ich erkläre hiermit -wcm|masochist- zum Quarantänegebiet
;)
wir verkehren postalisch nur mehr mittels Brieftauben mit ihm:D

hast jetzt NTFS drauf oder nicht? Wenn nein, dann probier doch das F-prot in der DOS-Umgebung. Hat bei mir Wunder gewirkt:cool:

so bitte der Herr hier zu klicken http://www.f-prot.com/products/home_use/dos/ :)

das is ned mein system!! WAAAH :mad2: des is des meines bruders der ganz wo anders is also a ned mit mir verbunden!!! :mad2: pfeif drauf soweit geht er e hab schon zulang herumgschissn :mad2:

warum sagst das nicht gleich, daß des net dein Rechner ist:lol: :lol: :lol: :lol:
hast es doch erst 10x reingeschrieben:D :D :D :D

>>>dann soll halt dein Herr Bruder das ausprobieren. Ausserdem gibts Sippenhaftung:roflmao: :ja: :roflmao: :aio:

hatte dasselbe problem :( .

mein vorschlag: bau die festplatte aus und häng sie als slave in ein system mit den neuesten virendefinitionen und laß NAV oder ähnliches drüberlaufen!

so hab ich das problem gelöst (waren 4 gaobot-derivate am system).
mfg
zzr

sehr guter Vorschlag, aber nicht vergessen die automatische Systemwiederherstellung abschalten!!!
Sunst hast den Rotz gleich wieder beim nächsten Start drauf:mad:

und wenn ich seine hdd zum beispiel in mein system häng, bekomm ich den dann ned auch? jetz macht er sogar probs wenn ma moviez von ner cd starten will

gaobot-virus
 

schau einmal hier nach, vielleicht hilft das


Home Vireninfo Virenlexikon


W32/Agobot-S
Alias
Backdoor.Agobot.3.f, W32/Gaobot.worm.ab, W32.HLLW.Gaobot.AE, WORM_AGOBOT.AB

Typ
Win32-Wurm

Erkennung
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung und ist ab Version Oktober 2003 (3.74) in Sophos Anti-Virus enthalten.

Zum jetzigen Zeitpunkt hat Sophos lediglich eine Meldung dieses Wurm als "in the wild" erhalten.


Erläuterung
W32/Agobot-S ist ein IRC-Backdoor-Trojaner und ein Netzwerkwurm.

W32/Agobot-S kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich mit Hilfe der Schwachstellen in DCOM RPC und im RPC Locator auf andere Computer auszubreiten.

Microsoft hat Patches für die Schwachstellen zur Verfügung gestellt, die dieser Wurm ausnutzt. Die Patches stehen zur Verfügung unter

http://www.microsoft.com/technet/sec...n/MS03-026.asp

und

http://www.microsoft.com/technet/sec...n/MS03-001.asp

Wenn er erstmals ausgeführt wird, kopiert sich als scvhost.exe W32/Agobot-S in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, so dass scvhost.exe automatisch gestartet wird, sobald Windows startet:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Config Loader = scvhost.exe

und

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Config Loader = scvhost.exe

Auf Windows NT, 2000 und XP startet sich W32/Agobot-S selbst als neuer Dienst namens Cfgldr.

Sobald W32/Agobot-S gestartet wird, versucht er, sich mit einem remoten IRC-Server und einem bestimmten Kanal zu verbinden. W32/Agobot-S läuft daraufhin kontinuierlich im Hintergrund und ermöglicht einem Remote-Eindringling den Zugriff auf und die Steuerung über den Computer via IRC.



Wiederherstellung
Bitte folgen Sie den Hinweisen zum Entfernen von Würmern.

Bitte folgen Sie den Hinweise zum Entfernen von Würmern.






Siehe auch:

Melden Sie sich für die kostenlose Benachrichtigung über neue Viren "in the wild" an
Stellen Sie topaktuelle Informationen über Viren auf Ihre Website oder in Ihr Intranet



viel glück
grüße

platte einbaun, XP starten und wenn das system neue hardware erkennt und einen neustart verlangt um die neue hardware verwenden zu können auf NEIN klicken!

dann ist dein pc nicht in gefahr. systemwiederherstellung abschalten sollte nicht notwendig sein, kann aber auf keinen fall schaden.

