PDA

View Full Version : [OT] Wenn euer Rechner seit heute komisch abstürzt.. [msblast.exe threads merged]



Feuerkind
11-08-03, 23:57
Ich habe mitbekommen, daß auf diversen Rechnern, massgeblich windows xp als os laufend, sich fehlermeldungen über den rpc dienst häufen. Dies scheint mit einem vor kurzem gefunden Exploit im rpc dienst zu tun zu haben. alles weitere incl patch gibts hier: Link (http://www.heise.de/security/news/meldung/39139)

Ach und, ja, berserker wurde ausgelacht wegen seines stickys und genau um den exploit gehts in diesem Topic *Berserker knuddelt*.

Maal
12-08-03, 00:04
öhm, ist das zufall oder eine Verschwörung ?

Ich hatte dauernt Fehler (Statusbericht an MS verschicken und so), mein PC fuhr zweimal hintereinander runter ...

Daran waren mindestens 2 Dienste schuld. Wieso taucht es jetzt auf ? Und wieso sind soviele betroffen ?

Feuerkind
12-08-03, 00:07
Schau dir den Link an, da sollte genug erklärung zu finden sein, zumal ich sehr gut im suchen aber technisch nicht weit genug bewandert bin, um das ganze richtig zu erklären.

hoppelhasinchen
12-08-03, 00:11
ROFL IHR KIENDA HÄTTEST IHR HALLT LINUX DRAUFF!!!!11

B.I.O.nic
12-08-03, 00:13
Würde NC unter Linux richtig laufen...

splasher
12-08-03, 00:16
würde kk nen linux client releasen :D

hoppelhasinchen
12-08-03, 00:17
Und es nimmt tatsächlich jemand ernst :wtf:

Tomcraft
12-08-03, 00:55
haha der rpc exploit, das der nun so public wird dacht ich auch net... naja ich weis ja wie ich exploiten kann :D

^^


*stummsei*

Sir_Tommy
12-08-03, 01:19
Loooooool:lol:

Meine mutter hat sich wohl nen Wurm gefangen:D

Und ich hab mich shcon gewundert warum der PC andauernt abstürzt:wtf:

Na werde ihn morgen mal updaten :) :cool:

Echt mal im nachhinein ein Großes Danke an Berserker:D

dArkjON
12-08-03, 01:22
Einfach die exe löschen und in der Registry im Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Den wert: windows system update REG_SZ "msblast.exe"

löschen und schon seid ihr den Wurm wieder los...

vokuhila
12-08-03, 01:52
HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/OLE/DCOM auf "N" setzen und port 135 ist Dicht, Problem gelöst ;)

Tomcraft
12-08-03, 01:56
Originally posted by vokuhila
HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/OLE/DCOM auf "N" setzen und port 135 ist Dicht, Problem gelöst ;)

Da hast du allerdings laut m$ diverse probleme mit dein sys.
Zu den Standard bugs kommen noch mehr zu.
Einfach Port sperren is net soooo eine plausible idee

vokuhila
12-08-03, 02:05
laut ms hast du so einiges, in der praxis hast du gar nichts, lediglich nen stabileres system ;)

Ronin-X
12-08-03, 02:07
Originally posted by vokuhila
HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/OLE/DCOM auf "N" setzen und port 135 ist Dicht, Problem gelöst ;)

gib mir ne Minute und ich schreib dir nen "Prog" das auch gleich den Port wieder öffnet. sry Voku aber dat bringts net....

Invhunter
12-08-03, 02:08
Originally posted by vokuhila
laut ms hast du so einiges, in der praxis hast du gar nichts, lediglich nen stabileres system ;)

Als standalone brauchste DCOM auch nicht, aber beschäftige Dich mal mit verteilen Anwendungen und Du wirst sehen, was Dir DCOM bietet.

vokuhila
12-08-03, 02:14
ich schreib dir gleich nen prog dass beim start einfach direkt wieder den pc runterfährt :P
sorry ronin, bevor ich dieses "prog" nicht ausführe hilft das sehr wohl :)
und tut mir ja leid, es ist die einzige mögliche lösung für win98 user, die werden von microsoft nämlich nicht mehr mit patches versorgt..

EnZyme X
12-08-03, 02:19
*aufreg*
Mich hats auch erwischt...

Ich hab folgende probs:
1. Kann keine Links mehr öffnen
2. Kann Texte nach dem "Kopieren" nirgendwo mehr "Einfügen"
3. Meine Windows Suchfunktion geht auch nicht mehr....

