big-lemon 10 Geschrieben 19. Mai 2004 Melden Teilen Geschrieben 19. Mai 2004 hallo alle bei uns im geschäft hat es in der administration einen pc der als einziger emails empfängt... seit gestern kommt da folgende meldung ca. alle 2 minuten: ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ STOP: 0x10020A2F {Unknown_blocking Possible Reasons: Your "Firewall" is blocking one or more system files Check the "Winsock Error Log File on: C:WinsockError.log ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ ist ein WINNT system alle SP alle updates, Firewall hat es eine symantec VelociRaptor aber erst beim server... also nicht beim PC... andere haben dieses Problem nicht.. antivirus haben wir symantec Corporation Edition. Komisch ist auch, dass der betroffene computer zwar diesselben virus definition hat wie andere, aber nicht diesselbe programmversionsnummer..... komisch weil die müssten all diesselben sein..... beim viruschekcen findet er nichts..... bin grad dran ein symantec online virus check zu machen..... hat jemand eine idee was das sein könnte? ach ja.... antivirus programm bleibt deaktiviert auch bei einem neustart..... nur bei diesem computer.... komisch gelle? also... erwarte eure kompetenten meinungen... wie immer... :-) gruss chris Zitieren Link zu diesem Kommentar
big-lemon 10 Geschrieben 19. Mai 2004 Autor Melden Teilen Geschrieben 19. Mai 2004 hab grad noch das winsock error log angeschaut.... folgende identische meldungen stehen da drin... nur datum oder und uhrzeit ändern sich: --------------------------------------------------------------------- Ocurred#: 18.05.04 / 08:06:19 Error Description system file: "smss32.exe was blocked by firewall microsoft winsock ID 083243.V321 © by microsoft --------------------------------------------------------------------- kann jemand was anfangen? Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 19. Mai 2004 Melden Teilen Geschrieben 19. Mai 2004 hi, wenns n virus sein sollte, könnte es der gaobot sein (auch bekannt als polybot, phatbot, agobot). gruss, gr@mlin Zitieren Link zu diesem Kommentar
big-lemon 10 Geschrieben 19. Mai 2004 Autor Melden Teilen Geschrieben 19. Mai 2004 danke gremlin... habe bei google gesucht und habe oft den gaobot gesehen... es hat 2 removal tools bei symantec die man audführen kann... einer ist schon durch der gaobot.UJ... leider nichts gefunden... lasse grad den 2ten durchlaufen.... was könnte es denn noch sein? Zitieren Link zu diesem Kommentar
big-lemon 10 Geschrieben 19. Mai 2004 Autor Melden Teilen Geschrieben 19. Mai 2004 also... kein gaobot gefunden... hmmm..... aber alle 2 minute oben genannte firewall meldung.... kann mir einer sagen was winsock überhaupt für eine funktion hat? was soll ich sonst noch probieren? Zitieren Link zu diesem Kommentar
Comedian 10 Geschrieben 19. Mai 2004 Melden Teilen Geschrieben 19. Mai 2004 Kuck nochmal genau nach dem Wurm: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.MB&VSect=T Winsock ist die Programmierschnittstelle für Windows-Programme, die TCP/IP benötigen. Welche Prozesse laufen auf dem Rechner? Zitieren Link zu diesem Kommentar
big-lemon 10 Geschrieben 19. Mai 2004 Autor Melden Teilen Geschrieben 19. Mai 2004 prozesse... genaue liste müsste ich abschrieben... aber : zb. smss.exe smss32.exe Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 19. Mai 2004 Melden Teilen Geschrieben 19. Mai 2004 wenn du auch einen dienst hast, der "named a3" heisst, ist es mit ziemlicher sicherheit der virus w32.hllw.gaobot.gen (alias backdoor.agobot.3.gen, w32/agobot-ei). dann schau mal hier: http://www.sophos.de/virusinfo/analyses/w32agobotei.html ich tippe weiterhin auf gaobot oder einen seiner derivate. Zitieren Link zu diesem Kommentar
