Il NAV lo ha riscontrato nel file c:\antivir62.exe dicendo che è impossibile riparare il file
Quindi non lo mette neppure in quarantena
Ho già scaricato i due tool specifici gaobot presenti sul sito della norton... non riscontrano niente

CHe fare?

Serve cancellare il file infetto?

In effetti risontro un generale rallentamento dell'avvio e chiusura del il stema da un po' di tempo ma non so se attribuirlo al virus

Specifico meglio: la scansione dei file non rileva il virus. auto protect si

Grazie

Leggi QUI (http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html) con molta attenzione.
Tra le altre cose, parla anche di patch per windows, system restore e manual remove.

Se non risolvi comunque, fammi sapere.
Ciao

avevo già dato uno sguardo ma ho utilizzato solo il removal tool della norton... senza risultato.

non ho cercato di eseguire una serie di indicazioni per non rischiare errate interpretazioni o fare cose in contrasto con altri aspetti del SO.

Ad es mi è stato sempre sconsigliato l'uso di un firewall i cui pregi sarebbero compensati dai difetti.

se puoi darmi qualche suggerimento sarebbe cosa utilissima

Vai QUI (http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html) e scaricati il removal tool della symantec.

Ricordati che DEVI DISABILITARE IL SYSTEM RESTORE se hai windows xp o me. Se ti serve sapere come, dimmelo. Se non fai questa operazione, è normale che il tool non ti rilevi nulla!!!

Fammi sapere

Ciao

puoi indicarmi come DISABILITARE IL SYSTEM RESTORE ?
per me non era così evidente, avevo solo disabilitato autoprotect di NAV

Prima mi devi dire che windows hai! ;)
Sennò come ti aiuto...
Attendo notizie

Ciao

xp professional upgradato con tutte le patch importanti

Start - Clic dx su Risorse del Computer - Proprietà - Ripristino configurazione di sistema e metti la spunta su "Disattiva ripristino..."

Fammi sapere

Ciao

fatto... devo riavviare prima di fare la scansione?

Sì, ti conviene riavviare.
Ma riavvia in modalità provvisoria.
Per farlo con XP, vai su start - esegui - msconfig - invio
Vai sulla scheda boot.ini e spunta "/safeboot" e minimal.
Poi riavvia ed andrà in modalità provvisoria.
Applica e chiudi.

Fai la scansione.

Quando ha finito, dovrai (prima di riavviare) andare su start - esegui - msconfig - invio
In "generale" metti la spunta su "avvio normale".
Applica e chiudi.

Quando sarai in Windows normale, dovrai riabilitare il System Restore. Quindi Start - clic dx su risorse del computer - proprietà - ripristino configurazione di sistema - togli la spunta da "distattiva ...".

Spero di essere stato sufficientemente chiaro.

Fammi sapere

Ciao

ho seguito alla lettera le tue indicazioni ma il tool removal per il gaobot non ha trovato nulla ugualmente

l'unica cosa inattesa riguarda una finestra che si è aperta con la riapertura del pc

"L'utilità di configurazione del sistema è stata utilizzata per apportare modifiche alla modalità di avvio di windows
L'utilità di configurazione del sistema è attualmente in modalità Avvio diagnostico o selettivo....
l'opzione da spuntare è:
Non visualizzare questo messaggio o o avvia L'utilità di configurazione del sistema all'avvio del windows"

Ho ancora la finestra aperta e nel frattempo ho tolto la spunta su "disattiva" del System Restore.


Probabilmente ritenterei stanotte a fare una scansione completa col NAV... salvo che tu non ritenga opportuno fare altro

ciao

un mio amico aveva il solito problema... :rolleyes:

nel frattempo il pc si è bloccato ed ho resettato.

sembra che l'unico momento in cui si rileva il file infetto (sempre lo stesso) sia ad opera dell'autoprotect.
stanotte lancio il secondo gaobot ma non sono troppo fiducioso


ripeto e se cancello il file infetto?

anche io ne ho uno di questo gaobot..

l'ho messo in quarantena, aviando in modalità il norton 2004.

E' sinceramente la prima volta che un virus mi mette così in difficoltà...:muro:

Mi spiace, ma di più non so!
Prova a cancellare il file infetto, ma non so se sarà utile.

Ciao

niente da fare... nel notebook, tutto, non basta....
Sto virus, continua a prosperare.....

come posso fare????
Sono veramnete scoraggiato.....

