W32.HLLW.Gaobot.gen

[eraser]

l'account di posta ha problemi, non riesco a scaricare il file...spero di riuscire appena sistemano tutto

[Solid Snake]

mi sono appena beccato sto virus anch'io cazzo stavo lavorando tranquillamente con un programma di grafica e mi compare la finestrella di norton con scritto che ha rilevato il virus W32.HLLW.Gaobot.gen e il file infetto è explored.exe che faccio? buckuppo? o posso fregarmene?

[Antonio Avitabile]

ADESSO MI SEGNALA ANCHE IL FILE WINSTART.EXE SEMPRE SOTTO RADICE

E STAVOLTA NON VA VIA L'AVVISO VIRUS SEGNALANDO ACCESSO NEGATO AL FILE

[pippicalzelunghe]

dunque, io sembra che abbia risolto...

ho messo TUTTe le patch windows, tutte proprio....
e fatto lo scan in m<odalità provvisoria...

in più ho messo sygate...

probabilmente c'è una falla che permette l'esecuzione di codice, nel nostro pc...

speriamo vi sia di aiuto....

[Antonio Avitabile]

hasi cancellato i file incriminati?

[rastapo]

Procedi nel seguente modo:
- Download dello Strumento di rimozione Symantec:
http://securityresponse.symantec.com...r/FxGaobot.exe
- Disattiva il "Ripristino configurazione di sistema" come descritto qui:
http://snipurl.com/66s5
- Riavvia il computer in modalità provvisoria come descritto qui:
http://snipurl.com/66s7
- Esegui il Removal Tool.

Se il problema persiste devi provare ad eseguire gli altri strumenti di
rimozione per le varianti del worm, prelevabili qui:
http://securityresponse.symantec.com...obot.removal.t
ool.html
URL breve: http://snipurl.com/66s9


ringraziamo tutti
Vincenzo Di Russo di Microsoft®

[zerothehero]

Quote:

Originariamente inviato da pippicalzelunghe
anche io ne ho uno di questo gaobot..

l'ho messo in quarantena, aviando in modalità il norton 2004.

E' sinceramente la prima volta che un virus mi mette così in difficoltà...

E' un gran bastardo...ho dovuto trovare i services.exe in driver per eliminarlo....e si è installato non so come pur avendo norton 2004 e firewall è il primo troyan/virus che prendo e mi aveva infettato 2 computer...(il principale per 2 volte..la seconda volta perchè ho disabilitato per 10 minuti il firewall e il troyan è subito entrato sulla porta tcp/ip)....a quanto pare ha invaso la rete fastweb ....ho perso 4 ore per eliminarlo alla radice....anche perchè il troyan blocca i removal tool della symantec e una volta scaricato da un altro pc spesso devi andare manualmente ad eliminarlo(a me il removal tool non ha avuto effetto per esempio)....io ho risolto andando in modalità provvisoria.. usando il firewall e bloccando gli .exe del troyan e eliminando host (con cui impediva l'accesso ad internet)

ALLORA COSA TI CONVIENE FARE (mettiti con calma il troyan è fatto molto bene e sfrutta decine di vulnerabilità della microsoft quindi anche con antivirus e co è facile da prendere)

-Individua per bene la variante del virus gaobot
-andando in modalità provvisoria vai in

C:\WINDOWS\System32\driver (dovrebbe essere questa directory se non sbaglio e cancella HOST che ti impedisce l'aggiornamento di andare sui siti di tutti gli antivirus )

Utilizzando un firewall BLOCCA sempre in quelle cartelle o nelle vicinanze services.exe (il bastardo lo chiama video process) e qualsiasi exe ti sia sospetto (prova ad andare su google e a cercare gli exe sospetti della cartella)

Già così dovresti risolvere (io almeno ho fatto così sui miei pc infettati)

Scarica le definizioni dei virus e fai una scansione approfondita del sistema....dopo questa bella esperienza sto provando avast ...almeno non rallenta il sistema.....

[pegasoalatp]

Sullo stesso problema, sta lottando la mia consorte su un portatile di una amica (Nota: solo dopo un giorno di navigazione in Internet senza antivirus (i polli esistono..), il portatile nuovo di pacco ha beccato Hacktool.lsasssba (Trojan Horse), W32.Hllw.Gaobot.gen (Worm), W32.Randex.gen (Worm),W32.Sasser (Worm)).
Per alcuni, l' infezione e' forse stata eradicata operando manualmente sul file di registro (come suggerito sul sito Symantech in http://securityresponse.symantec.com...aobot.gen.html). Precedenti tentativi con scansioni in modalita' provvisoria e tool di rimozione avevano solo risolto momentaneamente.
Presumo che se venga lasciato qualche collegamento nel registro, in realta' il worm-troiano riparte appena si riapre explorer e il NAV lancia l'allarme.
Dico "forse eradicata" perche' sono in corso le verifiche: PC acceso e collegato in rete.

Speriamo in bene per tutti.

[Ladiko]

Confermo quanto scritto dal mio caro Pegasoalatp, ieri sera x rimuovere tutti quei virus ci ho messo un sacco di tempo e Gaobot è quello + bastardo da eliminare.
Ho seguito passo passo le istruzioni dal sito Symantec per rimuoverlo manualmente: http://securityresponse.symantec.com...aobot.gen.html
Il SO di quel notebook è WinXP Home, ho trovato un po' difficili (sono una principiante eh!!) i punti 3 (restore Windows Hosts) e 6 (Reversing the changes made to the Registry) anche perchè alcune situazioni sul notebook erano diverse da quelle indicate sul sito Symantec.
Dopo averlo rimosso manualmente mi sono collegata ad Internet e finalmente il NAV non ha + rilevato la presenza di alcun virus; prima di rimuoverlo ogni volta che mi collegavo ad Internet il NAV trovava un file infetto. Stamattina me lo sono portata al lavoro e l'ho di nuovo collegato ad Internet per un paio d'ore, ho scaricato un aggiornamento di Windows non critico), ha surfato su qualche sito italiano e il NAV non ha + rilevato virus. Tramite il sito Symantec ho anche fatto il Security Check sia per la vulnerabilità che per i virus e alla fine il notebook è stato dichiarato "sicuro".
Adesso lo renderò alla legittima proprietaria, sinceramente non so + che controlli fare, ho ancora fatto fare pochi minuti fà una scansione al NAV sia in modalità Windows normale che provvisoria e il risultato è sempre lo stesso: non ci sono virus.
Che fatica ragazzi ma è stata un'esperienza interessante!
Adesso aspetto solo con ansia il responso finale dell'utilizzatore del notebook. Avrei una domanda: una connessione ADSL con modem (non router!!!) è meno sicura di una connessione 56K con modem? Nel senso che: c'è un rischio maggiore di beccarsi qualche virus?

[agara]

Ciao,
raga sono nella me*da come voi...

ora sto riprovando col fix della Symantec appena aggiornato ad oggi 11/5/2004 versione 1.0.11

'Sto coso sta mutando...

Norton lo trova appena si crea nella cartella c:\documents and settings\all users\documents il file infetto.

fino a 6 giorni fa era riconosciuto come Gaobot.gen ed aveva un nome che non ricordo bene.

Ora invece è netsvcs.exe, me lo riconosce come Gaobot.SY e da oggi mi sta arrivando anche un altro eseguibile in quella cartella.

In più mi crea un file di nome "testfile" senza estensione e di lunghezza 0 byte.
E' come se il virus prima fa un test per vedere se riesce a scrivere nella cartella, poi si installa.

Il bello è che sto proteggendo le cartelle dalla scrittura... ora ho provato a negare l'accesso alla cartella e vedo che succede...

certo che è una rottura di balle pazzesca...

Volete sapere l'ultima? collego il pc all'università e non succede niente, mi collego a casa e invece lo becco.. e uso Fastweb!!
Qualcuno l'ha presto all'interno della rete e lo sta propagando, porca puzzola!!!

Idem... ho altri due pc, uno con WinXP Pro e l'altro con Win2000, entrambi con lo stesso Antivirus Norton 2004 e non beccano il virus!!!

(modifica... il pc con Win2000 non è mai connesso come amministratore e XP Pro lo connetto raramente quindi non posso stimare...)

quindi.. è bello diffuso su fastweb??

chi ci sta capendo qualcosa?

p.s. ho già fatto scansioni in safe mode, aggiornamenti windows, antivirus etc.. .ma nulla non lo trova proprio!

help!!

[MrOZ]

Quote:

Originariamente inviato da eraser
l'account di posta ha problemi, non riesco a scaricare il file...spero di riuscire appena sistemano tutto

[AranBenjo78]

emh...emh...sono nella stessa situazione accipicchiolina!!!!!!
Anch'io ho fatto come descritto nel sito della symantec.....
cipolle

idem rete fastweb, non me lo becca

[agara]

uè.. forse funziona...

ho tolto la condivisione di rete e ho spuntato la "sola lettura" per la cartella "all users" e...

non arriva più niente...

inoltre consiglio a tutti di mettere una password a tutti i profili del proprio pc.

