Nachrichtendienst - Windows - Zu Hülfe

Liebelein, da scheint sich zu bestätigen, was mir seit deinem ersten Posting schon schwante - auf der Kiste ist ein Trojaner

Wie lange biste denn noch an Mutters Rechner? Ich müsste dann erst einmal recherchieren und hab keine Ahnung, wie lange das dauert.

Isse wech. Glaube ich. Habe mir Hijackthis runtergeladen, gescannt und gekickt. Bislang schweigt er.

Gratulation!

Zu früh gefreut. *grr* Das Eingangsfenster erscheint zwar nicht mehr, aber diese Sicherheitswarnungen erscheinen weiterhin. Und die Seite, die man aufsuchen soll, wechselt ständig.

HEEEEEEEPPPPPPPPIIIIIIIIIIIIIIIIIIIIIII1 *brüll*

Tja Tigo, da kannst du vermutlich lange brüllen. Ich habe gerade eine Mail von Heppi gekriegt - sie war ein paar Tage zur Beobachtung im Krankenhaus, Verdacht auf Herzmuskelentzündung. Das hat sich zwar gottlob nicht bewahrheitet, aber sie soll noch ein paar Tage in Ruhe verbringen und sich schonen. Also wohl auch nix mit PC.

Und damit auch von dieser Stelle nochmals gute Besserung an Heppi schick...

gefunden bei Ikarus: http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=b&submit=suche&show=Backdoor.Agobot.NI

Backdoor.Agobot.NI

Alias: W32/Agobot-NI, Backdoor.Agobot.ni, W32/Gaobot.worm.gen.j virus, W32.HLLW.Gaobot.gen

Backdoor.Agobot.NI ist ein Wurm, der sich remote über IRC-Kanäle verbreitet.
Wenn das lokale Netzwerk nicht durch ausreichende Kennwörter geschützt ist, kopiert sich der
Backdoor.Agobot.NI als csrs.exe in den Windows-Systemordner.


Folgende Registrierungseinträge werden erstellt:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Update Service = csrs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Update Service = csrs.exe

Jedes Mal, wenn Backdoor.Agobot.NI gestartet wird, versucht er, sich mit einem remoten
IRC-Server und einem bestimmten Kanal zu verbinden.

Backdoor.Agobot.NI beendet bzw. deaktiviert Antivirenprogramme.

Ebenfalls kann eine Textdatei namens HOSTS in C:\\drivers\etc
angelegt werden. Diese enthält Namen von Antiviren- und anderen Sicherheits-Websites,
die mit der IP-Adresse 127.0.0.1 verknüpft sind und dadurch der Zugriff auf diese Webseiten
unmöglich gemacht wird:

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com



Entfernung:

Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.
Bearbeiten der Registrierungseinträge:

Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Update Service = csrs.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Update Service = csrs.exe

Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.



Das da oben ist der manuelle Weg, das Ding loszuwerden ...

Achtung: die CRCSS (DOPPEL-S am ENde) ist WICHTIG! Die muss Windows afaik haben, weil sonst die Prozess-Steuerung nicht funzt.

Sophos hält den Verursacher dieser exe für einen Wurm und bietet, genau wie Bitdefender kostenlose Removal-Tools an.

http://www.sophos.de/virusinfo/analyses/index_st_worm.html

http://www.bitdefender.de/html/free_tools.php

Sophos liefert auch einige Alias-Namen des Verursachers.

Die TU Berlin liefert auch gute Info:
http://www.tu-berlin.de/www/software/virus/aktuell.shtml?all05
inklusive Links zu Viren/Bot/und Worm-Killern ...

Hoffe geholfen zu haben, auch wenn gar nicht nach mir gebrüllt wurde:)

//Able - daumendrückend

Ach Du Sche***, Heppi, dat kommt von sowatt! Wünsche auch gute Besserung!

Able, weißte, das sind für mich bömische Dörfer. Muss ich morgen mal gucken. Runterladen von irgendwas ist hier eher schwierig, das Teil arbeitet mit Modem = Rennschnecke ...

[Dido]

Tigo, macht deine Mutter denn auch mal Updates?? Irgendwie erinnert mich das jetzt alles an einen Virus, denn es im Sommer 2003 gab - ziemlich großes Ding und einige meiner Freunde hatten anschließend Probleme....

