Virus W32.korgo.t, was tun?

[MahZagony]

Folgendes: Ich habe vor ca 30 Minuten kurz mein Norton-Auto-protect ausgeschaltet, weil ich T-online-Software installiert habe und das empfohlen war... ka wie, ka wo, aber in dieser Zeit habe ich mir anscheinend einen Virus eingefangen, denn: Nach dem neustart und dem starten der Software + browser meinte Norton: "Hohes Risiko", "Virus gefunden", Objektname C:\\WINDOWS\system32\ftpupd.exe, Virenname W32.korgo.t
Und: "Der Zugriff auf die Datei wurde verwehrt".

Ja nu. Ich weiß ehrlich gesagt nicht, was ich jetzt da machen soll... bin ziemlicher Computer-Chobo und hab nicht wirklich Ahnung von Viren, geschweige denn wie ich sie handhabe oder weg kriege. Normalerweise kümemrt sich mein Dad darum, aber der is im Urlaub, also dachte ich mir, ein bw-gosu kann mir sicher mit Rat zur Seite stehen. Also, was tun? Ich hab btw Windows-XP, der Norton ist nicht auf dem neuesten Stand....

 

[MesH]

http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.t.html
Da gibts auch n Tool zum removen. War übrigens #1 Treffer bei google.

 

[Koestritzer]

gibts glaub ich ein removal tool, aber keine ahnung ob das die t-online software auch gleich mit entfernt - die ist meiner meinung nach das grössere übel

 

[Malagant]

Original geschrieben von Mah´agony
Folgendes: Ich habe vor ca 30 Minuten kurz mein Norton-Auto-protect ausgeschaltet, weil ich T-online-Software installiert habe und das empfohlen war...

 

[Shihatsu]

ich rate von removal tools bei allem ab was ne backdoor mitbringt. die dinger laden andere würmer mitlerweile im minutentakt nach. format ist die einzige art wieder sicher zu sein das das system sauber ist. nur so zu anmerkung.

 

[MahZagony]

Re: Re: Virus W32.korgo.t, was tun?

Original geschrieben von (nSK)MalagaNt

Nicht jeder is so n Freak, dass er eure ganzen "Was-soll-man-tun-und-was-soll-man-lieber-bleiben-lassen"-Regeln draufhat. Depp.

Also folgendes: Den korgo.t bin ich mit dem Tool auf der Seite los geworden. Allerdings ists heut das nächste: "Backdoor.trojan" auf c:\winread.exe.
Ok, nun sind wir dezent darauf hingewiesen worden, dass Google Lösungen zu solchen Problemen parat hat. Wir googeln also, aber ein Entfernungstool oder so hab ich dieses mal nicht gefunden. Vielmehr eine Anleitung, die da besagt (Fragen in Klammern):

Disable System Restore (Windows Me/XP). (Wie? Die Anleitung is auf Englisch. Beherrsch ich zwar eigentlich fließend, aber Formulierung von Dateinamen und Pfaden sind auf englisch eklig)
Update the virus definitions. (k)
Restart the computer in Safe mode or VGA mode. (Das war das mit F8, oder? Wann muss ich das drücken?)
Run a full system scan and delete all the files detected as Backdoor.Trojan. (k)
Reverse the changes made to the Windows registry. (k)

Wär thx, wenn mir das jemand erklären könnte... ich hab versucht System restore abzustellen aber habs ums verrecken nicht gefunden

€: Hat sich erledigt... rtfm halt. Wer ahnt aber auch, dass "My Pc" für "Arbeitsplatz steht.

 

[[USJ]LuNaTiC']

wieso installierst du eigentlich die t-online-software?

 

[MahZagony]

Original geschrieben von Lunatic
wieso installierst du eigentlich die t-online-software?

Normalerweise brauch ich sie nicht, da meine verbindung über den Router läuft. Aber selbiger hat zZ ne Macke, daher hab ich ihn abgeschaltet und nun geht die Verbindung direkt zum T-online-Modem. Und um sich da einwählen zu können braucht man die Software...
Außerdem brauch ich das E-mail-programm, fragt nicht warum, is ne lange geschichte...

