gefunden bei Ikarus:
http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=b&submit=suche&show=Backdoor.Agobot.NIBackdoor.Agobot.NI
Alias: W32/Agobot-NI, Backdoor.Agobot.ni, W32/Gaobot.worm.gen.j virus, W32.HLLW.Gaobot.gen
Backdoor.Agobot.NI ist ein Wurm, der sich remote über IRC-Kanäle verbreitet.
Wenn das lokale Netzwerk nicht durch ausreichende Kennwörter geschützt ist, kopiert sich der
Backdoor.Agobot.NI als csrs.exe in den Windows-Systemordner.
Folgende Registrierungseinträge werden erstellt:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Update Service = csrs.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Update Service = csrs.exe
Jedes Mal, wenn Backdoor.Agobot.NI gestartet wird, versucht er, sich mit einem remoten
IRC-Server und einem bestimmten Kanal zu verbinden.
Backdoor.Agobot.NI beendet bzw. deaktiviert Antivirenprogramme.
Ebenfalls kann eine Textdatei namens HOSTS in C:\\drivers\etc
angelegt werden. Diese enthält Namen von Antiviren- und anderen Sicherheits-Websites,
die mit der IP-Adresse 127.0.0.1 verknüpft sind und dadurch der Zugriff auf diese Webseiten
unmöglich gemacht wird:
127.0.0.1
www.symantec.com 127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1
www.sophos.com 127.0.0.1 sophos.com
127.0.0.1
www.mcafee.com 127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1
www.viruslist.com 127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1
www.f-secure.com 127.0.0.1 kaspersky.com
127.0.0.1
www.avp.com 127.0.0.1
www.kaspersky.com 127.0.0.1 avp.com
127.0.0.1
www.networkassociates.com 127.0.0.1 networkassociates.com
127.0.0.1
www.ca.com 127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1
www.my-etrust.com 127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1
www.nai.com 127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1
www.trendmicro.com Entfernung:
Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk.
Bearbeiten der Registrierungseinträge:
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Update Service = csrs.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Update Service = csrs.exe
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
Das da oben ist der manuelle Weg, das Ding loszuwerden ...
Achtung: die CRCSS (DOPPEL-S am ENde) ist WICHTIG! Die muss Windows afaik haben, weil sonst die Prozess-Steuerung nicht funzt.
Sophos hält den Verursacher dieser exe für einen Wurm und bietet, genau wie Bitdefender kostenlose Removal-Tools an.
http://www.sophos.de/virusinfo/analyses/index_st_worm.htmlhttp://www.bitdefender.de/html/free_tools.phpSophos liefert auch einige Alias-Namen des Verursachers.
Die TU Berlin liefert auch gute Info:
http://www.tu-berlin.de/www/software/virus/aktuell.shtml?all05inklusive Links zu Viren/Bot/und Worm-Killern ...
Hoffe geholfen zu haben, auch wenn gar nicht nach mir gebrüllt wurde:)
//Able - daumendrückend