|
hi, ich habe seit kurzem ausversehen mal ohne zonealarm gesurft und plötzlich fur mein pc runter. danach ging ich wieder online und msblast.exe wollte connecten, kennt das jemand? |
Hallo, sei willkommen! ;) </font><blockquote>Zitat:</font><hr />Original erstellt von Shootist: und msblast.exe wollte connecten, kennt das jemand? </font>[/QUOTE]Prüfe die Datei hier: http://www.kaspersky.com/de/remoteviruschk.html |
Hi Shootist, Habe hier gerade exakt das gleiche Phänomen. Das ist zu 100% sicher ein Virus der gerade aktiv wird/ist. Zuerst hat das Ding angefangen mein System durch das beenden von notwendigen Diensten am laufenden Band abstürzen zu lassen, immer zur gleichen Zeit versucht die msblast.exe aufs Internet zuzugreifen. Diese Datei habe ich nun erstmal unschädlich gemacht - aber kurz danach ging es wieder los, bloss war diesmal die Datei die aufs Internet zugreifen wollte eine "TrivialFileTransmissionSoftware" oder so etwas ähnliches, wieder gingen die Abstürze los. Ich versuche der Sache gerade auf den Grund zu kommen, alles was ich bis hierhin raten kann ist diesen Dateien keinen Zugriff aufs Internet zu erlauben, und die Dateien schnellstmöglich durch ändern der Dateiendung unschädlich zu machen (zu finden in windows\system32). Gruss, Storm98 |
@Shootist (Welcome ;) ) @Storm98 Solltet ihr wirklich das Pech haben, neue unbekannte Malware eingefangen zu haben, dann schickt diese ominöse msblast.exe zu den Herstellern eurer AV Programme. (im Internet waren meine Suchergebnisse bez. dieser Datei auch gleich Null) Sollte keiner von euch beiden Kaspersky Antivirus benutzen, dann schickt mir bitte diese Datei und ich leite sie weiter an Kaspersky Labs. schlumpfi1@gmx.at |
Das ist ein Virus/Wurm Kollegen haben den auch. Scheint ganz neu zu sein, es hat einige erwischt. Im IRC sind die Leute auch nur noch am neustarten. Nachdem die den RPC Patch von M$ installiert haben, scheint ruhe zu sein. Und die msblast.exe aus dem Autostart nehmen und löschen. Björn |
ca 30 leute ausm meine clan haben das auch. einfach den patch installieren dann is wech. ich frag mich nur wie man sich den einfängt |
bin schon schlauer.... [img]smile.gif[/img] Zitat: Symptome für einen Befall ist (neben dem unten erwähnten Portscan) das Vorhandensein einer Datei namens "msblast.exe" und ein neuer Eintrag unter SOFTWARE\Microsoft\Windows\CurrentVersion\Run mit dem Namen "windows auto update". Aufgrund von Suchpfad-Problemen ist es allerdings systemabhängig, ob der Wurm nach einem Neustart des Systems wieder aktiviert wird. Quelle: http://cert.uni-stuttgart.de/ticker/...e.php?mid=1132 |
ich habe das auch, svchost stürtzt seid heude ab und ich hab gerade mit adaware watch den key gekillt im run. Ad-watch Logfile, exported on 11.08.2003 Total number of events:2 =============================================== 11.08.2003 22:38:34 - Registry modification detected Root:HKEY_CURRENT_USER Key:Software\Microsoft\Windows\CurrentVersion\RunOnce Value:ICQ Lite Data: New Data:C:\Programme\ICQLite\ICQLite.exe -trayboot Attempt to alter the autostart section (Blocked) =============================================== 11.08.2003 22:38:45 - Registry modification detected Root:HKEY_LOCAL_MACHINE Key:Software\Microsoft\Windows\CurrentVersion\Run Value:windows auto update Data: New Data:msblast.exe Attempt to alter the autostart section (Blocked) =============================================== schlumpfi, ich hab halt mehr geschrieben und wahr wahrscheinlich langsamer, ich habe bestimmt eher angefangen zu schreiben ^^ wie krieg ich den weg und den port sicher? [ 11. August 2003, 23:02: Beitrag editiert von: Darkbeat ] |
Guck ein Posting weiter oben ;) |
Ja hallo erstma :D ! Habe diesen Wurm gerdae auf meinem System gefunden ? Wollte mal als dummer computer n00b frage, was das Teil jetzt genau macht (dialer), und woher es kommt ? |
Steht alles schon da. |