 

[NocturntehSex]

Original geschrieben von Mah´agony


Normalerweise brauch ich sie nicht, da meine verbindung über den Router läuft. Aber selbiger hat zZ ne Macke, daher hab ich ihn abgeschaltet und nun geht die Verbindung direkt zum T-online-Modem. Und um sich da einwählen zu können braucht man die Software...
Außerdem brauch ich das E-mail-programm, fragt nicht warum, is ne lange geschichte...

die geschichte wüsste ich gerne, zumal du deine mails auch über die t-online hp abrufen kannst vielleicht können wir ja auch bei dem problem mit dem benötigen der email-funktion (yeah wasn satz) helfen

 

[MahZagony]

Original geschrieben von Nocturn


die geschichte wüsste ich gerne, zumal du deine mails auch über die t-online hp abrufen kannst vielleicht können wir ja auch bei dem problem mit dem benötigen der email-funktion (yeah wasn satz) helfen

Also: Mein Vater is zZ mit meiner Mam im Urlaub. Ganz hab ich sein Problem nicht verstanden, aber irgendwie muss sein GPS-System ausgefallen sein und zum reaktivieren braucht er irgend nen code oÄ den ihm die Herstellerfirma per Email zuschickt. Er kann ja zZ nicht Emails abrufen, weil er gar keine Möglichkeit hat, ins Internet zu kommen. Da er mir das Bios-Passwort für seinen Rechner aus Datenschutztechnischen Gründen nicht geben darf, hab ich jetzt das ganze bei mir eingerichtet. Sogar schon erfolgreich, dh ich kann nun seine mails abholen. Trifft sich eh, da der Router wie gesagt hin ist und ich die T-online-software jetzt so oder so benötige, um mich einwählen zu können, bis der Router wieder geht (eine Sache, von der ich die Finger lasse und meinen Vater erledigen lassen werde)
Danke für das Hifsangebot, aber es hat sich erledigt
Ich nutze die Gelegenheit um noch kurz was zu fragen: Ich hab mir mal sagen lassen, dass WinXP ne interne Firewall hat. Bisher war ich durch den Router diesbezüglich tadellos versorgt, aber nun steh ich wall-los da. Wie aktivier ich das Ding (vorausgesetzt, die existiert überhaupt und ich hab nicht wieder was falsch verstanden)?

 

[Shihatsu]

so die sache hat sich erledigt? ich hoffe du hast formatiert, alle passwörter geändert und dich danach hierran:
http://forum.ingame.de/broodwar/showthread.php?s=&threadid=71482
gehalten? ich denke nicht, dann erkläre ich es dir nochmal: wenn der korgo wurm auf deinen rechner gekommen ist, kann auch jeder andere wurm der dieselbe sicherheitslücke nutzt rein. das beste daran ist das die sich gegenseitig nachladen. korgo hat 100% diesen backdoor.trojan angeschleppt, dieser wiederum wurm XYZ etc etc.
unter diesen würmern (ka, mindestens 500 verschieden rpc würmer gibbet grob geschätzt) sind garantiert auch sasser, ago und phatbot. willkommen in der realität: dein computersystem hört nicht mehr auf dich sondern auf jemanden anderes.

rechtsklick auf netzwerkverbindung -> erweitert: da das häkchen setzten und die interne firewall ist aktiv.

warum hört hier eigentlich niemand auf mich? asdf...

 

[MahZagony]

Du hast recht shizu, ich habe nicht formatiert etc. Ich bin nicht blöd im Hirn, ich weiß durchaus, dass man sowas ernst nehmen sollte. Aber ich bin nichtsdestoweniger wie erwähnt chobo und formatieren ist ein Schritt den ich eigentlich zu vermeiden suche, weil ich die ganzen Einstellungen etc nicht hinkriege. Atm weis ich nichtmal, wo sich meine winxp-cd rumtreibt.
Daher wollt ich das halt vermeiden, hab windows gepatcht, norton system checken und säubern lassen. Naja, dann kam zwar nichts mehr. Aber faul ist ganz sicher was; der IE spinnt rum, die favoriten verändern sich, etc. Wenn ich die winxp-cd selbige gefunden hab, formatier ich wohl.
Ein Müll aber auch...
Btw, sorry, dass ich nicht mitkomm, aber unter der Berücksichtigung dass ich ka von der Materie habe: deine Wegbeschreibung zur Firewall kann ich nicht nachvollziehen, schon allein deswegen, weil ich "Netzwerkverbinung" nicht finde. Lediglich "Netzwerkverbindungen", welches wohl nicht gemeint war.