Ma dove l'avete preso questo virus raga ?

non capisco propioo, nenache io dove lo ho preso

Anche io ho lo stesso problema :muro: :muro: :muro:
Mi sta facendo schiumare.... e il bello che quando sono convinto che tutto sia tornato a posto mi rispunta quel maledetto avviso del NAV....
AIUTOOOOOOOOOOOOOOOOOOO!!!!!!

e' ricomparso anche a me nel file explore.exe e stavolta è particolarmente insistente
ripeto che il tool della norton non trova nulla

ho inviato il primo file ad eraser ma non so ancora nulla

l'account di posta ha problemi, non riesco a scaricare il file...spero di riuscire appena sistemano tutto

:( mi sono appena beccato sto virus anch'io:eek: cazzo stavo lavorando tranquillamente con un programma di grafica e mi compare la finestrella di norton con scritto che ha rilevato il virus W32.HLLW.Gaobot.gen e il file infetto è explored.exe:( che faccio? buckuppo? o posso fregarmene?:rolleyes:

ADESSO MI SEGNALA ANCHE IL FILE WINSTART.EXE SEMPRE SOTTO RADICE

E STAVOLTA NON VA VIA L'AVVISO VIRUS SEGNALANDO ACCESSO NEGATO AL FILE

dunque, io sembra che abbia risolto...

ho messo TUTTe le patch windows, tutte proprio....
e fatto lo scan in m<odalità provvisoria...

in più ho messo sygate...

probabilmente c'è una falla che permette l'esecuzione di codice, nel nostro pc...

speriamo vi sia di aiuto....

hasi cancellato i file incriminati?

Procedi nel seguente modo:
- Download dello Strumento di rimozione Symantec:
http://securityresponse.symantec.com/avcenter/FxGaobot.exe
- Disattiva il "Ripristino configurazione di sistema" come descritto qui:
http://snipurl.com/66s5
- Riavvia il computer in modalità provvisoria come descritto qui:
http://snipurl.com/66s7
- Esegui il Removal Tool.

Se il problema persiste devi provare ad eseguire gli altri strumenti di
rimozione per le varianti del worm, prelevabili qui:
http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.t
ool.html
URL breve: http://snipurl.com/66s9


ringraziamo tutti :)
Vincenzo Di Russo di Microsoft®

Originariamente inviato da pippicalzelunghe
anche io ne ho uno di questo gaobot..

l'ho messo in quarantena, aviando in modalità il norton 2004.

E' sinceramente la prima volta che un virus mi mette così in difficoltà...:muro:


E' un gran bastardo...ho dovuto trovare i services.exe in driver per eliminarlo....e si è installato non so come pur avendo norton 2004 e firewall :confused: è il primo troyan/virus che prendo e mi aveva infettato 2 computer...(il principale per 2 volte..la seconda volta perchè ho disabilitato per 10 minuti il firewall e il troyan è subito entrato sulla porta tcp/ip)....a quanto pare ha invaso la rete fastweb ....ho perso 4 ore per eliminarlo alla radice....anche perchè il troyan blocca i removal tool della symantec e una volta scaricato da un altro pc spesso devi andare manualmente ad eliminarlo(a me il removal tool non ha avuto effetto per esempio)....io ho risolto andando in modalità provvisoria.. usando il firewall e bloccando gli .exe del troyan e eliminando host (con cui impediva l'accesso ad internet)

ALLORA COSA TI CONVIENE FARE (mettiti con calma il troyan è fatto molto bene e sfrutta decine di vulnerabilità della microsoft quindi anche con antivirus e co è facile da prendere)

-Individua per bene la variante del virus gaobot
-andando in modalità provvisoria vai in

C:\WINDOWS\System32\driver (dovrebbe essere questa directory se non sbaglio e cancella HOST che ti impedisce l'aggiornamento di andare sui siti di tutti gli antivirus :eek: )

Utilizzando un firewall BLOCCA sempre in quelle cartelle o nelle vicinanze services.exe (il bastardo lo chiama video process) e qualsiasi exe ti sia sospetto (prova ad andare su google e a cercare gli exe sospetti della cartella)

Già così dovresti risolvere (io almeno ho fatto così sui miei pc infettati)

Scarica le definizioni dei virus e fai una scansione approfondita del sistema....dopo questa bella esperienza sto provando avast ...almeno non rallenta il sistema.....

