Gaobot

Farodin · 11.04.2008, 05:14

mein freund hat jetzt seit ungefähr seit einem monat nen neuen laptop. gestern sind ma draufkommen dass er gar kein antivirenprogramm draufhat. überhaupt kein virenprogramm!! ich hab ihn dann eines besorgt (n legales von der offiziellen antivir website). dann habn wir zwei trojaner und einen namesns agent gaobot. was trojaner sind weiß ich ja, aber was ist ein gaobot? was macht er aufm computer? wo kann er ihn eher herhaben: ausm internet oder von einem speichergerät? welchen schaden kann er schon verursacht haben ?( ?( ?( ?(

**Leonixx** · 11.04.2008, 06:57

Aloha,

um das beurteilen zu können solltest du ein Hijackthis Logfile hier posten.

HJT Anleitung

Gruss Leonixx 8)

Farodin · 11.04.2008, 07:58

hab den virus schon gelöscht.
logfile kann i net mehr machen, mein freund lässt mich net mehr zu sein laptop. er denkt dass die paar viren die er hatte den weltuntergang bedeuten.
bei google find ich nichts über gaobot an dass hilfreich wäre. aber ich glaub der virus is so was ähnliches wie ein trojaner, oder?

**xandros** · 11.04.2008, 11:55

ein virus ist kein trojaner. Und Gaobot ist weder Virus, noch Trojaner, sondern ein Wurm.
Sophos führt ihn unter der Bezeichnung W32/Agobot-RR
http://www.de.sophos.com/security/an...2agobotrr.html
Zur Beseitigung die Massnahmen auf der genannten Seite befolgen und auch die weiteren Hinweise berücksichtigen.

Farodin · 11.04.2008, 16:45

danke!!

Humdinger · 11.04.2008, 19:00

Zitat:

kopiert sich der Wurm als ggtb32.exe in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
google toolbar
ggtb32.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
google toolbar
ggtb32.exe Sobald er installiert ist, verbindet sich W32/Agobot-RR mit einem vorkonfigurierten IRC-Server und einem Kanal, über den ein Angreifer weitere Befehle senden kann. Aufgrund dieser Befehle kann der infizierte Computer folgende Aktionen starten: Verändern der HOSTS-Datei des Computers, um den Zugriff auf bestimmte Computersicherheits-Websites zu blockieren

Quelle: Sophos

Du hast das schon alles gelesen?

Das System muss also schnellstens bereinig werden. Du solltest es mit Sophos im abgesicherten Modus scannen und dann per ComboFix hier prüfen prüfen lassen.

SDFix anwenden im abgesicherten Modus
http://www.virus-protect.org/artikel/tools/sdfix.html
Zuerst mit Sophos
http://downloads.andymanchesta.com/R...ools/SDFix.exe
RunThis.bat doppelt klicken
reinschreiben:
3 : wird Sophos geladen - wähle 6 - scanne und poste den scanreport

beenden dann

RunThis.bat erneut doppelt klicken
wähle 1 a-squared und 3
poste den Report

die Reporte liegen unter C:\SDFix

Dann können wir an die Registery gehen.

Farodin · 11.04.2008, 19:16

werd ich machen. das kann ich aber erst frühestens am kommenden mittwoch. is nähmlich nicht mein laptop, er gehört einen freund. der wohnt so um die 50 km weit weg, und er kennt sich kein bisschen am computer aus. ich hab ihn schon angerufen dass er en laptop stehn lassn soll. ich geh mit ihm auf ne schule mit internat, da hab ich nächste woche zeit. dann poste ich die screens, ok?

Humdinger · 12.04.2008, 09:05

Zitat:

Original von Farodin
und er kennt sich kein bisschen am computer aus.

Er sollte dann dieses mal lesen
um eine Grundlage für den Umgang mit Computern zu haben:
Zusammenstellung: Wie mache ich meinen PC sicher?

Zitat:

Original von Farodin
ich hab ihn schon angerufen dass er en laptop stehn lassn soll. ich geh mit ihm auf ne schule mit internat, da hab ich nächste woche zeit. dann poste ich die screens, ok?

Kein Problem =)

Farodin · 12.04.2008, 12:26

danke. ich werd schauen ob is net doch a bisschen früher schaff

Farodin · 14.04.2008, 17:35

so. hab jetzt mit Hijackthis den laptop gescannt. hier ist das ergebniss:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53:49, on 14.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/yco...//de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/yco...//de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe /idle
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) -   - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\system32\serivces.exe (file missing)

--
End of file - 6548 bytes

Sie betrachten gerade: Gaobot