 

[Shihatsu]

asdf das hat so keinen sinn
101061994 via icq oder anquerien in #broodwar.de

start-einstellungen-netztwerkverbindungen
da dann rechtsklick auf die entsprechende verbindung. bei mehr fragen -> icq, qnet #technikforum

 

[Livo]

er nutzt ja aber die T-Online Software. Vermutlich hat er daher gar keine DFÜ Verbindung.

 

[Brzelius]

Auch ein einmal versoichtes WinXP kann man wieder sauber kriegen, ohne Formatieren.
1. Man schalte die Systemwiederherstellung aus (weißt ja schon wies geht inzwischen).
2. Man lade sich die aktuellste Demoversion des Norton Antivirus oder sonsteinem guten Virenscanner runter. Am besten drei aktuelle Virenscanner (Antivir, Kaspersky, Norton) und AdAware und bei Bedarf Zone Alarm holen (für Adressen Google fragen).
3. Man lasse Windowsupdate laufen und installiere sämtliche Sicherheitsupdates.
4. Man stecke die Internetverbindung aus.
5. Man installiere den/die Virenscanner.
6. Man starte im abgesicherten Modus (bevor der WinXP-Startbildschirm kommt einfach solang F8 drücken, bis das Auswahlmenü kommt).
7. Man lasse den/die Virenscanner laufen.
8. Wenn aller Mist runter ist, wieder im normalen Modus WinXP starten.
9. Man aktiviere eine beliebige Firewall, vorzugsweise die eines Routers, oder das kostenlose ZoneAlarm, oder einfach die WinXP-Firewall.
10. Man stöpsele die Internetverbindung wieder ein.

Sollte in 90% der Fälle viel Zeit sparen, auch wenn sichs aufwendig anliest, ist eine Formatierung mit Datensicherung und danach kompletter Neuinstallation von Betriebssystem, Hardware, Programmen normalerweise einiges nerviger, besonders, weil man beim Datensichern auch mal den einen oder anderen Virus mitverschleppt wenn man net gründlich scannt.
MfG,

Brezel

 

[Shihatsu]

Original geschrieben von Brzelius
Auch ein einmal versoichtes WinXP kann man wieder sauber kriegen, ohne Formatieren.
l

bei den heutigen würmern? die veraltet sind bevor ihre virussignatur bekannt wird? sorry das stimmt NICHT!
was nutzt der tolle virenscanner wenn er den virus nicht erkennt? weil er zu neu ist? die intervalle in denen neuen rpc wurm varianten auf den markt kommen sollten doch so langsam bekannt sein...
und livo, da wirds noch ganz andere probleme geben die der gute mahagony da hat, aber ich bin ein großherziger mensch, daher auch meine icq nummer....

 

[Brzelius]

Also Shihatsu, man kann auch übertreiben. Die Virussignaturdaten werden bei neuen Würmern oft schon nach wenigen Stunden (bei miesen Viechern), fast immer innerhalb eines Tages upgedatet nachdem sie "in the wild" sind. Oft sind die Viren / Würmer schon in den Signaturdaten, wenn es sich nur um Reagenzglasversionen handelt und die gar noch net frei rumlaufen. Wenn man ne Demo runterlädt, macht man nach der Installation halt nochmal ein Internetupdate, dann hat man wohl bei 3 Virenscannern alle potenziellen Würmer / Viren / Trojaner / sonstwas abgedeckt. Wenn du ganz paranoid bist, kannst ja nach dem Scannen 24h warten, dann Internet wieder einstöpseln, schnell Internetupdate der Virensoft machen, ausstöpseln und nochmal alle laufen lassen
Ich würde das auf jeden Fall einer kompletten Formatierung vorziehen. Bei der Radikalkur musst nämlich genauso mit Virenscannern drüber, außer du hast wirklich keine Daten und Programme zum Sichern.

