecteert.
Info mbt. Agobot kun je ook hier op het forum wel vinden, even wat zoeken dus.

Edit: Een nieuw topic hierover was trouwens beter geweest.
Gezien het feit dat er duizenden varianten zijn...

[ Voor 20% gewijzigd door Verwijderd op 22-04-2004 19:16 ]

Ik heb het virus verstuurd. Ik kreeg ook het idee dat dit een variant is, gezien ook winhlpp32.exe erbij zit, en die stond niet in de andere verhalen. Ik ga nu proberen te scannen met Kaspersky, kijken of die hem wel herkent.

TestDummy: zou je mij die file ook eens willen mailen? Tnx!

wildhagen schreef op 22 april 2004 @ 19:47:
TestDummy: zou je mij die file ook eens willen mailen? Tnx!

Ook naar jou gestuurd. Kaspersky detecteert ook niets. Ik heb in ieder geval die reg keys eruit gegooid, hosts gecleaned, en die bestanden uit m'n system32 gehaald. Ik vraag me alleen af of er nog meer bestanden mee te maken hebben, maar de virusscanners zien beide niets.

Verwijderd schreef op 22 april 2004 @ 19:53:
[...]

Ook naar jou gestuurd. Kaspersky detecteert ook niets. Ik heb in ieder geval die reg keys eruit gegooid, hosts gecleaned, en die bestanden uit m'n system32 gehaald. Ik vraag me alleen af of er nog meer bestanden mee te maken hebben, maar de virusscanners zien beide niets.

(Waarschijnlijke)Ago is brandnew..
Uptodate KAV/FSAV/F-Prot/McAfee/NVC/ClamAV detecteren hem allemaal niet.

Ago's komen tegenwoordig bijna nooit alleen, kans is groot dat er nog meer zooi op de computer(s) staat.
Ik zou voor de format gaan en er dan voor zorgen dat je computers helemaal gepatcht zijn, aangezien dat voor 90+% de oorzaak van je infectie is, het geïnstalleerd hebben van alle securityfixes/patches.

Je kan em ook nog eens uploaden naar de link in mijn sig... 't zou toch raar zijn als er niet op z'n minst eentje wat herkent... mocht dat toch het geval zijn, dan ben ik toch eigenlijk wel heel benieuwd wat je nu in godsnaam te pakken hebt gekregen ....

[ Voor 16% gewijzigd door Jordi op 22-04-2004 19:59 ]

Arghh

De pc's draaien hier windows xp met service pack 1, allemaal achter een router, zonder porten die zijn gemapt. Het enige wat er qua internet gebeurd is email via veilige clients en geen attachments die geopend worden, en browsen.

Edit: never mind, argh, dat rotte alcatel modem heeft wederom m'n porten weer allemaal naar een default server gezet! Alles stond dus weer open. De virusjes en worms en alle andere zooi stroomt weer gezellig binnen, Kaspersky ziet nieuwe dingen. Ik ga even met een sloophamer een paar muren kapot slaan om stoom af te blazen.

[ Voor 56% gewijzigd door Verwijderd op 22-04-2004 20:08 ]

Verwijderd schreef op 22 april 2004 @ 19:57:
[...]

(Waarschijnlijke)Ago is brandnew..
Uptodate KAV/FSAV/F-Prot/McAfee/NVC/ClamAV detecteren hem allemaal niet.

KAV en McAfee kan ik bevestigen dat ze hem niet zien.

Aanvulling: Symantec vind hem ook niet...

Gisteren toevallig GAOBOT verwijderd bij iemand. Moet je iig systeemherstel voro uitzetten. Symantec heeft het e.e.a. op zijn site staan over hoe en wat. vervelende van de worm is dat hij de sites van antivirus-producenten blockt Daarnaast is bij symantec ook een removal-tool te downloaden, deze haalt echter niet zo gek veel uit tegen de nieuwe worm Hij is echter wel nodig voor het clean-proces.
Start op in safe mode. Dan systeemherstel uitzetten, want anders blijf je de worm terugkrijgen.
Laat in 1e instantie een full system scan de worm + de locaties van de geinfecteerde bestanden. Dan de regedit-dingen uitvoeren die in de solution staan. Hoe het proces precies was weet ik niet (het was al laat), maar e.e.a. beschreven op de symantec site werkt wel

Zie ook: http://securityresponse.s...obot.uj.removal.tool.html

[ Voor 7% gewijzigd door The Eagle op 22-04-2004 20:16 ]

The_Eagle schreef op 22 april 2004 @ 20:12:
Gisteren toevallig GAOBOT verwijderd bij iemand. Moet je iig systeemherstel voro uitzetten. Symantec heeft het e.e.a. op zijn site staan over hoe en wat. vervelende van de worm is dat hij de sites van antivirus-producenten blockt Daarnaast is bij symantec ook een removal-tool te downloaden, deze haalt echter niet zo gek veel uit tegen de nieuwe worm Hij is echter wel nodig voor het clean-proces.
Start op in safe mode. Dan systeemherstel uitzetten, want anders blijf je de worm terugkrijgen.
Laat in 1e instantie een full system scan de worm + de locaties van de geinfecteerde bestanden. Dan de regedit-dingen uitvoeren die in de solution staan. Hoe het proces precies was weet ik niet (het was al laat), maar e.e.a. beschreven op de symantec site werkt wel

Ik heb hijackthis gebruikt, en systeemherstel staat hier standaard uit. Deze agobot, zoals Schouw het noemt, is nu weg, maar nieuwe dingen zijn inmiddels gearriveerd, zoals Schouw voorspelde
Safe mode heeft totaal geen zin.
Morgen format en ik heb het ip van de kaarten zo verandert dat dat alcatel modem niet default servers gaat zetten naar pc's.

Trouwens, dat Kaspersky maakt akelige geluiden bij nieuwe virussen, ik schrik me de pleurens

Nieuwe Ago varianten veranderen vlug..
Ook deze weer, aardig groot qua grootte....paar andere nieuwe qua grootte allemaal rond de 130 KB.
FYI:

Hello,

added it: Backdoor.Agobot.rd

Ter confirmatie dat het idd een Ago is.

Als ik me goed herinner stond er een oplossing dmv registeredits op de site van sophos.

The_Eagle schreef op 22 april 2004 @ 20:17:
Als ik me goed herinner stond er een oplossing dmv registeredits op de site van sophos.

Ja dat klopt, die moet je weghalen anders blijft hij draaien als je je pc opstart.
Ik had gelukkig snel door dat er wat mis was toen ik dit virus had, want ik was even weg en toen ik terug kwam zag ik dat er opnieuw gestart was. Blijkt dus dat er zo'n rpc reboot window komt elke keer na 30 seconden die je pc opnieuw opstart,
en bij taskmonitor staat cpu usage op 80%, dus ik wist meteen dat ik de pineut was. Gelukkig was het nogal opvallend, dus heeft het virus niet lang kunnen draaien.

[ Voor 3% gewijzigd door Verwijderd op 22-04-2004 20:28 ]