panda software bringt nix, wie kriegt man einen port sicher? "Um die Verbreitung dieses Wurmes im eigenen Netz einzudämmen, kann UDP-Port 69 (TFTP) gefiltert werden, selbst wenn eine generelle Sperre für 135/TCP nicht möglich ist." wie mach ich das? [ 11. August 2003, 23:05: Beitrag editiert von: Darkbeat ] |
Ein Tipp für alle, der eigentlich zeitlos ist: Haltet Euer System aktuell! http://windowsupdate.microsoft.com |
er rebootet ca. 50 sekunden nach internetverbindung, wie soll ich da updaten können? |
</font><blockquote>Zitat:</font><hr />Original erstellt von Darkbeat: schlumpfi, ich hab halt mehr geschrieben und wahr wahrscheinlich langsamer, ich habe bestimmt eher angefangen zu schreiben ^^ </font>[/QUOTE]Hier finden keine Sprintbewerbe statt, es werden keine Auszeichnungen für "Fastwriter" vergeben etc.. Einzig und allein die Hilfestellung hat hier Priorität. OK? ;) |
thx für alle hilfe, hoffe mal der is jetzzt wirklich ruhig, nur möcht ich trotzdem wissen warum mein product key invalid is und ich ned updaten kann. Gibts andere wege die updaten zu installieren? runterladen tut er sie ja, nur beim konfigurieren meckert windows [ 11. August 2003, 23:45: Beitrag editiert von: Darkbeat ] |
Hallo Darkbeat, nach dem Systemstart mit dem Taskmanager den Prozess der Datei beenden. Dann die Datei umbennen. Und ruhe ist. Dann kannst Du ganz gemütlich einen nach dem nächsten alles abarbeiten. Ausserdem meinte MMK den Hinweis mit dem Windows Update glaub ich eher allgemein. Nicht unbedingt auf deine Situation bezogen. yours Eltharion |
|
Was ich bisher rausgefunden habe: - msblast.exe ist im Ordner Windows\System32 zu finden - msblast.exe trägt sich selbst in die Registry ein bei jedem Start (SOFTWARE/Microsoft/Windows/CurrentVersion/Run) - Entfernen aus Autostart/Beenden der Datei bringt rein gar nichts, da die Datei von irgendwo her immer wieder neu gestartet wird. - Die Datei beendet den Windows-eigenen Dienst "Remoteprozeduraufruf (RPC)" und die Datei svchost.exe und bringt somit das System zum Neustarten. - Löschen/Umbenennen der Datei bringt nichts - die Datei ist offensichtlich nicht alleine Schuld an dem ganzen. - Ist die msblast.exe nicht mehr verfügbar, geht der Spuk weiter, unter dem Namen TrivialFileTransmissionSoftware, jedoch ist diese Datei nirgens zu finden. - Sowohl die msblast.exe als auch die "TrivialFileTransmissionSoftware" versuchen kurz nach ihren "Aktionen" auf das Internet zuzugreifen. - In der Datei "msblast.exe" sind mehrere "Grüsse" vom Virenentwickler, zB: "I want you to say LOVE YOU SAN!!". Vielen Dank auch "San" :mad: |
das gute stück verbreitet sich wie hulle, sehr heftig... |
</font><blockquote>Zitat:</font><hr />Original erstellt von verena: das gute stück verbreitet sich wie hulle, sehr heftig... </font>[/QUOTE]Jepp... die Foren quellen über davon.... und das nur innerhalb weniger Stunden. Morgen geht's erst richtig los, wenn in der Früh viele online gehen. |
hab ja nie gesagt das ich nelösung kenne. aber der scheiss wird erst morgen wirklich beginnen. Gerade eben ist noch eine eMail zum Thema eingetruddelt: zitat: -------------------------------------------------------------------------------- Von: "Nick FitzGerald" <nick@VIRUS-L.DEMON.CO.UK> An: <NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM> Betreff: Re: reports of DCOM worm on the loose...