:muro: :muro: :muro: :muro:

Sullo stesso problema, sta lottando la mia consorte su un portatile di una amica (Nota: solo dopo un giorno di navigazione in Internet senza antivirus (i polli esistono..), il portatile nuovo di pacco ha beccato Hacktool.lsasssba (Trojan Horse), W32.Hllw.Gaobot.gen (Worm), W32.Randex.gen (Worm),W32.Sasser (Worm)).
Per alcuni, l' infezione e' forse stata eradicata operando manualmente sul file di registro (come suggerito sul sito Symantech in http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html). Precedenti tentativi con scansioni in modalita' provvisoria e tool di rimozione avevano solo risolto momentaneamente.
Presumo che se venga lasciato qualche collegamento nel registro, in realta' il worm-troiano riparte appena si riapre explorer e il NAV lancia l'allarme.
Dico "forse eradicata" perche' sono in corso le verifiche: PC acceso e collegato in rete.

Speriamo in bene per tutti.

Confermo quanto scritto dal mio caro Pegasoalatp, ieri sera x rimuovere tutti quei virus ci ho messo un sacco di tempo e Gaobot è quello + bastardo da eliminare.
Ho seguito passo passo le istruzioni dal sito Symantec per rimuoverlo manualmente: http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html
Il SO di quel notebook è WinXP Home, ho trovato un po' difficili (sono una principiante eh!!) i punti 3 (restore Windows Hosts) e 6 (Reversing the changes made to the Registry) anche perchè alcune situazioni sul notebook erano diverse da quelle indicate sul sito Symantec.
Dopo averlo rimosso manualmente mi sono collegata ad Internet e finalmente il NAV non ha + rilevato la presenza di alcun virus; prima di rimuoverlo ogni volta che mi collegavo ad Internet il NAV trovava un file infetto. Stamattina me lo sono portata al lavoro e l'ho di nuovo collegato ad Internet per un paio d'ore, ho scaricato un aggiornamento di Windows non critico), ha surfato su qualche sito italiano e il NAV non ha + rilevato virus. Tramite il sito Symantec ho anche fatto il Security Check sia per la vulnerabilità che per i virus e alla fine il notebook è stato dichiarato "sicuro".
Adesso lo renderò alla legittima proprietaria, sinceramente non so + che controlli fare, ho ancora fatto fare pochi minuti fà una scansione al NAV sia in modalità Windows normale che provvisoria e il risultato è sempre lo stesso: non ci sono virus.
Che fatica ragazzi :muro: ma è stata un'esperienza interessante!
Adesso aspetto solo con ansia il responso finale dell'utilizzatore del notebook. Avrei una domanda: una connessione ADSL con modem (non router!!!) è meno sicura di una connessione 56K con modem? Nel senso che: c'è un rischio maggiore di beccarsi qualche virus?

Ciao,
raga sono nella me*da come voi...

ora sto riprovando col fix della Symantec appena aggiornato ad oggi 11/5/2004 versione 1.0.11

'Sto coso sta mutando...

Norton lo trova appena si crea nella cartella c:\documents and settings\all users\documents il file infetto.

fino a 6 giorni fa era riconosciuto come Gaobot.gen ed aveva un nome che non ricordo bene.

Ora invece è netsvcs.exe, me lo riconosce come Gaobot.SY e da oggi mi sta arrivando anche un altro eseguibile in quella cartella.

In più mi crea un file di nome "testfile" senza estensione e di lunghezza 0 byte.
E' come se il virus prima fa un test per vedere se riesce a scrivere nella cartella, poi si installa.

Il bello è che sto proteggendo le cartelle dalla scrittura... ora ho provato a negare l'accesso alla cartella e vedo che succede...

certo che è una rottura di balle pazzesca...

Volete sapere l'ultima? collego il pc all'università e non succede niente, mi collego a casa e invece lo becco.. e uso Fastweb!!
Qualcuno l'ha presto all'interno della rete e lo sta propagando, porca puzzola!!!

Idem... ho altri due pc, uno con WinXP Pro e l'altro con Win2000, entrambi con lo stesso Antivirus Norton 2004 e non beccano il virus!!!

(modifica... il pc con Win2000 non è mai connesso come amministratore e XP Pro lo connetto raramente quindi non posso stimare...)

quindi.. è bello diffuso su fastweb??

chi ci sta capendo qualcosa?

p.s. ho già fatto scansioni in safe mode, aggiornamenti windows, antivirus etc.. .ma nulla non lo trova proprio!

help!!
:cry: :cry:

Originariamente inviato da eraser
l'account di posta ha problemi, non riesco a scaricare il file...spero di riuscire appena sistemano tutto
:asd: :asd:

:fuck: :fuck: :ciapet:

emh...emh...sono nella stessa situazione accipicchiolina!!!!!!
Anch'io ho fatto come descritto nel sito della symantec.....
:cry: cipolle :cry:

idem rete fastweb, non me lo becca :mad: :mad: :mad:

uè.. forse funziona...

ho tolto la condivisione di rete e ho spuntato la "sola lettura" per la cartella "all users" e...

non arriva più niente...

inoltre consiglio a tutti di mettere una password a tutti i profili del proprio pc.

