Viele offene Ports -> virus? => JA! der QHosts-1/Gaobot thread
Murph 04.10.2003 - 16:25 1084 13
Murph
Nerd
|
seit heute hat mein rechner zu laggen angefangen.. das hosts file ist auf 28 kb geschwollen, und ich habs durch ein backup ersetzt. trotzdem sind - auch ohne offenen browser - folgende ports offen: C:\>netstat -n
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP 127.0.0.1:1151 127.0.0.1:1150 WARTEND
TCP 213.47.72.133:1027 213.47.72.243:139 HERGESTELLT
TCP 213.47.72.133:1075 66.250.235.51:9900 HERGESTELLT
TCP 213.47.72.133:2073 213.47.72.49:445 SYN_GESENDET
TCP 213.47.72.133:2074 213.47.72.49:445 SYN_GESENDET
TCP 213.47.72.133:2075 213.47.72.49:445 SYN_GESENDET
TCP 213.47.72.133:2076 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2077 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2078 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2079 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2080 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2081 213.47.202.208:135 SYN_GESENDET
TCP 213.47.72.133:2082 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2083 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2084 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2085 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2086 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2087 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2088 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2089 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2090 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2091 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2092 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2093 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2094 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2095 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2096 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2097 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2098 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2099 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2100 213.47.178.48:135 SYN_GESENDET
TCP 213.47.72.133:2101 213.47.72.49:445 SYN_GESENDET
TCP 213.47.72.133:2102 213.47.72.49:445 SYN_GESENDET
TCP 213.47.72.133:2103 213.47.72.49:445 SYN_GESENDET
TCP 213.47.72.133:2104 213.47.72.42:135 SYN_GESENDET
TCP 213.47.72.133:2105 213.47.72.42:135 SYN_GESENDET
TCP 213.47.72.133:2106 213.47.72.42:135 SYN_GESENDET
TCP 213.47.72.133:2107 213.47.72.42:135 SYN_GESENDET
TCP 213.47.72.133:2108 213.47.72.42:135 SYN_GESENDET
TCP 213.47.72.133:2109 213.47.72.42:135 SYN_GESENDET
TCP 213.47.72.133:2110 213.47.72.42:135 SYN_GESENDET
TCP 213.47.72.133:2111 213.47.72.42:135 SYN_GESENDET
TCP 213.47.72.133:2112 213.47.72.42:135 SYN_GESENDET
AntiVirXP hat den Wurm "Gaobot" gefunden, ist auch schon entfernt. aber das scheint nicht alles zu sein. ich glaube mich erinnern zu können dass GMX vorgestern oder gestern so eine rundschreib-mail verschickt hat, in der es um nen neuen Virus ging. es gehen auch lt netzwerkmonitor permanent daten raus... weiß jemand was ich dagegen machen kann außer mir ne FW zu installieren? hat jemand dasselbe prob und kann mir helfen?
|
Mr. Zet
Super Moderatorresident spacenerd
|
|
Murph
Nerd
|
genau, qhosts1 heißt das ding...
ich verwend IE6, hab aber ebenfalls schon nachgepatcht.. danach den antivir pe installiert.
das prob besteht noch immer :\
|
Flip
1 x 4 Ringe
|
|
Murph
Nerd
|
mittlerweile sind die offenen ports von 2100-2700 .. etwa 150 sind offen der AVG Scanner findet auch nix. so crap. seit 5 jahren keinen virus ghabt (keine FW, keine scanner).. und dann in 3 wochen sobig.g und qhosts-1 
|
Murph
Nerd
|
also.. der virus scannt alle ports von 1024 an durch und verbindet über 2 ports:
normalerweise port 445 - wenn netbios über tcp/ip aktiviert ist
wird es deaktiviert läuft der transfer über port 135 weiter.
es is eigentlich alles sauber, nur wie bekomm ich diesen crap weg?
gibts irgendeinen (vma Shareware-)Virenscanner der Delude.B / QHosts-1 entfernen kann? es gibt bei network associates zwar .dat-files für mcafee stuff, aber mcafee gibts nicht als trial :\
|
Cobase
Mr. RAM
|
|
Murph
Nerd
|
|
spunz
Super ModeratorSuper Moderator
|
es gibt auch schon ein update für den ie bei ms.
|
Murph
Nerd
|
das hab heute noch installiert bevor ich überhaupt wußte dass ich nen virus hab..
neuester stand:
das removal tool findet nix.. ich befürchte, einen anderen virus zu haben.. jetzt keine zeit mehr, nächstes update am abend.
|
Spikx
My Little Pwny
|
|
Murph
Nerd
|
Ja, ist es.
Update:
Ich habe den Virus gekillt.
Es war nicht QHosts1, aber ein naher verwandter, "Gaobot".
war eine datei namens svchost.exe, die bei jedem start mitgeladen wurde.
erst norton antivirus erkannte das.
das löschen der datei und 2 registry keys sowie dem alten hosts file war alles was nötig war.
trotzdem danke für eure recherche-arbeit!
|
Flip
1 x 4 Ringe
|
svchost.exe is das nicht a system datei?
zumindest hab ich die 3 mal im taskamnager und nach einem win install is die auch sofort da..
|
Murph
Nerd
|
jaja, schon richtig. der virus heißt leider genauso, deshalb hab ich ihn net so schnell gefunden.
am einfachsten zu überprüfen:
einfach in die registry schauen.
hkey local machine / software / microsoft / current version / run
hkey local machine / software / microsoft / current version / runonce
wenn da ein eintrag "Config Loader" mit dem wert "svchost.exe" ist => das ist der virus.
auf symantec und network associates gibts gute beschreibungen wie man den wieder wegkriegt (welche reg keys, welche dateien gelöscht werden müssen).
Bearbeitet von Murph am 05.10.2003, 11:39
|
Anmeldung