Kann einer bitte mal den direkten link zum Patch Download posten für Windows XP ?
Wäre wirklich sehr dankbar dafür weil bei mir geht fast garnix mehr...

vokuhila
12-08-03, 02:29
war das selbe bei mir Scream!
1. kill die MSBLAST.exe (taskmanager und beenden)
2. entferne die autorun einträge (HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN/irgendwas mit autoupdate und MSBLAST.EXE
3. lad dir den patch von microsoft runter falls du win2k oder xp hast: http://www.microsoft.com/security/security_bulletins/ms03-026.asp.
http://www.microsoft.com/security/security_bulletins/ms03-026.asp.
3.2: falls du windows 98 hast geh in die registry und setz unter HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/OLE/ den Schlüssel "DCOM" auf "N"

das wars
viel erfolg :)
achja: falls du den link nicht anklicken oder kopieren kannst, geh auf "www.trendmicro.de" und klick oben auf MSBLAST Worm. Da gibts nen Direktlink, ohne neues Fenster!

EnZyme X
12-08-03, 02:39
Geil, danke Voku werd ich gleich ausprobieren, achja, noch ein problem das auftritt ist das ich die Internetverbindung nicht trennen kann.... aber da weiß ich mich jetzt erstmal selbst zu helfen *stecker zieh* :D
Wenns klappt Voku, dann komm ich mal nen Sprung auf Jupi Vorbei und lass für jeden ne Runde Gratis Synethic Wine springen. :)

/Edit
Cool ich kann wieder Links öffnen und der rest geht auch wieder, aber wie bekomme ich jetzt raus ob ich WinXP 32 Bit oder 64 Bit Edition habe ? :(
Da gibts nämlich n Patch für 32 und für 64 ... ^^

M0rdrag
12-08-03, 05:09
GUCKT IHR HIER

||
||
||
||
||
\ /

Greetz;)

Susan Ivanova
12-08-03, 05:31
Aug 12 05:05:03.248017 rule 41/0(match): in on tun0: 80.142.160.76.4324 > 80.143.59.220.135: S 2030670354:2030670354(0) win 32767 <mss 1440,nop,wscale 0,nop,nop,sackOK> (DF)

Hätte ich nicht in meine Firewall-logs geschaut, hätte ich gar nichts davon mitbekommen. :D

Aber es sind schon andere Dinge unbemerkt an mir vorbeigegangen.

Code Red

p508f3804.dip.t-dialin.net - - [11/Aug/2003:19:33:19 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 283


Nimda

p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:36:13 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 270
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:36:16 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 268
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:36:22 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:36:27 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 278
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:36:35 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 292
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:36:40 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:36:45 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:36:50 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:36:55 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:37:00 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:37:06 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:37:12 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 291
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:37:17 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275
p508b50c7.dip.t-dialin.net - - [04/Aug/2003:15:37:22 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 275


*den OpenBSD Router streichel*

maggotcorpse
12-08-03, 09:03
Originally posted by Scream

Cool ich kann wieder Links öffnen und der rest geht auch wieder, aber wie bekomme ich jetzt raus ob ich WinXP 32 Bit oder 64 Bit Edition habe ? :(
Da gibts nämlich n Patch für 32 und für 64 ... ^^

Im ersten Thread hat irgendjemand gesagt das du nur die 32 Bit Version haben kannst, frag mich nich warum aber es is so ^^. Hab die 32 Bit Version runtergeladen und jetzt funzt mein Rechner wieder ohne sich nach fünf Minuten im Netz wieder runterzufahren ...

Thx für die Infos haben mir sehr geholfen :D

TheRipper
12-08-03, 09:12
Und es nimmt tatsächlich jemand ernst

naja ist doch eine glaubensdiskussion: Win>Linux (:D )

das problem wird auch bei ner original XP version mit den normalen regelmässigen updates von xp behoben, oder?

die tricks hier sind nur für die die nicht upgedated oder ne gecrackte (:lol: )version haben oder?

Dark Wolf
12-08-03, 09:18
Du kannst nur 32 Bit haben weil die 64 Bit Win XP version erst noch für Athlon 64 und opteron kommt ;)

Maxwell Smart
12-08-03, 09:26
Also mich hat es auch zerlegt. Durch das Erichten der MS Firewall hatte ich aber das Problem unter Kontrolle bekommen. Vielleicht hilfts...

