Wie entfernt man den W32.Gabot-Worm?

Perseus · 23.12.2003, 21:19

Hallo,

eine Freudin von mir hat sich den W32.Gabot-Wurm eingefangen, Antivir hat ihr nichts angezeigt, ein Onlinevirustest hat den Wurm dann gefunden, aber nicht entfernen können.

Sie kann im Prinzip aufs Internet zugreifen, bloß fährt der PC in unregelmäßigen Abständen runter und startet neu.

Tja, auf der Symantec-Seite habe ich kein Removal-Tool zur Entfernung gefunden, weiß jemand wo man eines herbekommt, bzw. weiß jemand wie man den Wurm sicher entfernt, ohne die halbe Registry rauslöschen zu müssen?

Über rasche Antwort würde ich freuen, danke,

schönen Gruß,

Roman.

Sesa_Mina · 23.12.2003, 21:38

prozesse in de rListe checken.

im angesicherten modus booten.

regedit starten.

ALLE Vorkommnisse des Prozzesses löschen. Auch diejenigen die ihn als Systemservice eintragen.

Sollten insgesamt 6 Einträge in der Registry sein.

Jetzt noch die files löschen. (scvhost, winhlpp32)

Neu starten. Und dass sollte es gewesen sein.
Wenn das nix geholfen hat dann hast nen registryeintrag übersehen und kannst von vorn anfangen.

andero · 23.12.2003, 21:51

das sollte auch helfen

http://vil.nai.com/vil/stinger/

ist halt "LEIDER" nicht von Symantec

aber es entfernt diesen Virus halt auch ...

ciao

Perseus · 23.12.2003, 22:43

Hallo,

danke für die prompte Anwort, der erste Lösung ist aufweniger als die zweite, bloß ist in diesem Stringer-Remove Tool auch der W32-Gabot-Wurm inkludiert, ich kann ihn in der Liste nicht entdecken, ok, na ich werde ich mal den Link gleich schicken, mal sehen ob es hinhaut, danke jedenfalls an beide!

Schönen Abend noch,

Gruß, Roman.

Sesa_Mina · 23.12.2003, 23:14

Die Variante die bei einem Kollega beseitigen zu dürfen ich die fragwürdige Ehre hatte wurde von dem stinger zeugs NICHT gefunden.

Perseus · 23.12.2003, 23:33

Hallo,

ja eben, ich denke auch auch das der Stinger den Gabot-Wurm nicht findet, weil er einfach in der Liste nicht erscheint, ich hab das Programm gerade selbst bei mir ausprobiert, und in der Liste ist eben kein Gabot-Wurm, na sie scannt gerade, mal sehen.

@ Sesa_Mina:

Jedenfalls für den Fall das Stinger nicht hilft, sag wie ist das genau mit den Files in der Registry löschen Sesa, Du schreibst ja

"im angesicherten modus booten.

regedit starten.

ALLE Vorkommnisse des Prozzesses löschen. Auch diejenigen die ihn als Systemservice eintragen.

Sollten insgesamt 6 Einträge in der Registry sein.

Jetzt noch die files löschen. (scvhost, winhlpp32)

Neu starten. Und dass sollte es gewesen sein.
Wenn das nix geholfen hat dann hast nen registryeintrag übersehen und kannst von vorn anfangen."

Im abgesicherten Modus, (ich glaube da muß man F8 beim Booten drücken um ihn auswählen zu können) starten und regedit unter Start-->Ausführen starten, verstehe ich ja noch.
Aber was meinst du mit "alle vorkommnisse des Prozesses löschen? Ich hab dann die Registry vor mir, ok, und was soll ich da nun löschen welche Vorkommnise welcher Prozesse?
Welche 6 Einträge meinst du im spziellen? Und die Dateien scvhost, winhlpp32 finde ich mit der Suchfunktion und lösche sie bzw. sie dann, oder, meinst du das so?

Ich muß sie nämlich dann anrufen, und wenn ich es noch nicht kapiert habe, wirds nämlich schwer Sesa

!

Danke jedenfalls für die Mühe!

Schönen Gruß,

Roman.

Perseus · 24.12.2003, 00:01

Hallo,

also wie erwartet, hat das Stingerprogramm den Virus nicht erkannt, es gibt ja von dem wie ich gelesen habe unzählige Varianten, genau heißt er W32/Gaobot.worm.gen.d, den Namen hat der Online-Virenchecker ausgegeben.

Danke,

Roman.

