Backdoor.Agobot.nq?

[Stig Helmer]

Mikähän virus tuo otsikossa mainittu mahtaa olla?

Ilmestyi ensimmäistä kertaa muistaakseni yrittäessäni imuroida jotakin F1-videot topicissa mainittua videota ja nyt epäsäännöllisin väliajoin F-Secure Anti-Virus havaitsee tuon objektin, mutta ei pysty poistamaan sitä.

Kiitos.

 

[OoPee]

Kokeile tätä: http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html

 

[Stig Helmer]

Kiitos, OoPee!

Mutta tuo taitaa olla kyseessä eri virus, ts. tuo on Gaobot, se, mikä minua häiritsee on Agobot.

Mutta nyt tuo p*aska hyppii silmille minuutin välein! F-Securen pitäisi muka viimeisimmällä päivityksellä kyetä poistamaan se (http://www.f-secure.com/v-kuvaus/agobot.shtml), mutta ei toimi! Eli ei pysty puhdistamaan, ainoastaan muuttamaan nimen!
Tuolla sanotaan, että se on jotain IRC-nörttien juttuja.
Noh, vierailinpa tässä viime viikolla juuri sattumalta IRC:ssä!!!!:mad_old: :mad_old:

Imuroin lisäksi nuo tuolla mainitut Windowsin päivitykset!

Tilanne taitaa siis olla se, että joku hakkerinörtti olisi kykeneväinen ottamaan tietokoneeni haltuun jne.
:frown:

 

[McMike]

Minulla on F-secure käytössäni. Niitä, mitä se ei pysty puhdistamaan, ne poistan.

Aja F-secure, kun ajon lopulla se ilmoittaa viruksen löytyneen ja toimenpiteitä, valitse POISTA, ja viruksen pitäisi häipyä.
Näin minulla on tähän saakka onnistunut tuo viruksesta eroon pääseminen.

 

[Stig Helmer]

Minulla on F-secure käytössäni. Niitä, mitä se ei pysty puhdistamaan, ne poistan.

Aja F-secure, kun ajon lopulla se ilmoittaa viruksen löytyneen ja toimenpiteitä, valitse POISTA, ja viruksen pitäisi häipyä.
Näin minulla on tähän saakka onnistunut tuo viruksesta eroon pääseminen.

Siis onko tuo sama virus ollut sinulla?
Pääsitkö siis eroon poistamalla? Itse olen kerran-pari koittanut poistaa, mutta se aina ilmestyy, välillä päätteenä on tuo .nq, välillä .gen.

Muistaakseni myös se, minkä poistin, ilmestyy aina myös, mutta siitä F-Secure ei ilmoita, ettei ole voinut puhdistaa, vaan tulee tyhjä ruutu, joka "ilmoittaa mitä on tehty".

No, joka tapauksessa, ensi minuutilla pitää yrittää poistaa. Kiitos. :thumbup:

 

[Stig Helmer]

No niin, nyt sen pitäisi olla poistettu! :thumbup:

Mitähän eroa noilla poistamisella ja puhdistamisella sitten on!

 

[McMike]

Agobot on IRC-ohjelmalla ohjattava takaovi, joka leviää verkon kautta. Levitessään se hyödyntää useita turva-aukkoja:

- RPC/DCOM (MS03-026)

- RPC/Locator (MS03-001)

- WebDAV (MS03-007)

Agobot mato käyttää RPC/DCOM ja RPC/Locator turva-aukkoja silloin kun se yrittää levitä automaattisesti. IRC-komennoilla voidaan aktivoida myös muita leviämistapoja, esimerkiksi WebDAV:ia hyväksikäyttäen.

 

[McMike]

No niin, nyt sen pitäisi olla poistettu! :thumbup:

Mitähän eroa noilla poistamisella ja puhdistamisella sitten on!

Poistaminen poistaa saastuneen tiedoston ja näin ollen sen ei pitäisi enää sen jälkeen vaivata.

Itse käytän lähes aina virushavainnon jälkeen poistamista, koska silloin pääsee varmasti saastuneesta tiedostosta eroon.

Ongelmia ei ole poistamisen jälkeen vielä ilmennyt vaan kaikki on toiminut normaalisti.

 

[Stig Helmer]

No nyt olen poistanut tuon Backdoor.Agobot.gen:in viisi kertaa, ja kohta tulee taas uusi ilmoitus siitä!

 

[McMike]

Poisto-ohjeet

Tärkein vaihe Agobot-matoa poistettaessa on asentaa päivitykset, jotka paikkaavat madon käyttämät tietoturva-aukot.

Päivitykset sekä lisätietoja on saatavilla seuraavilta sivuilta:

RPC/DCOM (MS03-026, fixed by MS03-039):

http://www.microsoft.com/technet/security/bulletin/MS03-039.asp

RPC/Locator (MS03-001):

http://www.microsoft.com/technet/security/bulletin/MS03-001.asp

WebDAV (MS03-007):

http://www.microsoft.com/technet/security/bulletin/MS03-007.asp

Päivitykset voi hakea ym. sivuilta kohdasta "Patch availability". The neccessary patches can be downloaded from the pages above under the "Patch availability" section.

Olisiko näistä apua?

 

[Stig Helmer]

No nuohan olivat tuossa postittamassani linkissä, ja imuroin ne, mutta mitään vaikutusta ei tunnu olevan.

 

[312T4]

No nuohan olivat tuossa postittamassani linkissä, ja imuroin ne, mutta mitään vaikutusta ei tunnu olevan.

Laita se viruksen koko nimi Googleen ja kato mitä maailmalla siitä sanotaan! Minä sain yhden kotisivukaapparin pois sillä lailla: sieltä löyty joku tiedosto joka poisti sen! Käytin myös spybotia!