#3 Datum: Dienstag, 12. August 2003 01:25 Russ asked: > The registry key which is modified in order to make the worm propagate is; > > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ > Value=Run > > Where the value is "windows auto update" = msblast.exe I just want to > say LOVE YOU SAN!! bill > > If anyone can explain why this would actually run the MSBLAST.EXE > please explain. It doesn't right away. That is done in the exploit payload. This just makes sure that the code is run on successive restarts. CodeRed and Slammer were "pure" network worms and thus depended upon ongoing availability of non-patched machines and network saturation with their code to provide ongoing "re-infection" as infected machines were restarted. This beast is much more your traditional Win32 file- based malware which just happens to have a network spreading function. As such, there is a "permanent" copy of the code on the victim machine, so it sets itself to restart from that as the system comes up from restart. BTW, the EXE has code that should create the mutex "BILLY", presumably as a self-infection marker. However, I cannot see the expected matching code to check for this mutex's existence, so multiple infection seems possible. Also, the reports of code to DoS windowsupdate.com on 15 August may be misleading -- from a very quick look at the code, it seems the logic is "if it is after the 15th of the month then DoS" and if that condition fails the test "is it August or earlier then skip the DoS" is made. Thus, the DoS will start Saturday as that's the first date after the 15th since the worm's release and will continue until 1 Jan, when it will stop until 15 January, continue until 1 Feb, et seq. -- Nick FitzGerald Computer Virus Consulting Ltd. Ph/FAX: +64 3 3529854 soviel zum thema have a nice day guss peter |
So FProt soll den nun auch erkennen. Und AVPE erkennt ihn auch... cool [img]smile.gif[/img] Björn |
[ 12. August 2003, 01:41: Beitrag editiert von: Who Cares ] |
Harmlos - er fährt immer runter, weil dieser Wurm eine Einstellung im RPC-Dienst ausnutzt: Wenn der Dienst gestopt wird, fährt der Rechner automatisch runter. Dienste -> RPC -> Wiederherstellen -> Alles auf "Nichts tun" ändern. Noch lebt mein Rechner, bisher schon eine Minunte zu lang [img]graemlins/lach.gif[/img] Trotzdem, ganz los ist man das Vieh damit noch nicht, aber arbeiten kann man erstmal wieder [img]smile.gif[/img] |
Hi Leuts....bin ein weiterer Betroffener dieses verdammten Trojaners !! Habe jetzt so ziemlich alles probiert um das Ding los zuwerden !Ich kann wenigstens wieder arbeiten...hab mir Zone Alarm druff gemacht der blockt zuiverlässig !Aber ich will dieses DIng unbedingt loswerden !! Bitte helft mir bzw.UNS! |
Hi, -lies die o.g. Links -Update dein Virenprogramm (hast du eins?? Wenn ja, welches ? wenn nein, warum nicht?) bzw. installiere und aktualisiere Kaspersky ( www.datsec.de ) - Nach Säuberung des PCs: System sicher konfigurieren, speziell erstmal www.windowsupdate.com ;) |
Ich benutze Norten Antivirus...doch das Ding findet der nicht.Hab den Scanner über mein komplettes System jagen lassen ,jedoch ohne erfolg.Was nun? |
symantec hat ein removal tool gebastelt: http://www.sarc.com/avcenter/venc/da...oval.tool.html das führt aber nicht drumherum, hinterher upzudaten und die ports dicht zu machen ;) |
Man ihr seit echt spitze. Bei mir und meinem kumpel tritt das prob auch seit gestern auf. Wir waren schon echt in panik und kurz davor die rechner platt zu machen. Aber kutti sich auf euch verlassen (da schon mal geholfen) und gesagt erstmal alten rechner online schicken und bei trojaner forum gucken. Supi, macht weiter so!!!! [img]graemlins/bussi.gif[/img] |
Hallo Leute! ich habe aber noch eine Frage: Also, bei mir war der wurm auch. dann habe ich ihn für kurze zeit deaktiviert! dann habe ich den patch von microsoft installiert, der hat aber glaube ich nichts geholfen. dann habe ich mit einem virenscanner (Link in diesem Threard) per internet die msblast.exe entfernen lassen! jetzt geht auch alles wieder, aber jedesmal wenn ich msconfig öffne, steht da noch msblast.exe da!! was soll das?ß ich habe auch schon das remove-tool verwendet! was nun?? BITTE HELFT MIR!! |