Sesa_Mina · 24.12.2003, 00:33

Der Virus läuft als Prozess unter einem bestimmten Namen.

Scvhost.* oder Winhlpp32.* zum Bleistift.

Nach diesen Begriffen such in regedit.

Also scvhost und auch winhlpp32

Sollten unter Run/RunServices auftauchen und auch bei den Einträgen zu den Systemservices.

Bei diesen kannst dann nicht nur den eintrag wo der suchbegriff auftaucht entfernen sondern den ganzen "system"-"dienst"

Ich weiss jetzt nicht genau wo die systemservices abgelegt werden drum kann ich da keine Details zu posten.

powerman · 24.12.2003, 01:03

hi,
ich sende dir ein virustool= stinger per email-> mcafee!

Perseus · 24.12.2003, 01:16

Hallo,

@Powerman:

Hast Du es schon abgeschickt, an welche Adresse? Egal, sie lautet roman.weinhofer@gmx.at, danke Dir. Ist es das selbe Tool wie schon das oben im Thread beschriebene Stinger-Tool (siehe Link oben), das hat sie nämlich schon ausprobiert, der Gaobot-Wurm, bzw. dessen Abkömmling wurde von ihmn nicht erkannt, danke!

@ Sesa_mensa:
Danke für die Erklärung, werde es ihr morgen so erklären, falls das Tool nichts hiflt.

Schönen Gruß,

Roman.

23.12.2003, 21:19	#1
Perseus Master Registriert seit: 28.09.2000 Beiträge: 696	Wie entfernt man den W32.Gabot-Worm? Hallo, eine Freudin von mir hat sich den W32.Gabot-Wurm eingefangen, Antivir hat ihr nichts angezeigt, ein Onlinevirustest hat den Wurm dann gefunden, aber nicht entfernen können. Sie kann im Prinzip aufs Internet zugreifen, bloß fährt der PC in unregelmäßigen Abständen runter und startet neu. Tja, auf der Symantec-Seite habe ich kein Removal-Tool zur Entfernung gefunden, weiß jemand wo man eines herbekommt, bzw. weiß jemand wie man den Wurm sicher entfernt, ohne die halbe Registry rauslöschen zu müssen? Über rasche Antwort würde ich freuen, danke, schönen Gruß, Roman.

23.12.2003, 21:38	#2
Sesa_Mina Schwarzfußfrettchen Registriert seit: 28.01.2001 Beiträge: 2.071	prozesse in de rListe checken. im angesicherten modus booten. regedit starten. ALLE Vorkommnisse des Prozzesses löschen. Auch diejenigen die ihn als Systemservice eintragen. Sollten insgesamt 6 Einträge in der Registry sein. Jetzt noch die files löschen. (scvhost, winhlpp32) Neu starten. Und dass sollte es gewesen sein. Wenn das nix geholfen hat dann hast nen registryeintrag übersehen und kannst von vorn anfangen. ____________________________________ Wann die kan Almdudler ham... \"Es gibt nur einen Weg zur Lunge, und der muss geteert werden, damit der Krebs nicht stolpert!\" http://www.dream.at/gizmo/bunny.gif Image is © 2001 Merle Sterndalsäg.. ähh... jäger

23.12.2003, 21:51	#3
andero Veteran Registriert seit: 24.11.2000 Beiträge: 213	das sollte auch helfen http://vil.nai.com/vil/stinger/ ist halt "LEIDER" nicht von Symantec aber es entfernt diesen Virus halt auch ... ciao ____________________________________ Nach 10 Bier sind alle Frauen schön!

23.12.2003, 23:14	#5
Sesa_Mina Schwarzfußfrettchen Registriert seit: 28.01.2001 Beiträge: 2.071	Die Variante die bei einem Kollega beseitigen zu dürfen ich die fragwürdige Ehre hatte wurde von dem stinger zeugs NICHT gefunden. ____________________________________ Wann die kan Almdudler ham... \"Es gibt nur einen Weg zur Lunge, und der muss geteert werden, damit der Krebs nicht stolpert!\" http://www.dream.at/gizmo/bunny.gif Image is © 2001 Merle Sterndalsäg.. ähh... jäger