 

[McMike]

Vieläkö se virus vaivaa?

Tuli mieleen, että jos tiedät viruksen nimen tarkasti, niin voisikohan sitä yrittää etsiä tiedostoista ETSI-toiminnolla, tai sitten rekisteristä sillä nimellä. Jos se sieltä löytyy ja nimi täsmää sen kanssa, niin sen kai voisi poistaa sieltäkin käsin?

Tuosta en ihan varma ole mutta itse olen joskus tuotakin tapaa käyttänyt, silloin kun minulla oli vielä joku ilmaisvirustutka, joka kyllä havaitsi viruksen ja ilmoitti sen nimenkin, mutta ei osannut muuta sille tehdäkkään.

Ja ne päivitykset kannattaa pitää ajantasalla.

 

[Stig Helmer]

Vieläkö se virus vaivaa?

Tuli mieleen, että jos tiedät viruksen nimen tarkasti, niin voisikohan sitä yrittää etsiä tiedostoista ETSI-toiminnolla, tai sitten rekisteristä sillä nimellä. Jos se sieltä löytyy ja nimi täsmää sen kanssa, niin sen kai voisi poistaa sieltäkin käsin?

Tuosta en ihan varma ole mutta itse olen joskus tuotakin tapaa käyttänyt, silloin kun minulla oli vielä joku ilmaisvirustutka, joka kyllä havaitsi viruksen ja ilmoitti sen nimenkin, mutta ei osannut muuta sille tehdäkkään.

Ja ne päivitykset kannattaa pitää ajantasalla.

Koitin etsiä, mutta ei löytynyt.

Eipä tuo vitus tunnu vaivaaman muuten kuin antaa aina tuon ilmoituksen parin minuutin välein!

 

[312T4]

Mulla meni vanha kone niin tilttiin noista viiruksista, että koko kovalevy piti deletoida ja asentaa kaikki uudestaa! No samalla lähti kyllä viiruksetkin pois! Otti pikkusen päähän:jaska:

 

[Stig Helmer]

Taitaa tuosta OoPeen linkistä sittenkin olla apua! :thumbup:

Anteeksi epäluuloisuuteni!

Tuo Gaobot FixTool löysi aika kasan eri päätteisiä Backdoor.Agobot tiedostoja, mutta F-Securessa en valinnut "poista", vaan "puhdista", eikä puhdistaminen onnistunut, vaan se nimesi ne uudelleen. Siispä nyt edelleen nuo virukset hyppii silmille. Nyt se Gaobot FixTool ei enää uudestaan löytänyt! :jaska:

 

[Runar ja Kyllikki]

Taitaa tuosta OoPeen linkistä sittenkin olla apua! :thumbup:

Anteeksi epäluuloisuuteni!

Tuo Gaobot FixTool löysi aika kasan eri päätteisiä Backdoor.Agobot tiedostoja, mutta F-Securessa en valinnut "poista", vaan "puhdista", eikä puhdistaminen onnistunut, vaan se nimesi ne uudelleen. Siispä nyt edelleen nuo virukset hyppii silmille. Nyt se Gaobot FixTool ei enää uudestaan löytänyt! :jaska:

Nuo agobotit yms. on siitä 'käteviä', että jos tietää ihmisen ip-osoitteen, niin pystyy seuraamaan mm. netissä hänen joka näppäimenpainalluksensa ja tutkimaan koko koneen sisällön, sähköpostit yms. yms. niin halutessaan. Kerran tästä yhdelle foorumilta nyt jo bannatulle 'teinitytölle' pidin puhuttelun, kun huomasin hänen koneessaan takaporttiohjelman, mutta eihän se uskonut. Noh, se on kunkin oma häppee jos ei selväsanaista suomea usko.
Ja älä nyt pillastu Stig, en ole tutkinut sinun(kaan) koneesi sisältöä, vaikka IP-osoitteesi tiedänkin.

 

[312T4]

Nuo agobotit yms. on siitä 'käteviä', että jos tietää ihmisen ip-osoitteen, niin pystyy seuraamaan mm. netissä hänen joka näppäimenpainalluksensa ja tutkimaan koko koneen sisällön, sähköpostit yms. yms. niin halutessaan. Kerran tästä yhdelle foorumilta nyt jo bannatulle 'teinitytölle' pidin puhuttelun, kun huomasin hänen koneessaan takaporttiohjelman, mutta eihän se uskonut. Noh, se on kunkin oma häppee jos ei selväsanaista suomea usko.
Ja älä nyt pillastu Stig, en ole tutkinut sinun(kaan) koneesi sisältöä, vaikka IP-osoitteesi tiedänkin.

Mistä noita agobot viiruksia oikein tulee - siis tarkemmin, mistä päin nettiä???

 

[Stig Helmer]

Mistä noita agobot viiruksia oikein tulee - siis tarkemmin, mistä päin nettiä???

IRC:stä, kuten tuolla sivuilla sanotaan.

Sattumoisin ainoa kerta kun olen IRC:iä käyttänyt on F1-Forumin chattikanavilla!

Mielestäni Runar & Kyllikki, jos kerran tietää näistä asioista, voisi avuttomia ehkä ennemminkin neuvoa tuon "naureskelun" sijaan!!!

 

[Runar ja Kyllikki]

IRC:stä, kuten tuolla sivuilla sanotaan.

Sattumoisin ainoa kerta kun olen IRC:iä käyttänyt on F1-Forumin chattikanavilla!

Mielestäni Runar & Kyllikki, jos kerran tietää näistä asioista, voisi avuttomia ehkä ennemminkin neuvoa tuon "naureskelun" sijaan!!!

Olen selkeäsanaisesti useamman kerran saanut kuulla, että turvallisuusvaroitukseni eivät kiinnosta ketään.