EnZyme X
12-08-03, 13:23
*jubel*
Mein Rechner geht wieder :D
Danke für die vielen Infos... :)

TheRipper
12-08-03, 13:36
ich denke meiner geht auch, aber da ich in der firma vor nem 233Mhz rechner sitze kann ich das schlecht beurteilen...

Tkon
12-08-03, 13:48
Ich weiss nicht wo euer Problem ist...

Der letzte Virus den ich mir eingefangen habe war ein Parity Boot B Virus, keine weiteren Trojaner oder ähnliches, und da waren 486 gerade der Renner...

Patches von MS spiel ich auch nicht mehr ein --> 'never touch a running system'

Komisch nur das alle anderen soviele Viren und Trojaner usw. haben.
OS vielleicht nicht richtig konfiguriert?
Zuviele Raubkopien?
Wild auf alles 'Losklicker'?

Naja wie dem auch sei, Trojaner sind ein Problem des Benutzers und keine Sicherheitslücke im OS, sondern vor der Maschiene...

RPC Exploit.
Na und hab ne dynamische IP, und nen guten Router. *g*

vokuhila
12-08-03, 13:49
der router ist alles, was dich schützt. die dynamische ip ist scheissegal, da die rpcs quasi wahllos an nahezu alle möglichen ips gesendet werden. hat mit konfiguration vom os wenig zu tun, genauso wenig wie mit raubkopien oder links.

Tkon
12-08-03, 13:52
Originally posted by vokuhila
der router ist alles, was dich schützt. die dynamische ip ist scheissegal, da die rpcs quasi wahllos an nahezu alle möglichen ips gesendet werden. hat mit konfiguration vom os wenig zu tun, genauso wenig wie mit raubkopien oder links.
Dann hab ich in Bezug auf den RPC Exploit eben nen gut konfigurierten Router.
Naja wie dem auch sei, ich bin der Meinung wer sich was einfängt hat selber schuld, was Trojaner und Viren betrifft.

Exploits ist so ne Sache, bevor man da nen Patch einspielt, sollte man erstmal prüfen, ob man selber auch von dem Problem wirklich betroffen ist oder überhaupt betroffen werden kann.

vokuhila
12-08-03, 13:57
Welches OS hast du? Hast du manuell an den DCOM settings rumgespielt? Falls nicht, dank deinem Router, dein System hat damit wenig zu tun! Falls du win98 oder WinME benutzt, dank Microsoft, bei diesen Systemen gibts kein Dcom / RPC, wodurch diese Systeme ungefährdet sind ;)

Nochmal TKon: Der Trojaner hat sich weder durch sichtbare Dateien, noch Emails, noch angeklickte Links ins System eingespielt, sondern ist durch eine Sicherheitslücke in Win2k und XP eingeschleust worden (ohne wissen des Benutzers, einfache Inetverbindung hat gereicht) Also ist NIEMAND daran schuld, dass er diesen Virus bekommen hat, sondern es wurden einfach Fehler seitens Microsoft gemacht. Du kannst gerne versuchen dich weiter mit deiner Unfehlbarkeit zu brüsten, bis es dich auch erwischt.

dArkjON
12-08-03, 13:57
Ich hab mir die msblast gestern mal angeschaut.
Das Programm sucht sich einfach einen IP Bereich aus,
und sendet dann lustig von deinem Rechner.
...
131.0.15.1:135
131.0.15.2:135
131.0.15.3:135
131.0.15.4:135
131.0.15.5:135
...

hoppelhasinchen
12-08-03, 14:02
Originally posted by TheRipper
Win>Linux (:D )

Wo du recht hast :p

Tkon
12-08-03, 14:11
Originally posted by vokuhila
Nochmal TKon: Der Trojaner hat sich weder durch sichtbare Dateien, noch Emails, noch angeklickte Links ins System eingespielt, sondern ist durch eine Sicherheitslücke in Win2k und XP eingeschleust worden (ohne wissen des Benutzers, einfache Inetverbindung hat gereicht) Also ist NIEMAND daran schuld, dass er diesen Virus bekommen hat, sondern es wurden einfach Fehler seitens Microsoft gemacht. Du kannst gerne versuchen dich weiter mit deiner Unfehlbarkeit zu brüsten, bis es dich auch erwischt.
Naja mal ehrlich der Trojaner kann nur auf Systemen eingeschleust werden, die offen am Internet hängen. Nach meiner Auffassung ist das dann die Schuld des Users.