Hm, McAfee hat (als einziger Scanner?) den Wurm ohne Sig-Update erkannt...: </font><blockquote>Zitat:</font><hr />Scan engine v4.2.60 for Win32. Virus data file v4283 created Aug 06 2003 Scanning for 77927 viruses, trojans and variants. [...] F:\MALWARE\MSBLAST\DESKTOP\msblast.exe\msblast.exe ... Found virus or variant Exploit-DcomRpc !!! Please send a copy of the file to Network Associates </font>[/QUOTE]Es gibt aber inzwischen ein weiteres Update mit korrekter Erkennung + Entfernung. [img]smile.gif[/img] |
nein, ich glaube das der scheiß noch irgendwo ist, oder so! sonst würde da ja gar nichts mehr dastehen! BITTE HELFT MIR!!!!!!! |
@ wirenscanner1588 Hast einen msblast Task im Taskmanager ? Diesen Prozess mal beenden und nochmal das RemovalTool laufen lassen oder die Datei per Hand löschen. Domino |
irc: server quakenet join windows und smt-x nach dem update fragen. vorher aber msbast aus dem autostart kicken und windows/system32 msbast.exe in aaawmsbast.exe umbenennen, dass macht den unschädlich. Dann das update machen und den key + aaamsbast.exe löschen |
Und wenn es _nur_ der Registry-Eintrag (-> msconfig) ist, kannst du diesen einfach von Hand löschen (vielleicht ist das Removal-Tool noch nicht ganz ausgereift...) [img]smile.gif[/img] |
wie mache ich das von hand?? ich will nicht,das ich was falsch mache! das remove-tool habe ich schon drüberlaufen lassen! die datei selber ist ja schon gelöscht, patch installiert usw. ich glaube da ist noch irgendwo was versteckt. ich lasse noch mal meinen mcaffee virenscanner durchlaufen!! HILFE!!!!!!!!!!1 |
wirenscanner1588 Ruhe bewahren.... ;) Hast du einen Task "msblast.exe" im Taskmanager ? Domino |
nein, im task nicht! aber wenn ich msconfig öffne, steht da noch da msblast.exe Software/Microsoft/Windows/Current Version/Run was bedeutet das?? aber bei mir im task läuft keine solche datei und der pc fährt auch nicht mehr einfach herunter! es ist quasi alles in ordnung! aber mich regen diese scheiß restdateien oder was das ist auf! wie bringe ich die weg?? msblast selber habe ich ja schon entfernen lassen! |
HHHHHHIIIIIIIIIILLLLLLFFFFFFFFFFFEEEE!!!!!!!!! [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img] |
Nabend Ich war auch einer der Betroffenden. Bin wie folgt vorgegangen. 1. Firewall dazwischen schalten und der MSblast.exe einen Riegel davor schieben. 2. Windows Updates nochmal aktualisiert 3. Msblast in der MSConfig deaktiviert 4. Msblast.exe aus dem System32 Ordner gelöscht Scheint weg zu sein die Datei mal schauen was die Zeit bringt. Allerdings scheint das Programm/Virus/Wurm/was auch immer, Systematisch IP's abzuklappern. Und wird sich wohl auf diesen Wege verbreiten. Was mich etwas verdutzt das er ohne Probleme an der Firewall vorbei gekommen ist. Schlimm das es Leute gibt die anscheind nichts besseres zu tun haben als son mist herzustellen. Gruss Wayfarer |
Welches Betriebssystem verwendest du ? Ich schätze da ist nur noch der Registryeintrag und den bekommen wir weg....locker bleiben, dein System ist ja nicht mehr infiziert. Schau mal hier : http://www.trendmicro.com/vinfo/viru...WORM_MSBLAST.A Wenn du das nicht verstehst (englisch) melde dich. Domino |
</font><blockquote>Zitat:</font><hr /> - Die Datei beendet den Windows-eigenen Dienst "Remoteprozeduraufruf (RPC)" und die Datei svchost.exe und bringt somit das System zum Neustarten. </font>[/QUOTE]Imho passiert das immer dann, wenn der Exploit des RPC-Dienstes _nicht_ funktioniert hat, d.h. statt des 'erfolgreichen' Ausführens des schädlichen Codes wird der Dienst 'aus Versehen' abgeschossen, was Windoof zum Neustart veranlasst. Hat also wahrscheinlich nix mit der Wurm-Datei selbst zu tun... :rolleyes: |
das englisch kapiere ich nicht, sorry! kannst du mir das erklären?? hauptsache, ich bringe den scheiß restlos weg! DAnke das du mir so hilfst!!! [img]smile.gif[/img] |
Hallo! Edit: Erstmaßnahme: - Patch installieren von dieser Seite (herunterscrollen bis zu Patch availability): http://www.microsoft.com/technet/tre...n/MS03-026.asp Wichtige Hinweise: 1.) Nicht auf eine Personal Firewall verlassen. 2.) Stattdessen Patches einspielen (Windowsupdate, siehe oben). 3.) Zudem Dienste beenden: http://kssysteme.de Punkt 3 ist auch zu empfehlen für jene, denen jetzt keine Zeit mehr für ein Update bleibt, weil der PC zu oft abstürzt. Die Konfiguration wäre dann bei getrennter Internetverbindung durchzuführen! Für XP der Direktlink: http://kssysteme.de/s_content.php?id...01-31-3823#xp2 Für Win 2K: http://kssysteme.de/s_content.php?id...2-3414#w2kmsds Dann rebooten, und ein Windowsupdate einspielen. Viel Erfolg bei der Entfernung und Verbannung. Edit: Letzliche Entfernung vom PC mit Stinger: http://vil.nai.com/vil/stinger/ Das entbindet aber nicht von Einspielen der Patches und dem Beenden von Diensten! [ 12. August 2003, 07:48: Beitrag editiert von: mmk ] |
Du musst den Eintrag in der Registrierdatenbank löschen. Um das zu tun solltest du allerdings erstmal das Adrenalin in deinem Blut runterfahren, weil hier darfst du keinen Fehler machen ;) Alles cool ? Start --> Ausführen --> regedit eintippen Nun hangelst du dich zu folgendem Eintrag (wie im Windows Explorer HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run Dort findest du den Eintrag ”windows auto update" = MSBLAST.EXE Diesen Schlüssel löscht du, schließt das Programm und startest neu. Wenn jetzt noch was da ist haben wir es mit der Systemwiederherstellung zu tun, dann gehts gleich weiter, welches Betriebssystem verwendest du ? Domino |
Kam grad auch eine kurze Meldung bei Punkt12 drüber... Scheint sich echt extrem schnell zu verbreiten das teil.. |
ich habe windows xp |
</font><blockquote>Zitat:</font><hr /> Was mich etwas verdutzt das er ohne Probleme an der Firewall vorbei gekommen ist. </font>[/QUOTE]Was für eine Firewall? War sie richtig konfiguriert, sprich, hat sie Port 135 normalerweise geblockt (Online-Portscan gemacht?)? Eigentlich sollte das Blockieren des Ports 135 den Exploit verhindern können... :rolleyes: |
@ Crispy Laut Kaspersky innerhalb von Stunden auf Platz drei..... Domino |
wenn mein virenscanner durchgelaufen ist, mache ich das mit der registry! aber nur die "ruhe" bewahren! |
hier ist die auflösung!! glaube ich zumindest.. ;) http://www.diabolo666-board.com/show...263#post118263 gruss peter |
Was für eine Auflösung? Das das ein Virus/Wurm ist steht doch schon auf Seite zwei??? :confused: Björn :confused: |
Welchen Virenscanner benutzt du denn ? Domino |
Der Eintrag für msblast.exe in Software/Microsoft/Windows/Current Version/Run bedeutet, daß die Datei msblast.exe bei jedem Windows-Start gestartet werden soll. Da diese aber nicht mehr existiert, sollte also nur eine kleine Fehlermeldung bei Neustart kommen, sonst nichts. ALso keine Panik bei Dir ist wohl soweit alles wieder im Lot... Ganz allgemein: vielleicht könnte es helfen, wenn man statt der echten msblast.exe eine Dummy-Datei mit Attribut "Read-Only" anlegen würde. Vielleicht könnte man dann in Ruhe per Internet sein System updaten, ohne daß der Wurm sich installieren kann?? Hendrik *traurig* :( ich krieg mal wieder nix neues :( [img]graemlins/nixda.gif[/img] |
mcaffee |
ich finde den ordner "run" in der registry nicht!! HILFEE!!! |
jetzt habe ich ihn gefunden! |
Also laut forge77 soll MCAffee mit den neuesten Update diesen Wurm nicht nur erkennen, sondern auch korrekt entfernen... Schätzungsweise hast du zu spät upgedatet...ist aber auch egal, hat ja auch so funktioniert. Haste jetzt alles weg ? Domino |
ne! ist nicht weg!! ich habe zwar in der registry 2 einträge mit dem namen msblast gefunden, aber wenn ich mxconfig aufmache, steht immer noch msblaster da! was soll ich jetzt tun?? mein virenscanner hat nichts gefudnen! |
Jetzt weiß ich weder wo du die Einträge gefunden hast, noch ob du sie gelöscht hast...... --> Einloggen als Administrator --> Rechtsklick auf Arbeitsplatz (Icon auf dem Desktop) --> klicken auf "Eigenschaften" --> Systemwiederherstellung --> selbige deaktivieren --> Das Ganze in der Registry wiederholen --> Wenn du magst, die Systemwiederherstellung wieder aktivieren. Wo ist denn der zweite Schlüssel ? :confused: Domino |