 

[Shihatsu]

man kann immer übertreiben. tue ich auch manchmal. aber in diesem fall werde ich aus schaden klug. über 100gb daten und über 30 gb mp3s hat phatbot mich gekostet, und mein system war ziemlich sicher. und nein, weder mit norton noch mit kapersky noch mit fsecure konnte ich die dateien desinfizieren, war nur noch löschen drin. und ich habe ahnung von dem was ich da tue (mitlerweile 2 jahre beruflichen windowssupport).
und von vielen rpc würmern tauchen erst garkeine virussignas auf, stichwort: selbstneukompilierung (erwähnte ich das korgo phatbot nachläd? und das sich dieser nette phatbot "verwandelt"? again: rpctrojnachlader kannst du einmal drauf nicht mehr 100%ig wegbekommen. niemand kann dir das garantieren.
3 virenscanner gleichzeitig? na dann mal tau bei der systemperformance, die erkennen sich dann nämlcih gegenseitig als viren.

 

[Brzelius]

Also ich hab mal diese, diese und diese Quelle zu Phatbot durchgelesen, und in keiner wird irgendwie erwähnt, dass Phatbot Daten kompromittiert oder Programme infiziert. Auch hab ich nix darüber gefunden, dass Korgo Phatbot nachlädt. Nachzulesen bei der Symantec Security Response über Korgo.t hier.
Wie erklärst du dir das?

 

[Shihatsu]

aus deinen quellen zum fetten bot:

The W32.HLLW.Gaobot.gen removal tool will remove many but not all the variants that are detected as W32.HLLW.Gaobot.gen.

Phatbot Feature List
(Many of these features are also present in Agobot)

* Has the ability to polymorph on install in an attempt to evade antivirus signatures as it spreads from system to system

# Update 2004-04-20 - Newer versions of Agobot and Phatbot have added scanner modules for:

* Bagle virus backdoor
* CPanel resetpass vulnerability
* UPnP (MS01-059)
* MSSQL weak administrator passwords

Virenscanner mit aktuellen Signaturen erkennen zwar auch die aktuell bekannten Agobot-Varianten, jedoch ist es mit dem Quellcode kein größeres Problem, Varianten in beliebiger Menge zu erstellen, die von den Scannern nicht erkannt werden -- welcher Virenscanner kann schon ein ganzes Programm zerlegen? (pab/c't)

zu korgo:
Releases confidential info: Backdoor functionality allows unauthorized access.

korgo läd phatbot tatsächlich nicht nach, als einer der wenigen rpc würmer. fehlinfo von mir, sorry dafür. allerdings ist dabei folgendes anzumerken: korgo ist weit weniger verbreitet als phatbot, benutzt aber dieselbe sicherheitslücke zur infizierung (rpc).

und erklären kann ich mir nicht das mein system alle video, musik und office files mit würmern vollgemüllt hat. allerdings hatte ich halt einen backdoortrojan drauf, und ne backdoor is nu mal ne backdoor

 

[Brzelius]

Jo dass Phatbot polymorph ist und sich nicht immer (aber meistens) erkennen lässt, hab ich auch mitgekriegt, musste schließlich alles durchlesen. Ich frag mich nur, wie du 130GB Daten verloren hast. Du meinst, das waren andere Würmer, die von Phatbot nachgeladen wurden und dann die Daten kompromittiert haben? Was hast du alles probiert, um sie zu retten? Ich würde 130GB Daten erst nach tagelangem Kampf löschen, das ja übel

 

[NocturntehSex]

also ich glaub kaum dass shi sich gesagt hat "oh ein virus in meinen dateien, da lösch ich die dochma einfach alle"

naja aber wäre schon ma interessant zu wissen was man in sonem fall alles versuchen kann

 

[Brzelius]

Ich muss mich korrigieren: Ich würde 130GB infizierte Daten überhaupt nicht löschen. Nach tagelangem vergeblichem Kampf würde ich sie auf ne externe Festplatte sichern und darauf warten, dass es irgendwann ein Antivirenprogramm gibt, das sie retten kann.

 

[[For]Hood2]

wie willste du gelöschte und wahrscheinlich überschriebene Daten auf eine ext. HD kopieren?

Da formatiert man den Datenträger und spielt die Sicherung zurück

Wie keine Sicherung?

 

[Brzelius]

Original geschrieben von [For]Hood
wie willste du gelöschte und wahrscheinlich überschriebene Daten auf eine ext. HD kopieren?

Da formatiert man den Datenträger und spielt die Sicherung zurück

Wie keine Sicherung?

