"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Viele offene Ports -> virus? => JA! der QHosts-1/Gaobot thread

Murph 04.10.2003 - 16:25 1084 13
Posts

Murph

Nerd
Avatar
Registered: Dec 2001
Location: Vienna
Posts: 9236
seit heute hat mein rechner zu laggen angefangen..
das hosts file ist auf 28 kb geschwollen, und ich habs durch ein backup ersetzt.
trotzdem sind - auch ohne offenen browser - folgende ports offen:

Code:
C:\>netstat -n

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    127.0.0.1:1151         127.0.0.1:1150         WARTEND
  TCP    213.47.72.133:1027     213.47.72.243:139      HERGESTELLT
  TCP    213.47.72.133:1075     66.250.235.51:9900     HERGESTELLT
  TCP    213.47.72.133:2073     213.47.72.49:445       SYN_GESENDET
  TCP    213.47.72.133:2074     213.47.72.49:445       SYN_GESENDET
  TCP    213.47.72.133:2075     213.47.72.49:445       SYN_GESENDET
  TCP    213.47.72.133:2076     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2077     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2078     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2079     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2080     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2081     213.47.202.208:135     SYN_GESENDET
  TCP    213.47.72.133:2082     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2083     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2084     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2085     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2086     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2087     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2088     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2089     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2090     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2091     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2092     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2093     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2094     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2095     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2096     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2097     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2098     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2099     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2100     213.47.178.48:135      SYN_GESENDET
  TCP    213.47.72.133:2101     213.47.72.49:445       SYN_GESENDET
  TCP    213.47.72.133:2102     213.47.72.49:445       SYN_GESENDET
  TCP    213.47.72.133:2103     213.47.72.49:445       SYN_GESENDET
  TCP    213.47.72.133:2104     213.47.72.42:135       SYN_GESENDET
  TCP    213.47.72.133:2105     213.47.72.42:135       SYN_GESENDET
  TCP    213.47.72.133:2106     213.47.72.42:135       SYN_GESENDET
  TCP    213.47.72.133:2107     213.47.72.42:135       SYN_GESENDET
  TCP    213.47.72.133:2108     213.47.72.42:135       SYN_GESENDET
  TCP    213.47.72.133:2109     213.47.72.42:135       SYN_GESENDET
  TCP    213.47.72.133:2110     213.47.72.42:135       SYN_GESENDET
  TCP    213.47.72.133:2111     213.47.72.42:135       SYN_GESENDET
  TCP    213.47.72.133:2112     213.47.72.42:135       SYN_GESENDET

AntiVirXP hat den Wurm "Gaobot" gefunden, ist auch schon entfernt. aber das scheint nicht alles zu sein.

ich glaube mich erinnern zu können dass GMX vorgestern oder gestern so eine rundschreib-mail verschickt hat, in der es um nen neuen Virus ging.

es gehen auch lt netzwerkmonitor permanent daten raus...

weiß jemand was ich dagegen machen kann außer mir ne FW zu installieren?
hat jemand dasselbe prob und kann mir helfen?
Bearbeitet von Murph am 05.10.2003, 11:15

Mr. Zet

Super Moderator
resident spacenerd
Avatar
Registered: Oct 2000
Location: Edge of Tomorrow
Posts: 12038
Verwendest du den Internetexplorer ?
Wenn ja, könnte es damit zusammenhängen:

http://www.theinquirer.net/?article=11933
http://www.theinquirer.net/?article=11933

Murph

Nerd
Avatar
Registered: Dec 2001
Location: Vienna
Posts: 9236
genau, qhosts1 heißt das ding...
ich verwend IE6, hab aber ebenfalls schon nachgepatcht.. danach den antivir pe installiert.

das prob besteht noch immer :\

Flip

1 x 4 Ringe
Registered: Jan 2002
Location: .
Posts: 3398
probiers mal mit avg http://www.grisoft.com

Murph

Nerd
Avatar
Registered: Dec 2001
Location: Vienna
Posts: 9236
mittlerweile sind die offenen ports von 2100-2700 .. etwa 150 sind offen

der AVG Scanner findet auch nix.
so crap. seit 5 jahren keinen virus ghabt (keine FW, keine scanner).. und dann in 3 wochen sobig.g und qhosts-1 :(

Murph

Nerd
Avatar
Registered: Dec 2001
Location: Vienna
Posts: 9236
also.. der virus scannt alle ports von 1024 an durch und verbindet über 2 ports:

normalerweise port 445 - wenn netbios über tcp/ip aktiviert ist
wird es deaktiviert läuft der transfer über port 135 weiter.

es is eigentlich alles sauber, nur wie bekomm ich diesen crap weg?

gibts irgendeinen (vma Shareware-)Virenscanner der Delude.B / QHosts-1 entfernen kann? es gibt bei network associates zwar .dat-files für mcafee stuff, aber mcafee gibts nicht als trial :\

Cobase

Mr. RAM
Avatar
Registered: Jun 2001
Location: Linz
Posts: 17900

Murph

Nerd
Avatar
Registered: Dec 2001
Location: Vienna
Posts: 9236
HA! es gibt ein removal tool!
http://www.symantec.com/avcenter/ve...moval.tool.html

Trojan.QHosts is der neue name...


edit: darnnnn :D
thx 2 cobase :)

spunz

Super Moderator
Super Moderator
Avatar
Registered: Aug 2000
Location: achse des bösen
Posts: 11215
es gibt auch schon ein update für den ie bei ms.

Murph

Nerd
Avatar
Registered: Dec 2001
Location: Vienna
Posts: 9236
das hab heute noch installiert bevor ich überhaupt wußte dass ich nen virus hab..

neuester stand:
das removal tool findet nix.. ich befürchte, einen anderen virus zu haben.. jetzt keine zeit mehr, nächstes update am abend.

Spikx

My Little Pwny
Avatar
Registered: Jan 2002
Location: Scotland
Posts: 13504
für die Suchfaulen:
http://www.microsoft.com/windows/ie...750/default.asp

hm.. das ist doch der Patch, oder, Murph?

Murph

Nerd
Avatar
Registered: Dec 2001
Location: Vienna
Posts: 9236
Ja, ist es.

Update:
Ich habe den Virus gekillt.
Es war nicht QHosts1, aber ein naher verwandter, "Gaobot".
war eine datei namens svchost.exe, die bei jedem start mitgeladen wurde.
erst norton antivirus erkannte das.
das löschen der datei und 2 registry keys sowie dem alten hosts file war alles was nötig war.

trotzdem danke für eure recherche-arbeit!

Flip

1 x 4 Ringe
Registered: Jan 2002
Location: .
Posts: 3398
svchost.exe is das nicht a system datei?

zumindest hab ich die 3 mal im taskamnager und nach einem win install is die auch sofort da..

Murph

Nerd
Avatar
Registered: Dec 2001
Location: Vienna
Posts: 9236
jaja, schon richtig. der virus heißt leider genauso, deshalb hab ich ihn net so schnell gefunden.

am einfachsten zu überprüfen:
einfach in die registry schauen.

hkey local machine / software / microsoft / current version / run
hkey local machine / software / microsoft / current version / runonce


wenn da ein eintrag "Config Loader" mit dem wert "svchost.exe" ist => das ist der virus.

auf symantec und network associates gibts gute beschreibungen wie man den wieder wegkriegt (welche reg keys, welche dateien gelöscht werden müssen).
Bearbeitet von Murph am 05.10.2003, 11:39
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz