[Nikitus]

Hallo liebe Liebenden !

Also ich habe folgendes Problem:

Nach der Formatierung und Neuinstallation meines PCs habe ich als ersten Norten AV 2004 installiert und bin anschließend online gegangen um NAV04 upzudaten .....

Während des Update Prozesses kam das Popup-Warn.Fenster von NAV04:
Virus gefunden ... in der Datei "MSlti64.exe" im System32 Ordner ... Name des Virus: "W32.HLLW.Gaobot" ... Virus konnte nicht entfernt werden !

Liveupdate von Norton hab ich anschliessend zuende laufen lassen und die komplette HDD gescant, aber Norton hat nichts gefunden ...

Allerdings war der Prozess "MSlti64.exe" im Taskmanager aktiv und hat sich auch in den Autostart geschrieben ("Ausführen" -> "msconfig" ->"Systemstart") ....

Nun hab ihn im Autostart deactiviert und die MSlTi64.exe aus dem System32-Ordner gelöscht. Mein System läuft insoweit super stabil nur kann ich kein NAV - Liveupdate durchführen, geschweige denn die Website symantec.com aufsuchen .... also muss der Virus doch irgendwas angerichtet haben ...

Kann mir irgendwer helfen ?

gruss NiK

Edit: Sorry, im falschen Fenster und somit auch im falschen Forum gepostet, vieleicht kann es ein Admin mal verschieben. Thx

[The MegaMaster]

Hallo,
ich hatte selber so ein Virus noch nicht, aber ich würde im registrierungseditor mal gucken, ob die Symantec Adressen dort irgendwo in eine IE Blacklist eingetragen sind oder so.
Und wenn das nicht geht mal mozilla downloaden und gucken, ob du damit auf die Seiten kommst.
Bei Symantec gibt es leider kein removal tool für den Virus den du angegeben hats sonst hätte ich dir mal was mailen können.
Gruss

[IRON BUTTERFLY]

vielleicht
Jetzt aber!

gruss
IB

[frogger9]

verschiebs doch gern

[OpusDei]

Zitat:

Original geschrieben von Nikitus
Mein System läuft insoweit super stabil nur kann ich kein NAV - Liveupdate durchführen, geschweige denn die Website symantec.com aufsuchen .... also muss der Virus doch irgendwas angerichtet haben ...

Vermutlich hat der Virus deine HOSTS-Datei modifiziert. In diesem Fall enthält die Datei HOSTS unter %windir%\system32\drivers\etc Einträge in der Art von z.B. "127.0.0.1 liveupdate.symantec.com". Lösch alle diese Einträge, so dass nur noch die Zeile "127.0.0.1 localhost" sowie evtl. von dir gewünschte Werte zu sehen sind.

Gruß

[Nikitus]

@ Iron Butterfly:

Server nicht gefunden
______________________

@OpusDei:

inhalt der Hostdatei:
127.0.0.1 localhost

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com

-> werds nu mal löschen und testen .....

EDIT:
;-(( hab nu alles gelöscht ausser "127.0.0.1 localhost" aber jetzt geht weder zonealarm noch NAV automatisch an ... manuell kann ich es auch nicht starten ... aber dafür geht nun bei neustart jedesmal der internet explorer und opera auf mit so ner xxx - gay - porn - seite

so, meiner einer muss nu gleich zur nachtschicht, vieleicht hat ja bis morgen irgendjemand DIE idee die helfen könnte, ansonsten würd ich wiederneuformatieren :<

gruss NiK

[IRON BUTTERFLY]

Link gefixt!