thx für alle hilfe, hoffe mal der is jetzzt wirklich ruhig, nur möcht ich trotzdem wissen warum mein product key invalid is und ich ned updaten kann. Gibts andere wege die updaten zu installieren? runterladen tut er sie ja, nur beim konfigurieren meckert windows

[ 11. August 2003, 23:45: Beitrag editiert von: Darkbeat ]

Hallo Darkbeat,
nach dem Systemstart mit dem Taskmanager den Prozess der Datei beenden. Dann die Datei umbennen. Und ruhe ist. Dann kannst Du ganz gemütlich einen nach dem nächsten alles abarbeiten.

Ausserdem meinte MMK den Hinweis mit dem Windows Update glaub ich eher allgemein. Nicht unbedingt auf deine Situation bezogen.


yours
Eltharion

Vielleicht hilft diese frische Info:

http://www.trendmicro.com/vinfo/viru...LAST.A&VSect=T

Was ich bisher rausgefunden habe:

- msblast.exe ist im Ordner Windows\System32 zu finden
- msblast.exe trägt sich selbst in die Registry ein bei jedem Start (SOFTWARE/Microsoft/Windows/CurrentVersion/Run)
- Entfernen aus Autostart/Beenden der Datei bringt rein gar nichts, da die Datei von irgendwo her immer wieder neu gestartet wird.
- Die Datei beendet den Windows-eigenen Dienst "Remoteprozeduraufruf (RPC)" und die Datei svchost.exe und bringt somit das System zum Neustarten.
- Löschen/Umbenennen der Datei bringt nichts - die Datei ist offensichtlich nicht alleine Schuld an dem ganzen.
- Ist die msblast.exe nicht mehr verfügbar, geht der Spuk weiter, unter dem Namen TrivialFileTransmissionSoftware, jedoch ist diese Datei nirgens zu finden.
- Sowohl die msblast.exe als auch die "TrivialFileTransmissionSoftware" versuchen kurz nach ihren "Aktionen" auf das Internet zuzugreifen.
- In der Datei "msblast.exe" sind mehrere "Grüsse" vom Virenentwickler, zB: "I want you to say LOVE YOU SAN!!".

Vielen Dank auch "San"

irc: server quakenet join windows und smt-x nach dem update fragen.

vorher aber msbast aus dem autostart kicken und windows/system32 msbast.exe in aaawmsbast.exe umbenennen, dass macht den unschädlich. Dann das update machen und den key + aaamsbast.exe löschen

Nabend

Ich war auch einer der Betroffenden.

Bin wie folgt vorgegangen.

1. Firewall dazwischen schalten und der MSblast.exe einen Riegel davor schieben.

2. Windows Updates nochmal aktualisiert

3. Msblast in der MSConfig deaktiviert

4. Msblast.exe aus dem System32 Ordner gelöscht

Scheint weg zu sein die Datei mal schauen was die Zeit bringt. Allerdings scheint das Programm/Virus/Wurm/was auch immer, Systematisch IP's abzuklappern. Und wird sich wohl auf diesen Wege verbreiten. Was mich etwas verdutzt das er ohne Probleme an der Firewall vorbei gekommen ist.

Schlimm das es Leute gibt die anscheind nichts besseres zu tun haben als son mist herzustellen.

Gruss Wayfarer

</font><blockquote>Zitat:</font><hr /> - Die Datei beendet den Windows-eigenen Dienst "Remoteprozeduraufruf (RPC)" und die Datei svchost.exe und bringt somit das System zum Neustarten. </font>[/QUOTE]Imho passiert das immer dann, wenn der Exploit des RPC-Dienstes _nicht_ funktioniert hat, d.h. statt des 'erfolgreichen' Ausführens des schädlichen Codes wird der Dienst 'aus Versehen' abgeschossen, was Windoof zum Neustart veranlasst.

Hat also wahrscheinlich nix mit der Wurm-Datei selbst zu tun...

Hallo!