Comedian 10 Geschrieben 19. Mai 2004 Melden Teilen Geschrieben 19. Mai 2004 Original geschrieben von gr@mlin ich tippe weiterhin auf gaobot oder einen seiner derivate. Ich auch. SMSS.EXE (Sitzungsmanager) ist normal. SMSS32.exe gibt es in Windows NT/2000/XP nicht. BTW: Der Programmier von Phatbot wurde geschnappt, weil er seinen Wurm massiv auf Schlund & Partner losgelassen hatte: http://www1.schlund.de/index.php?page=presse&mode=displayDetail&id=1014 "Stutzig gemacht hat uns, dass es unter den IPs ein von uns gehosteter Linux-Rootserver war, von dem ein Windows-Wurm kommen sollte", berichtete Maurer. http://www.heise.de/security/news/meldung/47362 Zitieren Link zu diesem Kommentar
big-lemon 10 Geschrieben 19. Mai 2004 Autor Melden Teilen Geschrieben 19. Mai 2004 also kann ich probieren den smss32 zu löschen? kein antivirus erkennt ein virus auf diesem system.... und im internet findet sich auch keine hilfe.... ganz schön mühsam...... Zitieren Link zu diesem Kommentar
big-lemon 10 Geschrieben 19. Mai 2004 Autor Melden Teilen Geschrieben 19. Mai 2004 und wie schon weiter oben geschrieben... ein gabot ist es nicht, weil keines der beiden entfernungsprogramme von symantec hat ein gabot gefunden..... grübel grübel Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 19. Mai 2004 Melden Teilen Geschrieben 19. Mai 2004 hast du mit einer bootfähigen version eines av-tools gescannt oder die hdd(s) in einen anderen rechner reingepackt und dann gescannt? sonst kannst du dir nicht sein, nicht doch nen virus zu haben. da ich nicht so nt-fit bin, kann ich dir nicht sagen, ob smss32.exe ein systemprozess ist. ich befürchte aber, ist er nicht. beende ihn doch einfach mal (dubiose prozesse am besten erst mal beenden). bist du sicher, dass alle patches drauf sind, insebsondere die hier? http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx'>http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx http://www.microsoft.com/technet/security/bulletin/MS03- 007.mspx gruss, gr@mlin Zitieren Link zu diesem Kommentar
big-lemon 10 Geschrieben 19. Mai 2004 Autor Melden Teilen Geschrieben 19. Mai 2004 hallo jungs danke für eure hilfe.... ihr seid die besten.... ich hab alles gelöst. habe mit ad-aware mal die platte gescannt und all den müll rausgehauen... 26 objekte gefunden. dann manuell diverse removal tools laufen lassen die man von der symantec seite downloaden kann.... dann im abgesicherten modus, bzw da es ja NT 4.0 ist, im VGA modus hochgefahren, als admin eingestiegen, und die antivirus software nochmals neugestartet dass heisst die festplatte gescannt. zuvor habe ich den prozess smss32.exe noch abgeschossen. und siehe da: 7 VIRUS GEFUNDEN !!!!!!!! Zuständig für den smss32.exe prozess ist folgender virus: w32.sober.g@mm habe aber unter anderem noch folgende gefunden: w32.netsky.B@mm w32.netsky.C@mm und noch 3 andere unbekannte virus. es konnten keine gesäubert werden jedoch alle 7 isoliert (status anzeige : erfolgreich) na also.... wieder etwas mehr geschafft! und das nicht zuletzt euerm beistand und eueren ideen!! danke danke danke danke ! gruss chris Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 19. Mai 2004 Melden Teilen Geschrieben 19. Mai 2004 schön, dass die kiste jetzt wieder sauber wird... manchmal muss man eben hart (störrisch) bleiben. gruss, gr@mlin Zitieren Link zu diesem Kommentar
big-lemon 10 Geschrieben 19. Mai 2004 Autor Melden Teilen Geschrieben 19. Mai 2004 ja das stimmt.... aber manchmal denke ich auch, dass ich mehr alleine rumprobieren sollte bevor ich hier poste.... habe manchmal fast ein schlechtes gewissen, weil ich euch fast täglich mit einem problemchen belästige.... nun ja... vielleicht hat jemand mal ein gleiches problem wie ich, und findet eine lösung hier im board aufgrund dessen weil ich hier gepostet habe, und das wär ja auch noch schön.... und wenn ich kann helfe ich dafür den leuten auch.... :-) in diesem sinne wünsche ich allen einen schönen abend. gruss chris Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.