URL: https://www.overclockers.at/applications/net-bot_exe_116037/page_2 - zur Vollversion wechseln!
bist mal mim norton drüber gfahren?
wie willst ihn löschen?
die system weiderherstellung hast eh deaktiviert?
abgesicherter modus fahrst auch?
Zitat von GRUMBLEdevil: wie hast du ihn weggebracht?
den dreck net-bot.exe hatte ich auch drauf, bei mir hat nur mehr format c: geholfen 
Ok jungs ich hab ihn folgendermassen wegbekommen:
Net-bot.exe aus der windows/system32 aufn desktop gezogen dann netzwerk kabel ausn modem gezogen mitn deskmanager geschlossen(prozess beendet) und dann in den papierkorb damit und gelöscht. ******* netbot macht online games unspielbar (megalags)
jo, das proggy is das ärgste..
Tag zusammen!
Ich bin derzeit Systemadministrator und hatte auch schon auf einigen unserer Rechner diese NeT-BoT.exe gefunden. BSI (deutsches Bundesamt für Sicherheit in der Informationstechnologie) und H+BEDV (Hersteller von AntiVir) haben meine eMails ignoriert, in denen ich auf diesen Schädling hingewiesen habe. Hier nun alle Informationen, die ich bisher gesammelt habe:
Datei liegt unter %System%\NeT-BoT.exe
Wobei die %System% Variable i.d.R. C:\Windows\System32 bei WinXP ist.
folgende Einträge in der Registry wurden erstellt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"system32"="NeT-BoT.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"system32"="NeT-BoT.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sys32]
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,4e,00,54,00,5c,00,\
73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,65,00,54,00,2d,\
00,42,00,6f,00,54,00,2e,00,65,00,78,00,65,00,22,00,20,00,2d,00,73,00,65,00,\
72,00,76,00,69,00,63,00,65,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sys32]
"ImagePath"=hex(2):22,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,4e,00,54,00,5c,00,\
73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,65,00,54,00,2d,\
00,42,00,6f,00,54,00,2e,00,65,00,78,00,65,00,22,00,20,00,2d,00,73,00,65,00,\
72,00,76,00,69,00,63,00,65,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="net-bot.exe"
folgende Internet-Seiten werden durch die "hosts"-Datei geblockt:
127.0.0.1 http://www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 http://www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 http://www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 http://www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 http://www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 http://www.avp.com
127.0.0.1 http://www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 http://www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 http://www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 http://www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 http://www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 http://www.trendmicro.com
Bisher fand ich ihn nur auf WinXP bzw.Win2000 Systemen.
Meine Vermutung ist, dass er eine ähnliche Sicherheitslücke wie der Sasser Wurm verwendet, also unbedingt Windows Update durchführen. Eine Firewall sollte zusätzliche Sicherheit bieten. Auch war auffällig, dass häufig nach dem Entfernen bei einem Virenscann eine Variante des Nachi-Wurms gefunden wurde. Ausserdem vermute ich auf Grund von benachbarten Registry-Einträgen, dass ein System Dienst namen "gmaispc" dazu gehört, der vermutlich Trojaner-ähnliche Funktionen bietet.
Zur Entfernung:
Mir ist bis jetzt kein Virenscanner bzw. Anti-Spyware-Software bekannt, die diesen Schädling findet. Seit dem ich im Abgesicherten Modus, die NeT-BoT.exe quarantänisiert, die obigen Registry-Einträge entfernt habe und die "hosts"-Datei wiederhergestellt habe, hab ich wieder Ruhe.
des is echt klasse.
schreib mal an http://www.heise.de vorallem an den security bereich und c't redaktion die sand über tipps imemr ganz dankbar.
Gute Idee egentlich! eMail wurde versand und ich habe einen Eintrag im Forum gepostet.
@GonzUli
wo/wie soll ich diese 'host-datei' erstellen?
Hallo plateenum!
Die hosts Datei sollst Du nicht erstellen, die sollte sich schon auf Deinem System befinden! Wenn Du Win XP verwendest solltest Du sie im Verzeichnis
C:\Windows\System32\drivers\etc\
finden.
Ansonsten einfach mal danach suchen.
Und dann kannst Du die mit einem einfachen Texteditor öffnen.
Die Standard Datei sieht dann so aus:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
Alle weiteren Einträge dürften nicht mit einem 127.0.0.1 beginnen, da Dein Rechner sonst die Anfragen an sich selber richtet.
Viel Erfolg!
Uli Wollesen
vielen dank! - funktioniert wieder.
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2026