@wirenscanner1588 Hast du die beiden Registry-Einträge denn überhaupt gelöscht (bzw. es versucht)? Hier ist zur Not noch ein Removal-Tool: ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip Doku: ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.txt |
http://www.planet3dnow.de/cgi-bin/ne...&id=1060666946 hier hab ich auf meiner lieblingsseite ne lösung gefunden... |
Man verzeihe mir die Wiederholung des Links, aber ich denke, dies ist eine recht einfach und für jeden durchzuführende Prozedur (Erstmaßnahme und Zweitmaßnahme): http://www.helpers.de/forum/message....=170240&act=on |
Wer sich nicht sicher ist, ob sein Port 135 erreichbar und damit potentiell "angreifbar" ist, sollte mal kurz diesem Link folgen: https://grc.com/x/portprobe=135 Ist er "open", sollte schnellst möglich der mehrfach verlinkte Patch installiert werden (falls noch nicht passiert), und/oder der Port irgendwie geschlossen/geblockt werden. Ist der Port "closed" oder "stealth" droht erstmal unmittelbar keine Gefahr. [img]smile.gif[/img] Dennoch sollte auch in diesem Fall der Patch vorsichtshalber installiert werden. |
wirenscanner1588, also erstmal solltest du dich echt beruhigen. Es befindet sich kein Wurm mehr auf deinem Computer. Lediglich die Starteinträge sind anscheinend noch vorhanden. Was bringen aber Starteinträge für den Wurm, wenn der Wurm selbst gar nicht mehr existiert? Genau, nämlich nichts, also "cool down" ;) . Beschreib doch bitte, wo genau du noch was von 'msblast' liest. Mit "da in msconfig" kann man nämlich net soooviel anfangen [img]graemlins/crazy.gif[/img] ... Bye, Tibor. |
Sry wenn ich nich alles lese (und darum evtl. doppelt poste), aber hier ist auch noch ein Removal-Tool, das anscheinend ganz gut funktioniert: http://download.nai.com/products/mca...rt/stinger.exe |
Ja, es funktioniert hervorragend. [img]smile.gif[/img] Etliche User haben ihn damit letztlich entfernen können. Es gibt auch noch eines von Bitdefender: http://www.bitdefender.com/bd/site/v...id=1&v_id=148# [ 12. August 2003, 16:54: Beitrag editiert von: mmk ] |
also fassen wir mal zusammen für mich. msblast.exe ist ein dialer? so wie wir ihn schon kennen? dieser bringt den pc nach 50sec zum rebooten. ist aber eine einfache datei die sich über den taskmanager ausschalten lässt? |
msblast.exe ist ein Wurm, kein Dialer. Dieser Wurm soll ab dem 15.8 bis zum 31. Dezember die Windows Update Seite von M$ lahm legen. Ausserdem öffnet der Wurm einige Ports auf dem infitzierten PC und wartet auf diesen Ports auf weitere Anweisungen. Und dann startet der PC alle 60 sek neu. Björn |
</font><blockquote>Zitat:</font><hr />Original erstellt von Sebi: also fassen wir mal zusammen für mich.</font>[/QUOTE]Hier eine Zusammenfassung: http://www.helpers.de/forum/message....=170240&act=on |
Zum ShutDown/Download-Problem: (F-Secure) The worm might try to exploit Windows XP machines with Windows 2000 exploit. In many cases the worm causes XP machines to start rebooting periodically with this error message: This system is being shut down in 60 seconds by NT Authority/System due to an interrupted Remote Procedure Call (RPC) Note: you might see a similar error message on Windows 2003 too. Also, this might happen on Windows XP and 2003 even if you've applied the right patches. However, the machine won't get infected in these cases - just rebooted. YOU CAN STOP THE SHUTDOWN TIMER. If you're machine keeps rebooting so often you can't even download the patches, use the 'shutdown' command to abort the reboot. When you see the Shutdown dialog, click Start / Run and type 'shutdown -a' and hit Enter. Deutsch (Thx to Fata): Ein weiterer Workaround bei andauernd neu bootenden Systemen (insb. Win XP) wird bei F-Secure angeboten: Wenn das Warnungs-Fenster erscheint, dass das System demnächst heruntergefahren wird, kann man über "Start" -> "Ausführen" -> "shutdown -a" -> Enter den Shutdown Timer beenden. [ 12. August 2003, 18:58: Beitrag editiert von: Who Cares ] |