mfg
zzr

ps. net vergessen, die wiederherstellung nach reinigung wieder aktivieren ;)

ist vielleicht in diesem Fall nicht unbedingt notwendig, schadet aber nix, hatte vor Kurzem bei jemanden den Xorala-Wurm, da war´s lebensnotwendig. Also tu´s auf alle Fälle , schaden kanns nicht;)

werd morgen rüberfahrn und das machen, es is nur lebensnotwendig das nix verlohren geht. :verwirrt: da bin ich drann wenn was weg is

good luck:hallo:

uiuiui das good luck liest sich so negativ, auf die art "zünd erm glei an". :hammer:

nönönö!!!
Zuerst hau ihn ausn Fenster -









....ich warte unten:D

er is e im erdgeschoss da kann i dirn glei ausse reichn :rolleyes:

wann und wo:look:

kanawasdigasse 93:shy:

nodannwasisanet:D


Hätte mir zu meinem 2000ten Beitrag einen besseren Text gewünscht:heul: :lol:

format c: /mbr :ms:

wenn schon dann fdisk /mbr :rolleyes:

wie geht's? system gerettet?

solltest Du NAV verwenden und es sind mehrere user am infizierten pc eingeloggt vergiß nicht, NAV für alle zu aktivieren!

das problem hatte ich. plötzlich war gaobot wieder im system als sich ein anderer user eingeloggt hatte :mad:

mfg
zzr

hat sich ned gmeldet, ihm is ja a wuascht ob der obm is oda ned solang die musik geht :rolleyes:

...und ich wart den ganzen Tag in der kanawasdigasse #93:verwirrt:

und daß er eventuell auch andere user infiziert is ihm aa wurscht ???

bravo kottan kann i da nur sagen!

mfg
zzr1210

aem er muss damit arbeiten und da hat ma ned einfach zeit in ganzn tag herumzustiadln. sollten hald die anderen "user" die sicherheitsupdates machen.

gerade wenn er damit arbeiten muß, sollte er drauf schaun!:hammer:
Irgendwann fällt ihm das ja selber ins Gnack!

jo es is nur so das er derzeit einiges zu tun hat, wenn er mal ned soviel zu tun hat werd ich wieder an tag investieren und schaun dass ich den bastatl weggrieg.

so hab e noch ne frage is da jetz einer drauf oder 2 weil er hat lsas.exe im autostart, was aber e schon deaktiviert ist, und dann hat der noch den sxxhost rennen. lsas is aba trotzdem im taskm. auch wenn deaktiviert im autstart

da laufen viren und die gehören weg, einfach im autostart deaktivieren ist nicht!! Wenn er meint er hat keine zeit lass es halt, ist ja nicht dein problem wenn plötzlich seine ganzen daten weg sind und das wird passieren wenn man nichts tut. Hab 40° fieber, fürn arzt hab ich aber im moment keine zeit... :eek:

@LouCypher
 

Zyniker, aber gut:cool:

@LouCypher
Vielleicht sollte er denjenigen einladen, der den Virus in Umlauf gebracht hat, ihn ihm zu deinstallieren.
:ms:
Kann mir schon vorstellen, wenn die eh schon alles versucht haben, dem Problem Herr zu werden, dass sie das Handtuch ...
Vielleicht kann ihm das ja ein "dritter" machen, sollte der Herr in Wien daheim sein ...

@grizzly
 

wenn du zum Kunden gehst, vergiß die Bazooka nicht...
.. der Geruch von Napalm in der Morgenstunde...

:confused:
@ottwald
weiß net, was du damit meinst (bazooka=kaugummi) aber vielleicht bin ich aus einer Generation, die dich net ganz versteht (da keine Filme schaut) ;)

bazooka ist nicht nur ein Kaugummi (hab ich auch mal gesammelt, 100 + 50 ATS, um einen Lederfußball zu bekommen) sonder auch eine PAK = Panzer-Abwehr-Kanone

das Zitat: "ich liebe den Geruch von Napalm in der Morgenstunde" stammt von Marlon Brando aus dem Film -apocalypse now-

ÄÄÄÄÄÄÄÄÄ!! Fehler

Dieser Spruch stammt von Colonel Kilgore, gespielt von Robert Duvall

:D jetzt bin ich also im Bilde

da hat Espresso leider Recht.
Tiefe Verneigung:smoke:

ich weiß nicht, obs schon mal jemand erwähnt hat, aber:
systemsteuerung => verwaltung => diesnte => remoteprozeduraufruf => eigenschaften => wiederherstellen => alles auf "keine aktion durchführen" stellen
dann startet er mal ned neu und du kannst dich ums killen kümmern.
wenn das dubiose fenster schon da is: start => ausführen => shutdown -a

hab ich schon eingstellt dass er nimma runterfährt

bazooka&virus
 

uns hams in der MTK g´sagt des heißt PAR in Austrianisch !
es gab deren zwei : ein PAR70 aus Metall das kann wiklich was,
sowie ein PAR77 aus Plastik, mit dem traut sich angeblich niemand schießen, weder auf an Virus noch auf eine gerade eingehende IBM DORS.
:hammer:

kommt drauf an ob du "Rohr" oder "Kanone" dazu sagst;)