Wurm AGOBOT - sehr hartnäckig

  • #1
S

Son of Scotland

Bekanntes Mitglied
Themenersteller
Dabei seit
11.04.2004
Beiträge
69
Reaktionspunkte
0
Hab den Wurm drauf, und bekomme ihn nicht weg.
Er lässt mich auch nicht auf die Websites der verschiedenen Antiviren-Anbietern

Was kann ich tun???
 
  • #2
W32/Agobot-EX ist ein IRC-Backdoor-Trojaner und ein Netzwerkwurm.

Wenn er erstmals ausgeführt wird, kopiert sich W32/Agobot-EX mit dem Dateinamen soundman.exe in den Windows-Systemordner. Die folgenden Registrierungseinträge werden erstellt, damit der Wurm gestartet wird, wenn sich ein Benutzer an Windows anmeldet, allerdings entstehen aufgrund eines Fehlers die folgenden sinnlosen Werte:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
^`d}qZxu= ~`d}qzxu3zYF

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
^`d}qZxu= ~`d}qzxu3zYF

W32/Agobot-EX registriert sich als Dienst, der beim Start von Windows aktiviert wird. Der Name des Dienstes lautet SoundMan.

W32/Agobot-EX verbindet sich mit einem remoten IRC-Server und einem bestimmten Kanal. Ein Angreifer kann über das IRC-Netzwerk auf die Backdoor-Funktion des Wurms zugreifen. Ein Angreifer kann dann Befehle senden, entsprechend derer der Wurm nach anfälligen Computern sucht, auf die er sich kopieren kann.

Der Wurm versucht außerdem, verschiedene Sicherheitsprogramme zu beenden und zu deaktivieren.
Zum Vergrößern anklicken....

versuch im taskmanager den soundman.exe zu beenden und die registrierungsschlüssel zu löschen.
 
  • #4
ich konnte das sav-ding runterladen habs gestartet dann hat er gesucht und urplötzlich hat er es beendet, ich konnte jetzt nicht sehen ob er was gefunden hat oder nicht.

Was soll ich machen?
 
  • #5
Hast du das von Luigi_Tirol denn mal probiert?
Hast du einen aktuellen Virenscanner? Kann der das Problem nicht beseitigen?
Deine Fehlerbeschreibung, ich hab ihn und kriege ihn nicht weg ist absolut unhilfreich, weil es nichts darüber aussagt, was du schon probiert hast und was nicht.
 
  • #6
Ich habs mit dem AntiVir PE versucht, der hat nichts gefunden.
Das von Luigi habe ich noch nicht versucht mach ich jetzt mal.

Könnte es sein dass ich ihn mir in einem wireless netzwerk eingefangen habe weil ich eine freigabe hatte???
 
  • #7
Freilich kann das sein.
Und da das Teil u.U. polymorph ist und zudem eine Backdoorkomponente hat, sollte dir klar sein, dass jeglicher Versuch, das Teil mit Programmen loszuwerden, die auf diesem verseuchten System laufen und der Malware schutzlos ausgeliefert sind, zum Scheitern verurteilt ist. Du kannst nicht einmal sicher sein, dass dir dein Scanner die korrekte Version des Schädlings angezeigt hat, geschweige denn, dass Meldungen über das Löschen von Dateien der Wahrheit entsprechen und auch alles Relevante gefunden wurde.
 
  • #8
Kann da nur bl4ckic3 zustimmen.
Da dein System kompromittiert ist und Dir keiner sagen kann ob alles schädliche erkannt und gelöscht wird wäre das naheliegenste dein System neu aufzusetzen.
Und dann würde ich mir ernsthaft darüber Gedanken machen wie das Teil auf deinem Rechner gekommen ist.
 
Thema:

Wurm AGOBOT - sehr hartnäckig

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben