Hilfe
Neues Thema
Antworten
Hallo Foruminaner,
Ende April habe ich Bekanntschaft mit dem Agobot-Wurm in der Version "Cvmonitor-exe" gemacht.
Nach anfänglichen Schwierigkeiten ließ sich der Wurm mittels Sophos-Software und Löschung in der Registrierung entfernen. Danach ließ ich NAV und Trendmicro drüber laufen und beide meldeten "virusfrei"
Dann allerdings das böse Erwachen: die Datei "hosts" wird nach wie vor umgeschrieben, d.h., ein automatisches Update von NAV ist nicht möglich, auch die Seite "symantec.com" ist nicht erreichbar.
Ich also die Einträge in der Datei gelöscht mit auf "127.0.0.1 localhost" und die Datei auch noch umbenannt. NAV aktualisiert, drüber laufen lassen – nichts! Trendmicro – nichts! Computer neu gestartet – oh weh! Meine umbenannte hosts-Datei war zwar noch da, jedoch auch eine neue, in der wieder die gleichen zuvor gelöschten Einträge vorhanden waren.
Also muß der Wurm also noch aktiv sein.
Ich habe die Registry nach verdächtigen Einträgen abgesucht, wie "explored.exe" oder "svchost.exe" – nix! Ich konnte in den "Run"-Einträgen nichts verdächtiges feststellen.
Meine Konfiguration: W2K, SP4 (neueste Updates), NAV 2004 neueste Viren-Definition, Firewall von McAfee, DSL-1000 von Freenet über Fritz-USB-Modem
Vielleicht kennt einer von Euch noch einen Tipp, wie man das Teil entgültig entfernen kann.
----------------------------------
Beste Grüße
Matthias
Seite 1 von 1
Agobot Trotz Entfernung Aktiv?
#1
Matthias69 
geschrieben 19. Mai 2004 - 09:37
Nach oben
#2 _shelby_
geschrieben 19. Mai 2004 - 10:44
Mein Tipp: Festplatte formatieren und neu installieren. Mit diesen Agobot -Würmern ist nicht zu spaßen.
#3
Stern1900
geschrieben 19. Mai 2004 - 10:50
Du kannst ja mal folgendes kleines Programm versuchen.
http://www.mlin.net/...upMonitor.shtml
Der meldet startende Tasks an.
http://www.mlin.net/...upMonitor.shtml
Der meldet startende Tasks an.
#4
Matthias69
geschrieben 19. Mai 2004 - 11:37
Dank Euch beiden schon mal
@shelby: genau das will ich ja vermeiden, wenn es nicht unbedingt notwendig ist. Ich vermute, daß sich das Teil im boot-sektor "festgefressen" hat - ich will heute mal versuchen, mit der NAV-CD zu booten und so dass Problem zu lösen
@stern1900: Danke! Werde ich mal ausprobieren! Vielleicht läßt sich dadurch ein unerwünschter "Mitesser" lokalisieren und ggf. beseitigen
Beste Grüße
Matthias
@shelby: genau das will ich ja vermeiden, wenn es nicht unbedingt notwendig ist. Ich vermute, daß sich das Teil im boot-sektor "festgefressen" hat - ich will heute mal versuchen, mit der NAV-CD zu booten und so dass Problem zu lösen
@stern1900: Danke! Werde ich mal ausprobieren! Vielleicht läßt sich dadurch ein unerwünschter "Mitesser" lokalisieren und ggf. beseitigen
Beste Grüße
Matthias
#5 _shelby_
geschrieben 19. Mai 2004 - 11:43
@ Matthias69:
Lies bitte mal in der neuen c't das Editorial. Dort wird Agobot/Phatbot als das "Schweizer Taschenmesser unter den Schädlingen" bezeichnet.
Es ist darauf programmiert maximalen Schaden anzurichten und besitzt ausgeklügelte Schad-und Spionagefunktionen.
Ich an deiner Stelle würde die Festplatte platt machen. Das Teil ist gefährlich.
Lies bitte mal in der neuen c't das Editorial. Dort wird Agobot/Phatbot als das "Schweizer Taschenmesser unter den Schädlingen" bezeichnet.
Es ist darauf programmiert maximalen Schaden anzurichten und besitzt ausgeklügelte Schad-und Spionagefunktionen.
Ich an deiner Stelle würde die Festplatte platt machen. Das Teil ist gefährlich.
#6
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 19. Mai 2004 - 14:18
Und dann mal über eine wirksame Sicherheitsstrategie nachdenken. NAV, PFW und eine leichtsinnige Einstellung gegenüber Malware ("ne, einfach bloss entfernen, ssaubere Neuinstallation ist nicht nötig") sind keine guten Ansätze.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
Matthias69
geschrieben 19. Mai 2004 - 15:20
Zitat (Rika: 19.05.2004, 14:18)
Und dann mal über eine wirksame Sicherheitsstrategie nachdenken. NAV, PFW und eine leichtsinnige Einstellung gegenüber Malware ("ne, einfach bloss entfernen, ssaubere Neuinstallation ist nicht nötig") sind keine guten Ansätze.
Hallo Rika,
was hättest Du denn für Vorschläge bzgl. einer "wirksamen Sicherheitsstrategie" außer regelmäßigen Sicherheitsupdates, Neuen Virusdefinitionen und PFW? Eventuell statt des USB-Modums einen Router?
Für konstruktive Vorschläge wäre ich dankbar.
#8
Iso
- Gruppe: aktive Mitglieder
- Beiträge: 483
- Beigetreten: 14. Mai 03
- Reputation: 0
- Wohnort:Hörstel
- Interessen:Computer<br />Parties<br />Mädels...
geschrieben 19. Mai 2004 - 15:58
Schonmal kein Norton Anti virus benutzen, am besten den preisgekrönten G-Data AntiVirenKit 12 und eine PFW bringt auch keine sicherheit, Wer auf deinen Rechner will, kommt auch drauf. Schalte lieber mal dein Brain 1.0 ein, wie immer Rika zu sagen pflegt und denke mal darüber nach, welchen Browser du benutzt, ob du regelmäßig Winupdates machst, etc...
Asus F3JP-Z53 Notebook:
Intel Core 2 Duo T7200 @ 2 Ghz
Mobile Radeon X1700 256 MB
2048 MB DDR2-Ram
160 GB Hitachi HDD
Ubuntu 9.04 / Windows XP SP 3
Intel Core 2 Duo T7200 @ 2 Ghz
Mobile Radeon X1700 256 MB
2048 MB DDR2-Ram
160 GB Hitachi HDD
Ubuntu 9.04 / Windows XP SP 3
#9
Matthias69
geschrieben 19. Mai 2004 - 16:15
Hallo Hannibal
Schonmal kein Norton Anti virus benutzen, am besten den preisgekrönten G-Data AntiVirenKit 12
>>Da gehen die Meinungen sicher auseinander - der ein schwört auf NAV, der andere auf McAfee, die anderen auf G-Data, und - was heißt schon preisgekrönt?
und eine PFW bringt auch keine sicherheit, Wer auf deinen Rechner will, kommt auch drauf.
>>Dann kann ich die PFW ja auch weg lassen - oder? 100 %ige Sicherheit gibts ja nicht - wer drauf will, kommt auch drauf. Oder hast Du einen besseren Vorschlag als eine PFW?
Schalte lieber mal dein Brain 1.0 ein, wie immer Rika zu sagen pflegt und denke mal darüber nach, welchen Browser du benutzt, ob du regelmäßig Winupdates machst, etc...
>>Wie schon gesagt, werden regelmäßig winupdates durchgeführt. Den letzten Explorer, den ich benutzt habe, war der 4.0 - seitdem nur noch Netscape bzw. seit einigen Monaten Opera.
Tjo, und jetzt?
Meine Fragestellungen mögen Euch vielleicht provokant erscheinen, aber bisher sind noch keine konstruktiven Vorschläge gekommen, die ich nicht schon selber durchgeführt habe. Na ja, mal sehen, was "Brain-Rika" noch schreibt.
beste Grüße
Matthias
Schonmal kein Norton Anti virus benutzen, am besten den preisgekrönten G-Data AntiVirenKit 12
>>Da gehen die Meinungen sicher auseinander - der ein schwört auf NAV, der andere auf McAfee, die anderen auf G-Data, und - was heißt schon preisgekrönt?
und eine PFW bringt auch keine sicherheit, Wer auf deinen Rechner will, kommt auch drauf.
>>Dann kann ich die PFW ja auch weg lassen - oder? 100 %ige Sicherheit gibts ja nicht - wer drauf will, kommt auch drauf. Oder hast Du einen besseren Vorschlag als eine PFW?
Schalte lieber mal dein Brain 1.0 ein, wie immer Rika zu sagen pflegt und denke mal darüber nach, welchen Browser du benutzt, ob du regelmäßig Winupdates machst, etc...
>>Wie schon gesagt, werden regelmäßig winupdates durchgeführt. Den letzten Explorer, den ich benutzt habe, war der 4.0 - seitdem nur noch Netscape bzw. seit einigen Monaten Opera.