24.12.2003, 00:33	#8
Sesa_Mina Schwarzfußfrettchen Registriert seit: 28.01.2001 Beiträge: 2.071	Der Virus läuft als Prozess unter einem bestimmten Namen. Scvhost.* oder Winhlpp32.* zum Bleistift. Nach diesen Begriffen such in regedit. Also scvhost und auch winhlpp32 Sollten unter Run/RunServices auftauchen und auch bei den Einträgen zu den Systemservices. Bei diesen kannst dann nicht nur den eintrag wo der suchbegriff auftaucht entfernen sondern den ganzen "system"-"dienst" Ich weiss jetzt nicht genau wo die systemservices abgelegt werden drum kann ich da keine Details zu posten. ____________________________________ Wann die kan Almdudler ham... \"Es gibt nur einen Weg zur Lunge, und der muss geteert werden, damit der Krebs nicht stolpert!\" http://www.dream.at/gizmo/bunny.gif Image is © 2001 Merle Sterndalsäg.. ähh... jäger

23.12.2003, 22:43	#4
Perseus Master Registriert seit: 28.09.2000 Beiträge: 696	Hallo, danke für die prompte Anwort, der erste Lösung ist aufweniger als die zweite, bloß ist in diesem Stringer-Remove Tool auch der W32-Gabot-Wurm inkludiert, ich kann ihn in der Liste nicht entdecken, ok, na ich werde ich mal den Link gleich schicken, mal sehen ob es hinhaut, danke jedenfalls an beide! Schönen Abend noch, Gruß, Roman.

23.12.2003, 23:33	#6
Perseus Master Registriert seit: 28.09.2000 Beiträge: 696	Hallo, ja eben, ich denke auch auch das der Stinger den Gabot-Wurm nicht findet, weil er einfach in der Liste nicht erscheint, ich hab das Programm gerade selbst bei mir ausprobiert, und in der Liste ist eben kein Gabot-Wurm, na sie scannt gerade, mal sehen. @ Sesa_Mina: Jedenfalls für den Fall das Stinger nicht hilft, sag wie ist das genau mit den Files in der Registry löschen Sesa, Du schreibst ja "im angesicherten modus booten. regedit starten. ALLE Vorkommnisse des Prozzesses löschen. Auch diejenigen die ihn als Systemservice eintragen. Sollten insgesamt 6 Einträge in der Registry sein. Jetzt noch die files löschen. (scvhost, winhlpp32) Neu starten. Und dass sollte es gewesen sein. Wenn das nix geholfen hat dann hast nen registryeintrag übersehen und kannst von vorn anfangen." Im abgesicherten Modus, (ich glaube da muß man F8 beim Booten drücken um ihn auswählen zu können) starten und regedit unter Start-->Ausführen starten, verstehe ich ja noch. Aber was meinst du mit "alle vorkommnisse des Prozesses löschen? Ich hab dann die Registry vor mir, ok, und was soll ich da nun löschen welche Vorkommnise welcher Prozesse? Welche 6 Einträge meinst du im spziellen? Und die Dateien scvhost, winhlpp32 finde ich mit der Suchfunktion und lösche sie bzw. sie dann, oder, meinst du das so? Ich muß sie nämlich dann anrufen, und wenn ich es noch nicht kapiert habe, wirds nämlich schwer Sesa ! Danke jedenfalls für die Mühe! Schönen Gruß, Roman.

24.12.2003, 00:01	#7
Perseus Master Registriert seit: 28.09.2000 Beiträge: 696	Hallo, also wie erwartet, hat das Stingerprogramm den Virus nicht erkannt, es gibt ja von dem wie ich gelesen habe unzählige Varianten, genau heißt er W32/Gaobot.worm.gen.d, den Namen hat der Online-Virenchecker ausgegeben. Danke, Roman.

24.12.2003, 01:03	#9
powerman gesperrt Registriert seit: 08.06.2002 Alter: 76 Beiträge: 4.263	per email->progi hi, ich sende dir ein virustool= stinger per email-> mcafee!

24.12.2003, 01:16	#10
Perseus Master Registriert seit: 28.09.2000 Beiträge: 696	Hallo, @Powerman: Hast Du es schon abgeschickt, an welche Adresse? Egal, sie lautet roman.weinhofer@gmx.at, danke Dir. Ist es das selbe Tool wie schon das oben im Thread beschriebene Stinger-Tool (siehe Link oben), das hat sie nämlich schon ausprobiert, der Gaobot-Wurm, bzw. dessen Abkömmling wurde von ihmn nicht erkannt, danke! @ Sesa_mensa: Danke für die Erklärung, werde es ihr morgen so erklären, falls das Tool nichts hiflt. Schönen Gruß, Roman.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)