ähh.nochmal das ganze in deutsch, bitte. Scheiss wurm. Bis jetzt fährt er net mehr runter. habe nen scanner laufen lassen und gelöscht. Dann in der reg gesucht , gefunden und gekillt, 2x. dann den patch drauf und neustart. Aber trotzdem erscheint das blöde ich fahr gleich runter-fenster hin und wieder. Sch..... |
|
</font><blockquote>Zitat:</font><hr /> dann den patch drauf und neustart. Aber trotzdem erscheint das blöde ich fahr gleich runter-fenster hin und wieder. </font>[/QUOTE]Tja, das macht nachdenklich... anscheinend kann der Patch zwar die Weiterverbreitung des Wurms verhindern, nicht aber den 'Abschuss' des RPC-Dienstes... :rolleyes: Also sollte in jedem Fall der Zugriff auf den Dienst verhindert werden (wenn möglich Dienst beenden oder (XP-)Firewall aktivieren.) |
</font><blockquote>Zitat:</font><hr /> habe nen scanner laufen lassen und gelöscht. Dann in der reg gesucht , gefunden und gekillt, 2x. dann den patch drauf und neustart. </font>[/QUOTE]Lade dir doch nochmal eines der RemovalTools und lass es drüberlaufen....vielleicht hilft´s ? Domino |
Habe mir gerade den neuen 2. patch von ms runtergeladen. Also bis jetzt , nach 5 min , noch nix, scheint wieder stabil zu laufen die kiste.Aber hoffentlich habe ich es nicht zu laut gesagt. [img]graemlins/balla.gif[/img] :rolleyes: [img]graemlins/aplaus.gif[/img] |
Welchen neuen Patch meinst du denn ? Domino |
den Windowsxp-kb- 823980 x86-de.exe |
Und welchen Patch hattest du vorher ? Der, den du jetzt hast, ist jedenfalls der Richtige. ;) Genau den brauchst du. Domino |
Vorher hatte ich den : Windowsxp kb 821557. x86 deu.exe |
Gut, das du den auch hast. Auch der ist nicht unwichtig. Generell solltest du Windows Update regelmäßig ausführen. Immerhin gibt es den besagten patch schon seit...hmm ich glaube Anfang Juni. Momentan scheint das Windows Update allerdings schon knapp vor´m Zusammenbruch zu sein. Domino |
Apropos windows update. Ich habe ne orignale xp version. Früher konnte ich immer updaten, aber seit einiger zeit , sprich ein paar wochen , sagt mir die site, das keine updates vorhanden sind, aber anscheined gibt es doch welche. warum sagt die site dann das es keine gibt ? regestriert bin ich bei ms . |
Besorg dir mal das Service Pack 1 (SP1) für xp, falls du es noch nicht hast. SP1 = 120 MB !! Falls du ein Modem hast, kauf dir eine Zeitung wo das als Beigabe dabei ist. Durch die Installation _irgendeines_ Patches (ich weiß die Nummer nicht mehr), wird das Autoupdate ausser Gefecht gesetzt, da brauchst du dann den Patch für den Patch ;) Domino |
sp1 habe ich . Dann suche ich mal den patch für den patch. Modem ? habe ich, dsl-modem [img]graemlins/kloppen.gif[/img] [img]graemlins/daumenhoch.gif[/img] . Aber wie schon gesagt ,habe ich das sp1 für xp schon druff |
Ich liebe Windows98 :D :D [img]tongue.gif[/img] Ist heftig wie sich das Ding wieder mal ausgebreitet hat. Auch witzig das ZA im Falle eines nicht installierten Patches ein Rettungsanker sein kann wenn man auf den richtigen Knopf drückt [img]graemlins/crazy.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Denny: Ich liebe Windows98 :D :D [img]tongue.gif[/img] </font>[/QUOTE]Das denke ich auch schon die ganze Zeit... :D Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
@ seti 35 schau mal hier, http://support.microsoft.com/default...d=kb;de;813489 ich glaube das issa, dann sollte auch das Update wieder laufen, eigentlich müsste auch deine lokale Windowshilfe nicht mehr korrekt funktionieren... ;) Domino edit : http://www.microsoft.com/downloads/d...DisplayLang=de [ 12. August 2003, 19:18: Beitrag editiert von: Domino ] |