Tjo, und jetzt?
Meine Fragestellungen mögen Euch vielleicht provokant erscheinen, aber bisher sind noch keine konstruktiven Vorschläge gekommen, die ich nicht schon selber durchgeführt habe. Na ja, mal sehen, was "Brain-Rika" noch schreibt.
beste Grüße
Matthias
#10
xxfaxexx
geschrieben 19. Mai 2004 - 17:29
Servus,
@Matthias69:
benutze mal die suche vom Board
.
Das kommt dabei raus :
Sicher 1
Sicher 2
Sicher 3
Lese dir diese drei Beiträge mal durch. Der 1. und der 3. sind sehr gut. Aber nicht nur einfach machen sondern versuchen zu verstehen was du da machst udnwas es bewirkt!
Hoffe ich konnte dir helfen
cui Faxe
@Matthias69:
benutze mal die suche vom Board
.Das kommt dabei raus :
Sicher 1
Sicher 2
Sicher 3
Lese dir diese drei Beiträge mal durch. Der 1. und der 3. sind sehr gut. Aber nicht nur einfach machen sondern versuchen zu verstehen was du da machst udnwas es bewirkt!
Hoffe ich konnte dir helfen
cui Faxe
#11
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 19. Mai 2004 - 23:47
@Matthias69:
1. NAV ist de fakto Müll. http://scheinsicherh...npic.de/nav.htm, http://www.chip.de/forum -> Viren,... -> mal lesen, wieviele sich verseucht haben, während NAV im Hintergrund weiterläuft und nix peilt.
An gleichen Stellen sowie auch mla in der c't erfährst du, an welche praxisrelevanten Qualitäten es den anderen benannten Alternativen nicht mangelt.
2. Eine PFW bringt auch Sicherheitslücken mit sich, aber auf einem ordentlich konfigurierten System keine zusätzliche Sicherheit. Mal ganz davon abgesehen, daß du ohne Detailwissen über TCP/IP mit einer solchen Maßnahme eh nicht viel bewirken kannst, außer dich selbst zu DoSen.
3. Konstruktiver Vorschlag wurde implizit gemacht: Boardsuche benutzen. Brain 1.0 impliziert auch, daß du nicht alles anklickst was bei 3 nicht auf den Bäumen ist und daß du vor allem keine Dienste auf Netzwerkebene nach draußen hin anbietest, wie das Alles-wird-leichter-weil-alles-standardmäßig-eingeschaltet-ist-WindowsXP so tut. Siehe auch http://www.ntsvcfg.de
1. NAV ist de fakto Müll. http://scheinsicherh...npic.de/nav.htm, http://www.chip.de/forum -> Viren,... -> mal lesen, wieviele sich verseucht haben, während NAV im Hintergrund weiterläuft und nix peilt.
An gleichen Stellen sowie auch mla in der c't erfährst du, an welche praxisrelevanten Qualitäten es den anderen benannten Alternativen nicht mangelt.
2. Eine PFW bringt auch Sicherheitslücken mit sich, aber auf einem ordentlich konfigurierten System keine zusätzliche Sicherheit. Mal ganz davon abgesehen, daß du ohne Detailwissen über TCP/IP mit einer solchen Maßnahme eh nicht viel bewirken kannst, außer dich selbst zu DoSen.
3. Konstruktiver Vorschlag wurde implizit gemacht: Boardsuche benutzen. Brain 1.0 impliziert auch, daß du nicht alles anklickst was bei 3 nicht auf den Bäumen ist und daß du vor allem keine Dienste auf Netzwerkebene nach draußen hin anbietest, wie das Alles-wird-leichter-weil-alles-standardmäßig-eingeschaltet-ist-WindowsXP so tut. Siehe auch http://www.ntsvcfg.de
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#12
Speedyfree
geschrieben 20. Mai 2004 - 10:04
Probier mal F-Prot,
der virenscanner läuft über dos mit start diskette in den du die neueste Virendefinition mit drauf machst.
Vielleicht findet der ja was.
der virenscanner läuft über dos mit start diskette in den du die neueste Virendefinition mit drauf machst.
Vielleicht findet der ja was.
#13
Matthias69
geschrieben 21. Mai 2004 - 08:48
Danke Euch allen für die wirklich interessanten und nachahmenswerten Einsichten und konstruktiven Vorschläge
Beste Grüße
Matthias
Beste Grüße
Matthias
- ← Winxp Verliert Netzwerk Nach 10 - 12 Stunden
- Windows XP & Windows Media Center Edition
- Dvd-ram Fat32 Unter Windows Xp →
Thema verteilen:
Seite 1 von 1