Zuletzt geändert von Dido am 20.05.2005, 21:41, insgesamt 1-mal geändert.

Meine Mutter hat mit 63 zum ersten Mal vor dem Rechner gesessen. Sie kann ihn heute anschalten, im Netz surfen, googlen, Mails schreiben. Alles andere ist nicht ihr Ding. Mein Schwager hat das Teil eingerichtet, und so wie es aussieht, war der Trojaner gleich dabei ... Experte halt.

Able, hab ich jetzt mal so geprüft, wie dort oben beschrieben, finde dort keine Einträge. In den laufenden Prozessen der Taskleiste finde ich auch nur noch die exe mit dem doppelten S mit diesem Namen - dat darf ja, wenn ich das verstanden habe, ja?

Hmpf, woher kommen dann bloß diese Meldungen? *grrr*

Hrmm ...

Tigo, nur um Dich abzulenken *zwinker* ... hast Du Dir mal manuellerweise die Registry durchgeschaut? Weil wenn Du den Prozess finden und abschalten willst, "händisch", dann bleibt Dir nix anderes, als Dich da wirklich durchzusuchen - macht aber weder Spass, noch irgendwie Vergnügen, weil mensch, wenn unerfahren, leicht in Versuchung gerät, doch das falsche zu löschen ...

Ich selbst habe meine Registry inzwischen einigermassen im Blick, mach das auch meist händisch, das rauslöschen, aber ich hab mir damit auch gelegentlich nächtelange Sessions des "Entstrubbelns" und neuaufsetzen geschenkt - und das empfehl ich nur Leuten mit a) viel Zeit und b) eisernen Nerven )

Gut ... wenn es rein um die Registry geht:
http://www.zdnet.de/downloads/prg/x/s/de0AXS-wc.html
Da bekommst Du einen m.E. sinnigen kleinen Helfer.

Wenn es um ANtiviren geht: Was läuft denn auf dem Rechner Deiner Ma an ANtiviren-Schutz? ich find ja Anti_Vir mit dem "Regenschirm" recht gut ...
Einmal downloaden und regelmässig updates fahren ...
http://www.free-av.de/

Ansonsten hilft auch Ad-Aware: (gegen Data-miner und sowas)
http://www.lavasoftusa.com/software/adaware/

Da ich so per ferndiagnose nicht wirklich rauskrieg, welcher BackdoorWurm den Rechner Deiner Mom als Hausstand sich ausgesucht hat, krieg ich momentan auch nicht so die richtig guten Tips zusammen ...

Die mit Doppel-S muss DRINbleiben, ja

Hrm ... ich geh mal weiter suchen - und finden, hoff ich

Able, ja, ich habe das durchsucht und nix gefunden. Mit dem Hijackthis habe ich die --> csrs.exe gekillt.

Was eben nur weiter auftaucht, sind diese Fenster in Englisch, wie oben beschrieben. Da wechselt ständig die Seite, die man zur HIlfe besuchen soll. Mir kommt das komisch vor.

Muttern hat hier die Antivir von Norman drauf, meinem Herrn Schwager war das AntiVir nicht gut genug, das ich ihr runtergeladen hatte ...

Hmmm ... dann könnte es sein, daß noch dieses "hosts"-Thema irgendwo sich festgeschrieben hat ...

Ich such mal weiter ... und sobald ich was gefunden hab, meld ich mich!

Und Tigo: ich denk an Euch - es gibt Wunder ... ich hab eins davon zu Hause sitzen. Prognose bei uns damals: zu 90%+ schwere Schäden, und heut, fast 5 Jahre später, isser frech wie ein Spatz, rennt seine 2 x 2 Stunden spazieren, bastelt an seinem Comp, und was nicht alles ... Ich drück Euch alle verfügbaren Daumen

Able, danke. Ich werde langsam wütend, weil alles um mich herum zu resignieren scheint. Ich bin derzeit die einzige, die noch an sein Leben glaubt.

http://vil.nai.com/vil/stinger/

Der Stinger ist ein kleines "Stand-Alone" von Mc-Affee, dass Du Dir runterladen kannst - der killt ziemlich gut, ich hab ihn dank einer infizierten Mail, auch schon mal benutzt.

Hoffentlich isses das ...

Lieben Gruss,

//Able

Zuletzt geändert von Cu_Able am 21.05.2005, 12:39, insgesamt 1-mal geändert.