Öh... ich glaub du solltest die Beiträge nochmal lesen. Inwiefern gelöscht und überschrieben? Ich hab nur gesagt, was ich mit infizierten Daten machen würde, wenn ich sie nicht retten kann.
Und die ganze Problematik taucht sowieso erst gar nicht auf, wenn man *ständig* *alle* Daten sichert, das ist eh klar. Aber das macht fast niemand, ich auch nicht

 

[NocturntehSex]

130gb sichern is nu auch nich ganz so einfach 8[

 

[MahZagony]

Ich hab eh keine wichtigen Daten auf meinem Rechner. Alles was bei mir wichtig ist, kommt auf Cd, weils eh so wenig ist.
Daher hab ich jetzt folgendes gemacht:
- Windows gepatcht, die bekannte Sicherheitslücke sollte nun weg sein.
- im abgesicherten Modus ohne System restore 2mal das komplette System mit neuestem Norton scannen lassen, alles infizierte raus.
- Windows-firewall an (thx an shi )
- Desktop-firewall angeschafft
- Mozilla angeschafft
- Nochmal norton geupdatet

Das muss jetzt langen
Zumindest kommen keine Virsuwarnmeldungen mehr.... ich hoffe mal, ich hab mir das formatieren gespart.

Achja.... soll ich system restore wieder einschalten?

 

[[For]Hood2]

oh man, siehe damage section von
http://www.symantec.com/avcenter/venc/data/worm.explore.zip.html

da steht:unrecoverable loss of data

Das ist nur ein Beispiel eines Viruses, was Du anscheinend nicht verstehst, ist das die modernen Bots jedigliche Art von Software nachladen können darunter natürlich auch löschroutinen und das tun sie auch, wie ein Kunde von mir leidvoll feststellen musste. Der ieine Variante des obigen Virus durch Korgo sich einfing.

Und ja ich habe ein komplettes Backup meiner Daten auf Band und das sind mehr wie die 160 Gb...

Auch mir ist sowas schon passsiert, ist zwar schon ein paar Jahre her, aber dies passiert mir nur einmal und das noch unter DOS....


Seitdem habe ich keinen Virus mehr auf meinen Rechner gehabt. Ich habe kein on access Wächter laufen und keine Firewall. Meine Daten liegen auf einem anderen Rechner, die einmal die Woche auf Band gezogen werden(die neuen Daten). Im schlimmsten Fall verlieren die Daten einer Woche , naund?

und jeder sollte seine documente, tabellen, datenbank sicherheitshalber regelmäßig auf CD/DVD bannen, aber das ist ja Arbeit. Naja jedem dem sowas passiert ist macht es erstmal.

 

[Brzelius]

@ Nocturn: Jo, aber 130GB verlieren ist auch nicht ganz lustig, wenn noch die Chance besteht, dass man sie wiederherstellen kann.

@ Mahagony: Zwei Firewalls gleichzeitig würde ich nie laufen lassen, die kommen sich gerne in die Quere und führen oft zu seltsamen, unspezifischen Fehlern. Lieber nur die Personal Firewall oder nur die XP-Firewall laufen lassen. System Restore kannst im Prinzip wieder anmachen, aber die Wiederherstellungspunkte von früher würde ich löschen und gleich einen neuen anlegen.

@ [For]Hood: Shihatsu sprach davon, dass er die Dateien nicht "desinfizieren" konnte, du sprichst von Löschroutinen. Wenn ich natürlich weiß, dass ich einen Virus gefangen hab, der die Daten unrettbar löscht, würde ich sie natürlich auch löschen. Bei Shihatsu hat sichs aber für mich eher so angehört, dass die Daten nicht unwiederbringlich verloren sind, wegen dem "Desinfizieren". Aber ist das nicht irgendwie egal langsam...

 

[[For]Hood2]

Woher willst du wissen das die Dateien nur infiziert sind und nicht unbrauchbar?

 

[Brzelius]

Hab ich doch grade gesagt. Ich bin auf Grund Shihatsus Wortwahl davon ausgegangen, aber wissen tu ichs net. Genau so wenig, wie du weißt, dass sie unwiederbringlich verloren waren.
Deswegen hab ich auch schon gesagt, dass das wirklich wurst is und niemand weiterbringt, hier weiter um sowas zu diskutieren.