---

hallo forum!
mahlzeit.
also:
heute morgen kam die meldung vom nachrichtendienst:
"VirusScan NT: Die Datei E:\ntsvc.exe ist mit dem Virus W32/Gaobot.worm.gen.f infiziert. Säuberung der Datei nicht möglich. Entweder ist keine Säuberung verfügbar oder auf die Datei kann nicht zugegriffen werden."
danach meldete sich die firewall ganz oft, habe aber eine verbindung immer abgelehnt.
die datei ntsvc.exe.vir ist immer noch da, hab schon einen zweiten virenscanner drüber laufen lassen, der erkennt aber auch nichts.
die datei ntsvc.exe.vir hat 0 KB!
wie bringe ich den virus weg? jetzt sind schon drei rechner infiziert.
die typischen merkmale sind nicht aufgetaucht (verschieden dateien im registrierungseditor).
danke für hilfe.

------------------
grüße von
zz*

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo,

haste mal hier geschaut?
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.gaobot.removal.tool.html

------------------
Grüße
Ralf

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

dankeschön, hab ich gerade gemacht, es wurde jedoch nichts gefunden, auch nicht nach neustart und nochmaligem anwenden des tools.
"Symantec Gaobot FixTool 1.0.17.0

C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
E:\System Volume Information: (not scanned)
F:\System Volume Information: (not scanned)
W32.Gaobot has not been found on your computer."
und jetzt?
hab ich am ende gar keinen virus?

------------------
grüße von
zz*

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hi, naja...ich bin kein Spezialist 
Vielleicht ist das ja auch irgendeine Falschmeldung. Der Nachrichtendienst wird gerne für alles Mögliche mißbraucht, kannst Du den nicht deaktivieren?
Manchmal bekomme ich irgendwelche Virenalarme, dann säubere ich die Festplatte mal mit ad-aware...was sich da so alles ansammelt...

------------------
Grüße
Ralf

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

hallo ralf!
was ist ad-aware?

------------------
grüße von
zz*

[Diese Nachricht wurde von zeichenzwerg am 08. Sep. 2004 editiert.]

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

 

Zitat:

---

Original erstellt von zeichenzwerg:
hallo ralf!
was ist ad-aware?

---

siehe bei www.lavasoft.de

------------------
Gruß
U. Süß                Don't panic, you work with Pro/E! (Thomas alias giatsc)    

[Diese Nachricht wurde von U_Suess am 08. Sep. 2004 editiert.]

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

AHA!? danke U_Suess!
das hab ich jetzt auch installiert, bloß trau ich mich nicht so recht an die registrierungsdateien ran.
hatte noch niemand diesen wurm/virus?
isch krieg die krise ...

------------------
grüße von
zz*

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo,

ich habe manchmal 40-50 Meldungen im Ergebnis, und hatte noch keine Probleme mit den Reg-Daten. Es werden ja nicht einfach Schlüssel geändert oder gelöscht, sondern nur die, die in der Definitionsdatei enthalten sind.
Für weitere Probleme schau mal auf wewewe.trojaner-info.de

------------------
Grüße
Ralf

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von ralfm:

Für weitere Probleme schau mal auf wewewe.trojaner-info.de

---

dankeschön!

------------------
grüße von
zz*

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Wenn Dein System einmal kompromittiert wurde, gehört es nicht mehr Dir. Selbst wenn Du die erste Infektion erfolgreich beseitigst, kannst Du nicht abschätzen, wie viel Schad-Code, Backdores etc. inzwischen auf Deinem System aktiv wurden.

Einzige sinnvolle und sichere Lösung ist sämtliche Partitionen zu löschen, Betriebssystem aus sauberer Quelle neu zu installieren und Nutzdaten aus letztem unbelastetem Backup wieder einzuspielen.

Siehe: http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000
http://faq.jors.net/virus

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

       

so`n mist. ich dachte, ich entfern ihn, und dann hab ich ruhe!

------------------
grüße von
zz*

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hoffentlich ist es noch nicht zu spät
*mit Adaware hatte ich noch nie problehme un konnte immer voll darauf vertrauen eine Sicherung anlegen ist aber trotsdem beruigender
*kannst du die Datei im abgesicherten maodus löschen
*Den Namen der Datei als Text suchen
* www.bitdefender.de (unten links) kann man auch einen onlinescan machen.
mit dem Stinger könntest du auch glück haben am besten bei www.google.de suchen damit der aktuellste da ist
ansonsten 

------------------
Gruß von einem Sachsen aus dem Frankenland
Uli

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Alle diese vermeintlichen Säuberungsversuche mit Viren- oder Cleaning-Tools egal welcher Art sind reine Augenwischerei, da sie allenfalls das erste Einfallstor beseitigen können, aber nie den Schad-Code inklusive Backdoors, die im Nachhinein über das erste Leck nachinstalliert wurden (siehe Agobot).

Es bleibt dabei: Ist ein System einmal kompromittiert (egal wovon) stellen

1) eine vollständige Löschung der Partition
2) ein Neuinstallation des Betriebssystems aus sauberer Quelle
3) ein Zurückspielen der Nutzdaten aus dem letzten unbelasteten Backup

den einzig sinnvollen Weg der Bereinigung dar.

Zur Erläuterung: http://oschad.de/wiki/index.php/Kompromittierung

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

@JPietsch
Wir haben es jetzt schon mehrfach gelesen! Und wenn genügend Zeit dazu ist, werden wir natürlich immer alle unsere Daten wegschmeisen und alles plattmachen. Aber es gibt auch Leute, die brauchen einen Rechner zum Arbeiten und nicht nur zum permanenten Neuinstallieren.
Der Ratschlag ist sicher gut und auch beachtenswert, aber wenn ich bei jedem Muckser meines Antiviren-Programmes oder von Ad-Aware meinen Rechner neu machen würde, bräuchte ich wahrscheinlich drei Rechner, damit ich wenigstens evtl. einen zum Arbeiten habe.
Vielleicht solltest Du auch noch einen weiteren Rat mit reinschreiben? Festplatte wegschmeißen, schließlich soll es Sachen geben, die sogar eine Formatierung überstehen.