Facendo così gli attacchi non arrivano a buon fine!

in effetti nel mio pc il virus non c'è... nel registro non si trova e quando sono in università non appare mai, mi capita solo navigando da casa su fastweb.

A questo punto.. provate tutti a togliere la condivisione ai vostri dischi, oltre che ad aggiornare windows update e fate sapere!

in bocca al Gaobot a tutti!

cioè scusa, fammi capire......
Perché anche a me succede che il virus me lo rilevi solo a volte, rare....
Quindi vuoi dire che non c'è nessun virus sul mio pc e che viene rilevato solo quando ho la connessione di rete attivata???
Ma come è possibile?

Scusa per la pazienza.

Originariamente inviato da AranBenjo78
cioè scusa, fammi capire......
Perché anche a me succede che il virus me lo rilevi solo a volte, rare....
Quindi vuoi dire che non c'è nessun virus sul mio pc e che viene rilevato solo quando ho la connessione di rete attivata???
Ma come è possibile?

Scusa per la pazienza.

ne parlavo al telefono con un mio amico poco fa: hanno avuto lo stesso problema in azienda e si sono accorti che la falla stava nelle cartelle condivise.

In sostanza il virus funziona così:
- tenta di trovare una "porta" per entrare nel tuo pc e scaricarsi sul tuo disco fisso
- nel mio caso identificava la cartella "c:\documents and settings\all users\documents che era appunto condivisa in rete con tutti (bella cagata di Microsoft metterla per default!)
- Norton però, dopo pochi secondi di presenza nel disco, lo identifica e tenta di eliminarlo. Prima non riusciva e lo pulivo io da prompt del dos, poi con la variane .SY ce l'ha sempre fatta
- il virus non si è mai installato nel mio pc in quanto, pur essendo il mio utente amministratore della macchina, Norton riusciva ad eliminarlo, inoltre io ho una password di amministrazione: il virus tenta di prendere possesso del pc per installarsi proprio provando alcune password tra una lista di password usate spesso ("es. admin password pippo...") dagli amministratori.

Ecco perché il virus alla fine se ne stava lì... se si fosse installato avrebbe causato guai gravi tipo impedire a Norton di fare l'update oppure non farti navigare su siti di antivirus (che noia di virus eh?)

Inoltre nei registri non ho mai trovato traccia di Gaobot.. come se non fosse mai passato.. la cosa mi puzzava e infatti alla fine ho capito la gabola!

Fai come ho fatto io.. chiudi le falle e vivi tranquillo!! ;)

ok grazie, hai proprio ragione tu!!!!
Infatti l'ho trovato nella tua stessa cartella e su un'altra che condividevo in rete con un altra macchina :p
Mitticooo http://adunanza.italiazip.com/html//emoticons/ok.gif

:ave: :ave: :ave: grzie.

Originariamente inviato da MrOZ
:asd: :asd:

:fuck: :fuck: :ciapet:

è vero, email.it ha dei problemi, controlla nella sezione web e provider :rolleyes:

e' tornato!!
vi spiego in breve la mia situazione:
il pc del mio coinquilino ha preso gaobot settimana scorsa
(e da allora il pc si comporta proprio da pc infetto, dopo 2 minuti dall'accensione il nav segnala gaobot e tutto si ralenta).

in casa abbiamo fastweb e condividiamo la connessione.

io sono stato via tutta settimana scorsa a webbit (dove ho preso il sasser!!) .
lunedi' quando sono tornato e mi sono collegato qui a casa mi e' apparso il nav.. gaobot.gen!

intrippamento vario.. 5-6 ore di sbattimenti tra scan in provvisoria, removal tool e tutte le altre menate che anche voi avete passato, e anche se nessun processo aveva detto di aver trovato o riparato files, IL VIRUS NON SEMBRAVA PIU' ESSERCI..

io non ho mai avuto rallentamenti sulla mia macchina, ieri ho registrato 5 ore di audio... il nav non mi aveva piu' detto niente...
per me il virus non c'era...

quando alcuni minuti fa...

ho visto sul messenger che il mio coinquilino aveva effettuato l'accesso (anche se e' ancora sotto le coperte!) e subito dopo TA DAAAAA
il nav ha detto che avevo il rock'n'roll Gay Robot di nuovo..... :muro:


ah la tauromachia!

ma quelli di fastweb?? non possono fare qualcosa??

metti un firewall altrimenti continuerà a rientrare...fastweb è invasa da questo worm.