Facendo così gli attacchi non arrivano a buon fine!

in effetti nel mio pc il virus non c'è... nel registro non si trova e quando sono in università non appare mai, mi capita solo navigando da casa su fastweb.

A questo punto.. provate tutti a togliere la condivisione ai vostri dischi, oltre che ad aggiornare windows update e fate sapere!

in bocca al Gaobot a tutti!

[AranBenjo78]

cioè scusa, fammi capire......
Perché anche a me succede che il virus me lo rilevi solo a volte, rare....
Quindi vuoi dire che non c'è nessun virus sul mio pc e che viene rilevato solo quando ho la connessione di rete attivata???
Ma come è possibile?

Scusa per la pazienza.

[agara]

Quote:

Originariamente inviato da AranBenjo78
cioè scusa, fammi capire......
Perché anche a me succede che il virus me lo rilevi solo a volte, rare....
Quindi vuoi dire che non c'è nessun virus sul mio pc e che viene rilevato solo quando ho la connessione di rete attivata???
Ma come è possibile?

Scusa per la pazienza.

ne parlavo al telefono con un mio amico poco fa: hanno avuto lo stesso problema in azienda e si sono accorti che la falla stava nelle cartelle condivise.

In sostanza il virus funziona così:
- tenta di trovare una "porta" per entrare nel tuo pc e scaricarsi sul tuo disco fisso
- nel mio caso identificava la cartella "c:\documents and settings\all users\documents che era appunto condivisa in rete con tutti (bella cagata di Microsoft metterla per default!)
- Norton però, dopo pochi secondi di presenza nel disco, lo identifica e tenta di eliminarlo. Prima non riusciva e lo pulivo io da prompt del dos, poi con la variane .SY ce l'ha sempre fatta
- il virus non si è mai installato nel mio pc in quanto, pur essendo il mio utente amministratore della macchina, Norton riusciva ad eliminarlo, inoltre io ho una password di amministrazione: il virus tenta di prendere possesso del pc per installarsi proprio provando alcune password tra una lista di password usate spesso ("es. admin password pippo...") dagli amministratori.

Ecco perché il virus alla fine se ne stava lì... se si fosse installato avrebbe causato guai gravi tipo impedire a Norton di fare l'update oppure non farti navigare su siti di antivirus (che noia di virus eh?)

Inoltre nei registri non ho mai trovato traccia di Gaobot.. come se non fosse mai passato.. la cosa mi puzzava e infatti alla fine ho capito la gabola!

Fai come ho fatto io.. chiudi le falle e vivi tranquillo!!

[AranBenjo78]

ok grazie, hai proprio ragione tu!!!!
Infatti l'ho trovato nella tua stessa cartella e su un'altra che condividevo in rete con un altra macchina
Mitticooo

grzie.

[eraser]

Quote:

Originariamente inviato da MrOZ

è vero, email.it ha dei problemi, controlla nella sezione web e provider

[rastapo]

e' tornato!!
vi spiego in breve la mia situazione:
il pc del mio coinquilino ha preso gaobot settimana scorsa
(e da allora il pc si comporta proprio da pc infetto, dopo 2 minuti dall'accensione il nav segnala gaobot e tutto si ralenta).

in casa abbiamo fastweb e condividiamo la connessione.

io sono stato via tutta settimana scorsa a webbit (dove ho preso il sasser!!) .
lunedi' quando sono tornato e mi sono collegato qui a casa mi e' apparso il nav.. gaobot.gen!

intrippamento vario.. 5-6 ore di sbattimenti tra scan in provvisoria, removal tool e tutte le altre menate che anche voi avete passato, e anche se nessun processo aveva detto di aver trovato o riparato files, IL VIRUS NON SEMBRAVA PIU' ESSERCI..

io non ho mai avuto rallentamenti sulla mia macchina, ieri ho registrato 5 ore di audio... il nav non mi aveva piu' detto niente...
per me il virus non c'era...

quando alcuni minuti fa...

ho visto sul messenger che il mio coinquilino aveva effettuato l'accesso (anche se e' ancora sotto le coperte!) e subito dopo TA DAAAAA
il nav ha detto che avevo il rock'n'roll Gay Robot di nuovo.....


ah la tauromachia!

ma quelli di fastweb?? non possono fare qualcosa??

[zerothehero]

metti un firewall altrimenti continuerà a rientrare...fastweb è invasa da questo worm.