nee, war nix, macht er immer noch net. Er geht zwar auf die seite und scant, aber keine updates vorhanden. aber ich bin mir sicher das es noch ein paar gibt die ich bräuchte, aber im einzelnen danach suchen habe ich keine direkte lust. |
Na, Marco alle nötigen Infos gefunden ? :D Komm mal bald wieder nach Hause :cool: Und bitte [img]graemlins/bussi.gif[/img] für Janine nicht vergessen. ;) Domino [img]graemlins/lach.gif[/img] |
Ich hatte (oder habe?) das Problem auch. Allerdings ist mir aufgefallen, dass vor dem Neustart (wenn eigentlich msblast.exe gar nicht mehr da war und das Problem dennoch auftrat) folgende Meldung kam: Generic Host Process for Win32 Services hat ein Problem festgestellt und muß beendet werden. Danach kam die übliche Meldung: Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab. Alle Änderungen, die nicht gespeichert werden, gehen verloren. Das Herunterfahren wurde von NT-AUTORITÄT\SYSTEM ausgelöst. Meldung: Windows muß jetzt neu gestartet werden, da der Dienst Remoteprozeduraufruf (RPC) unerwartet beendet wurde. Dieses Problem hatte ich sowohl auf meinem Laptop als auch auf meinem PC. Im Büro hatten wir den Wurm nicht, deshalb konnte ich mir die Kommentare hier ausdrucken und zu Hause ausprobieren. Da ich jetzt schon ca. 5 Minuten nach der Meldung mit dem "Generic Host Process" noch ohne Neustart online bin, habe ich den Wurm wohl durch eure Hilfe entfernt. Ich hoffe, er bleibt auch weg! Kann jemand was zu der Meldung mit dem "Generic Host Process" mitteilen? (Oder hat das gar nichts mit dem msblast.exe zu tun?) |
</font><blockquote>Zitat:</font><hr /> Original von forge77: Wer sich nicht sicher ist, ob sein Port 135 erreichbar und damit potentiell "angreifbar" ist, sollte mal kurz diesem Link folgen: https://grc.com/x/portprobe=135 </font>[/QUOTE]bei mir ist das "Stealth" Ein Grund mehr, dem von mmk schon geposteten Link http://kssysteme.de zu folgen und möglichst viele Dienste zu beenden [img]smile.gif[/img] Bei Kaspersky ist jetzt auch eine schöne Beschreibung des Wurms: http://www.kaspersky.ch/avpve/worms/win32/lovesan.stm Gruß Hendrik |
Just as a little note: DA gibts einen kleinen Remover von mir der 1. den Wurm entfernt und 2. weitere Infektionen verhindert. |
nur mal so am rande bemerkt. die DoS attacke beginnt am 16.08 und soll bis jahresende gehn. aber schon jetzt kann ICH zumindest den meisten links garnicht mehr folgen. weder m$ update, noch antivir update, noch verscheidene hir gepostete links funzen bei mir. ich weiss nicht wies bei euch ist, aber die DoS oder dDoS atacke machen wir im moment schon. bei mir jedenfals funzt fast kein sicherheits link. cya peter |
Ich denke mal die Server sind überlastet, weil jeder updaten mag und Infos haben will ... |
@ Andreas: Ich habe versucht (zur Vorbeugung) mir das Tool runteruladen, von deinem Link, doch mein AVK springt da an und Meldet folgenden Virus: PWS Hacksoft A; Engine: RAV...wohl Fehlalarm oder? Die Datei lautet RMX56kud und landet unter Einstellungen.....in Temp [ 12. August 2003, 23:10: Beitrag editiert von: I_wanna_know ] |
Schon :o). Ich jag alle releases vorher immer durch 3 virenscanner ;o). |
Hallo peter1966, bei mir hat das Update von AntiVir erst vor wenigen Minuten geklappt. Schau mal hier rein. Ich denke auch, dass ganz einfach die Server überlastet sind, weil viele gleichzeitg updaten wollen. Aber mich mit Windows ME betrifft der lovesan ja gottseidank nicht. Gruß :D :D :D :D |
Komisch...wie kommt es eigentlich zu derartigen Fehlalarmen? Weisen einige Programmteile [img]redface.gif[/img] :cool: Gemeinsamkeiten mit Viren auf oder wie? [ 13. August 2003, 10:14: Beitrag editiert von: I_wanna_know ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von YAW Support: Ich denke mal die Server sind überlastet, weil jeder updaten mag und Infos haben will ... </font>[/QUOTE]Joh, denk ich auch. So wie dieser Blaster heute um sich gegriffen hat im Netz, kein wunder... :( |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board