Edit: Erstmaßnahme:
- Patch installieren von dieser Seite (herunterscrollen bis zu Patch availability):
http://www.microsoft.com/technet/tre...n/MS03-026.asp


Wichtige Hinweise:

1.) Nicht auf eine Personal Firewall verlassen.
2.) Stattdessen Patches einspielen (Windowsupdate, siehe oben).
3.) Zudem Dienste beenden: http://kssysteme.de

Punkt 3 ist auch zu empfehlen für jene, denen jetzt keine Zeit mehr für ein Update bleibt, weil der PC zu oft abstürzt. Die Konfiguration wäre dann bei getrennter Internetverbindung durchzuführen!

Für XP der Direktlink:
http://kssysteme.de/s_content.php?id...01-31-3823#xp2

Für Win 2K:
http://kssysteme.de/s_content.php?id...2-3414#w2kmsds

Dann rebooten, und ein Windowsupdate einspielen.

Viel Erfolg bei der Entfernung und Verbannung.
Edit: Letzliche Entfernung vom PC mit Stinger:
http://vil.nai.com/vil/stinger/

Das entbindet aber nicht von Einspielen der Patches und dem Beenden von Diensten!

[ 12. August 2003, 07:48: Beitrag editiert von: mmk ]

</font><blockquote>Zitat:</font><hr /> Was mich etwas verdutzt das er ohne Probleme an der Firewall vorbei gekommen ist. </font>[/QUOTE]Was für eine Firewall? War sie richtig konfiguriert, sprich, hat sie Port 135 normalerweise geblockt (Online-Portscan gemacht?)?
Eigentlich sollte das Blockieren des Ports 135 den Exploit verhindern können...

hier ist die auflösung!!
glaube ich zumindest..
http://www.diabolo666-board.com/show...263#post118263

gruss
peter

Was für eine Auflösung? Das das ein Virus/Wurm ist steht doch schon auf Seite zwei???


Björn

das gute stück verbreitet sich wie hulle, sehr heftig...

</font><blockquote>Zitat:</font><hr />Original erstellt von verena:
das gute stück verbreitet sich wie hulle, sehr heftig... </font>[/QUOTE]Jepp... die Foren quellen über davon.... und das nur innerhalb weniger Stunden. Morgen geht's erst richtig los, wenn in der Früh viele online gehen.

hab ja nie gesagt das ich nelösung kenne.
aber der scheiss wird erst morgen wirklich beginnen.
Gerade eben ist noch eine eMail zum Thema eingetruddelt:


zitat:
--------------------------------------------------------------------------------

Von: "Nick FitzGerald" &lt;nick@VIRUS-L.DEMON.CO.UK&gt;
An: &lt;NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM&gt;
Betreff: Re: reports of DCOM worm on the loose...#3
Datum: Dienstag, 12. August 2003 01:25

Russ asked:

&gt; The registry key which is modified in order to make the worm propagate is;
&gt;
&gt; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
&gt; Value=Run
&gt;
&gt; Where the value is "windows auto update" = msblast.exe I just want to
&gt; say LOVE YOU SAN!! bill
&gt;
&gt; If anyone can explain why this would actually run the MSBLAST.EXE
&gt; please explain.

It doesn't right away. That is done in the exploit payload.

This just makes sure that the code is run on successive restarts.
CodeRed and Slammer were "pure" network worms and thus depended upon
ongoing availability of non-patched machines and network saturation
with their code to provide ongoing "re-infection" as infected machines
were restarted. This beast is much more your traditional Win32 file-
based malware which just happens to have a network spreading function.
As such, there is a "permanent" copy of the code on the victim machine,
so it sets itself to restart from that as the system comes up from
restart.

BTW, the EXE has code that should create the mutex "BILLY", presumably
as a self-infection marker. However, I cannot see the expected
matching code to check for this mutex's existence, so multiple
infection seems possible.

Also, the reports of code to DoS windowsupdate.com on 15 August may be
misleading -- from a very quick look at the code, it seems the logic is
"if it is after the 15th of the month then DoS" and if that condition
fails the test "is it August or earlier then skip the DoS" is made.
Thus, the DoS will start Saturday as that's the first date after the
15th since the worm's release and will continue until 1 Jan, when it
will stop until 15 January, continue until 1 Feb, et seq.


--
Nick FitzGerald
Computer Virus Consulting Ltd.
Ph/FAX: +64 3 3529854

soviel zum thema
have a nice day
guss
peter

So FProt soll den nun auch erkennen.

Und AVPE erkennt ihn auch... cool [img]smile.gif[/img]

Björn