_________________
Gruß
U_Suess

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

"Permanent neuinstallieren" muß nur derjenige, der auch "permanent" Neuinfektionen zuläßt. Dies läßt sich aber mit einer korrekten Konfiguration seines Rechners und die konsequente Nutzung von Brain (Einspielen aller benötigten Microsoft-Updates, Abschalten nicht benötigter Dienste, Verzicht auf inhärent unsichere Software wie Microsoft IE und OE) sehr effizient verhindern. Die dazu notwendigen Informationen sind an allen Ecken und Enden des Internets verfügbar und mittels Suchmaschinen jederzeit zu finden, z.B.
http://www.linkblock.de http://faq.underflow.de

Wer dazu in heutigen Zeiten nicht bereit ist, ist nicht in der Lage, einen Rechner an öffentlichen Datennetzen sicher zu betreiben. Wird sein System infiziert und dadurch zur Viren-, Wurm- oder Spamschleuder, schadet er nicht nur sich, sondern auch der Allgemeinheit, die für die Bandbreite des Mülls aufkommen muß, die sein verseuchtes System ins Internet schiebt. Daher ist es nur zu verständlich, wenn solche User von ihren Internet-Providern rigoros von ihren Online-Zugängen abgeklemmt werden.

Und speziell der vom OP "zeichenzwerg" genannte Gaobot-Wurm ist ein ganz besonders bösartiger Vertreter seiner Gattung, da er sich unter anderem selbst als Dienst installiert, einen TCP-Port öffnet, um weiteren Schad-Code nachzuladen, und sogar einen eigenen IRC-Client auf dem befallenen System installiert, auf dem der Schädling anschließend auf Befehle von außen lauscht. Auf einem von Gaobot befallenen System ist somit praktisch _alles_ durch Fremdzugriff möglich, und kein Scanner und kein Cleaning-Tool dieser Welt kann auf einem solchen System jede Manipulation sicher erkennen geschweige denn beseitigen.

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von JPietsch: Verzicht auf inhärent unsichere Software wie Microsoft IE und OE) sehr effizient verhindern.[/B]

---

Du hast aber auch vergessen, dass Word und Exel auch anfällig sind und die meisten damit zu tun haben! Wenn man diese Programme nicht hat kann man mit den Kunden oder Auftraggebern nicht kommunizieren, einige andere Programme nicht nutzen die man braucht weil diese auch mit MS zusammenarbeiten.
Windows allgemein muß man nehmen weil die Softwarehersteller kein Linux,Mac u.s.w. bereitstellen!

Ich bin wahrhaftig kein Freund von Windows, aber was sein muß muß sein.
Allerdings wenn man ein anständiges Antivirenprogramm hat (da muß man halt Geld ausgeben )ist man auch relativ sicher.

zu Hause hab ich den BitDefender prof. In der Arbeit ein anderes nur fällt mir der Name nicht ein 

------------------
Gruß von einem Sachsen aus dem Frankenland
Uli

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

habe die Website gefunden  http://de.trendmicro-europe.com/index.php
auf dem Server installiert prüft er auch die anderen Rechner und gibt meldungen an den Administrator per e-mail raus und updatet sich selbstständig.
meiner Meinung nach das beste für eine Firma da für andere Benutzer Zugriffsrechte eingeschrängt werden können.

------------------
Gruß von einem Sachsen aus dem Frankenland
Uli

[Diese Nachricht wurde von Uli.Zi am 25. Sep. 2004 editiert.]

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo zusammen,

ich kann es bald nicht mehr hören:

Zitat:

---

...Wenn man diese Programme nicht hat kann man mit den Kunden oder Auftraggebern nicht kommunizieren,...

---

Andere Programme wie OpenOffice sind sehr wohl in der Lage, Word- oder Excel-Dateien zu öffnen. Openoffice läßt sich auch so einstellen, daß standardmäßig im Word-Format abgespeichert wird.

Was Excel angeht, so behaupte ich, daß die meisten Excel-Dateien gar keine Tabellen-Kalkulationen sind, sondern daß Excel nur mißbraaucht wird, um Tabellen zu erstellen. So sieht es zumindest nach meiner Erfahrung aus.

Für mich ist die oben zitierte Behauptung nur eine Ausrede,die man gebraucht, weil man zu bequem ist, sich zu informieren.

Sorry, wenn sich jetzt jemand auf den Schlips getreten fühlt. 

Viele Grüße,

CEROG

------------------
Inoffizielle Linux-Hilfeseite http://linux.cad.de

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von CEROG:
Sorry, wenn sich jetzt jemand auf den Schlips getreten fühlt. 
[/B]

---

Du hast ja recht was mit den Office Programmen zu tun hat.
Aber ich arbeite mit MasterCam und das ist nur für Windows

(privat bin ich ja auf den Weg zu Linux)

------------------
Gruß von einem Sachsen aus dem Frankenland
Uli

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo zusammen,

wenn du an Linux interessiert bist, schau dich doch mal auf der Inoffiziellen Linux-Hilfeseite um. Vielleicht ist ja (schon) was für dich dabei.

Viele Grüße,

CEROG

------------------
Inoffizielle Linux-Hilfeseite http://linux.cad.de

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Danke werde ich gebrauchen können

------------------
Gruß von einem Sachsen aus dem Frankenland
Uli

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP