thx für alle hilfe, hoffe mal der is jetzzt wirklich ruhig, nur möcht ich trotzdem wissen warum mein product key invalid is und ich ned updaten kann. Gibts andere wege die updaten zu installieren? runterladen tut er sie ja, nur beim konfigurieren meckert windows

[ 11. August 2003, 23:45: Beitrag editiert von: Darkbeat ]

Hallo Darkbeat,
nach dem Systemstart mit dem Taskmanager den Prozess der Datei beenden. Dann die Datei umbennen. Und ruhe ist. Dann kannst Du ganz gemütlich einen nach dem nächsten alles abarbeiten.

Ausserdem meinte MMK den Hinweis mit dem Windows Update glaub ich eher allgemein. Nicht unbedingt auf deine Situation bezogen.


yours
Eltharion

Vielleicht hilft diese frische Info:

http://www.trendmicro.com/vinfo/viru...LAST.A&VSect=T

Was ich bisher rausgefunden habe:

- msblast.exe ist im Ordner Windows\System32 zu finden
- msblast.exe trägt sich selbst in die Registry ein bei jedem Start (SOFTWARE/Microsoft/Windows/CurrentVersion/Run)
- Entfernen aus Autostart/Beenden der Datei bringt rein gar nichts, da die Datei von irgendwo her immer wieder neu gestartet wird.
- Die Datei beendet den Windows-eigenen Dienst "Remoteprozeduraufruf (RPC)" und die Datei svchost.exe und bringt somit das System zum Neustarten.
- Löschen/Umbenennen der Datei bringt nichts - die Datei ist offensichtlich nicht alleine Schuld an dem ganzen.
- Ist die msblast.exe nicht mehr verfügbar, geht der Spuk weiter, unter dem Namen TrivialFileTransmissionSoftware, jedoch ist diese Datei nirgens zu finden.
- Sowohl die msblast.exe als auch die "TrivialFileTransmissionSoftware" versuchen kurz nach ihren "Aktionen" auf das Internet zuzugreifen.
- In der Datei "msblast.exe" sind mehrere "Grüsse" vom Virenentwickler, zB: "I want you to say LOVE YOU SAN!!".

Vielen Dank auch "San"

das gute stück verbreitet sich wie hulle, sehr heftig...

</font><blockquote>Zitat:</font><hr />Original erstellt von verena:
das gute stück verbreitet sich wie hulle, sehr heftig... </font>[/QUOTE]Jepp... die Foren quellen über davon.... und das nur innerhalb weniger Stunden. Morgen geht's erst richtig los, wenn in der Früh viele online gehen.

hab ja nie gesagt das ich nelösung kenne.
aber der scheiss wird erst morgen wirklich beginnen.
Gerade eben ist noch eine eMail zum Thema eingetruddelt:


zitat:
--------------------------------------------------------------------------------

Von: "Nick FitzGerald" &lt;nick@VIRUS-L.DEMON.CO.UK&gt;
An: &lt;NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM&gt;
Betreff: Re: reports of DCOM worm on the loose...#3
Datum: Dienstag, 12. August 2003 01:25

Russ asked:

&gt; The registry key which is modified in order to make the worm propagate is;
&gt;
&gt; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
&gt; Value=Run
&gt;
&gt; Where the value is "windows auto update" = msblast.exe I just want to
&gt; say LOVE YOU SAN!! bill
&gt;
&gt; If anyone can explain why this would actually run the MSBLAST.EXE
&gt; please explain.

It doesn't right away. That is done in the exploit payload.

This just makes sure that the code is run on successive restarts.
CodeRed and Slammer were "pure" network worms and thus depended upon
ongoing availability of non-patched machines and network saturation
with their code to provide ongoing "re-infection" as infected machines
were restarted. This beast is much more your traditional Win32 file-
based malware which just happens to have a network spreading function.
As such, there is a "permanent" copy of the code on the victim machine,
so it sets itself to restart from that as the system comes up from
restart.

BTW, the EXE has code that should create the mutex "BILLY", presumably
as a self-infection marker. However, I cannot see the expected
matching code to check for this mutex's existence, so multiple
infection seems possible.

Also, the reports of code to DoS windowsupdate.com on 15 August may be
misleading -- from a very quick look at the code, it seems the logic is
"if it is after the 15th of the month then DoS" and if that condition
fails the test "is it August or earlier then skip the DoS" is made.
Thus, the DoS will start Saturday as that's the first date after the
15th since the worm's release and will continue until 1 Jan, when it
will stop until 15 January, continue until 1 Feb, et seq.


--
Nick FitzGerald
Computer Virus Consulting Ltd.
Ph/FAX: +64 3 3529854

soviel zum thema
have a nice day
guss
peter

So FProt soll den nun auch erkennen.

Und AVPE erkennt ihn auch... cool [img]smile.gif[/img]

Björn

[ 12. August 2003, 01:41: Beitrag editiert von: Who Cares ]

Harmlos - er fährt immer runter, weil dieser Wurm eine Einstellung im RPC-Dienst ausnutzt: Wenn der Dienst gestopt wird, fährt der Rechner automatisch runter.

Dienste -&gt; RPC -&gt; Wiederherstellen -&gt; Alles auf "Nichts tun" ändern. Noch lebt mein Rechner, bisher schon eine Minunte zu lang [img]graemlins/lach.gif[/img]

Trotzdem, ganz los ist man das Vieh damit noch nicht, aber arbeiten kann man erstmal wieder [img]smile.gif[/img]

Hi Leuts....bin ein weiterer Betroffener dieses verdammten Trojaners !! Habe jetzt so ziemlich alles probiert um das Ding los zuwerden !Ich kann wenigstens wieder arbeiten...hab mir Zone Alarm druff gemacht der blockt zuiverlässig !Aber ich will dieses DIng unbedingt loswerden !! Bitte helft mir bzw.UNS!

Hi,
-lies die o.g. Links
-Update dein Virenprogramm (hast du eins?? Wenn ja, welches ? wenn nein, warum nicht?) bzw. installiere und aktualisiere Kaspersky ( www.datsec.de )
- Nach Säuberung des PCs: System sicher konfigurieren, speziell erstmal www.windowsupdate.com

Ich benutze Norten Antivirus...doch das Ding findet der nicht.Hab den Scanner über mein komplettes System jagen lassen ,jedoch ohne erfolg.Was nun?

symantec hat ein removal tool gebastelt: http://www.sarc.com/avcenter/venc/da...oval.tool.html
das führt aber nicht drumherum, hinterher upzudaten und die ports dicht zu machen

Man ihr seit echt spitze. Bei mir und meinem kumpel tritt das prob auch seit gestern auf. Wir waren schon echt in panik und kurz davor die rechner platt zu machen. Aber kutti sich auf euch verlassen (da schon mal geholfen) und gesagt erstmal alten rechner online schicken und bei trojaner forum gucken. Supi, macht weiter so!!!!
[img]graemlins/bussi.gif[/img]