Naja wie dem auch sei, trotzdem gut das hier welche darauf hinweisen. Heute abend erstmal Logs lesen. :D
Wobei sehr wahrscheinlich nur die Netze der grossen Provider "angegriffen" werden.

TheRipper
12-08-03, 14:12
ja das war absicht, ich hab mich nicht vertippt :D

ich hasse es nämlich wenn man ne "vampire über internet" spielrunde machen will und der andere nicht kann weil er linux hat.


----
also zu meiner "virengeschichte":
ich hatte den netbus virus (hieß der so?) aber ich war auch derjenige der mich selbst zu testzwecken infiziert hat, dann mal den nimda den es aber mit nem guten alleslöschprogramm wieder zu entfernen galt (und den ich selbst auch nicht eingefangen habe, sondern meine schwester auf dem PC der im netz hängt) und ein paar mal grippeviren (ACHTUNG! schlechter witz!)....das wars.

Tkon
12-08-03, 14:14
Originally posted by TheRipper
also zu meiner "virengeschichte":
ich hatte den netbus virus (hieß der so?) aber ich war auch derjenige der mich selbst zu testzwecken infiziert hat, dann mal den nimda den es aber mit nem guten alleslöschprogramm wieder zu entfernen galt (und den ich selbst auch nicht eingefangen habe, sondern meine schwester auf dem PC der im netz hängt) und ein paar mal grippeviren (ACHTUNG! schlechter witz!)....das wars.
Hihi sowas ist gut. :p
Als damals loveletter um die Welt ging, waren ich und mein Kollege ganz scharf auf das Ding. Naja schnell besorgt, angeguckt und festgestellt, das es ganz harmlos ist. :)

TheRipper
12-08-03, 14:17
diese viren sind ALLE harmlos wenn man Netscape Navigator verwendet und ohne Java Script surft :-)

manche seiten funken zwar nicht, aber dafür kann man immer noch IEXPLORE starten.

den loveletter hab ich auch bekommen, der wurde aber von meinem Netscape ignoriert weil der kein VB(irgendwas) script ausführen konnte :p



ach und gelegentlich hab ich nen Spam(m)0rz.trojan Virus, der sich in meinen PC einhackt und dann irgendwelche Forenposts verfasst....ich kann NICHTS dagegen tun.


...seht ihr, er tut es schon wieder!! :eek:

hoppelhasinchen
12-08-03, 14:22
Hm.. bisher hatte ich eigentlich an Viren nur den Parite.B (den ich direkt mal verteilt hab (Grüße an voku, soulcore, Traum :p)), der aber neben der Tatsache das er nichts getan hat auch äusserst einfach zu entfernen war.

Und sonst.. Ja.. Ich will auch mal so nen tollen Virus verdammt :D


Originally posted by TheRipper
ach und gelegentlich hab ich nen Spam(m)0rz.trojan Virus, der sich in meinen PC einhackt und dann irgendwelche Forenposts verfasst....ich kann NICHTS dagegen tun.


...seht ihr, er tut es schon wieder!! :eek:

Verdammt. Wie bekommt man sowas los, ich glaube der hat mich auch befallen :(

MI2k1
12-08-03, 14:24
Originally posted by Tkon
Naja mal ehrlich der Trojaner kann nur auf Systemen eingeschleust werden, die offen am Internet hängen. Nach meiner Auffassung ist das dann die Schuld des Users.

klar ich bin dran schuld. und wenn nc nen fatal hat bin ich auch schuld. schließlich bin ich im internet und ohne internet läuft neocron nicht :D

TheRipper
12-08-03, 14:33
Verdammt. Wie bekommt man sowas los, ich glaube der hat mich auch befallen

Gar nicht...du kannst nur warten bis er sich satt gefressen hat (ich glaub bei einem Postcount von 1 MIO stirbt er dann ab.)


ach und MI2K1 ist schuld daran wenn du den bekommen hast :D :lol:

hoppelhasinchen
12-08-03, 14:41
Originally posted by TheRipper
Gar nicht...du kannst nur warten bis er sich satt gefressen hat (ich glaub bei einem Postcount von 1 MIO stirbt er dann ab.)


ach und MI2K1 ist schuld daran wenn du den bekommen hast :D :lol:

Nooiinn. Jetzt müssen wir um unser Leben posten *post*

Und wenn ich deeen in die Finger bekomme :mad:

Tkon
12-08-03, 14:42
Originally posted by MI2k1
klar ich bin dran schuld. und wenn nc nen fatal hat bin ich auch schuld. schließlich bin ich im internet und ohne internet läuft neocron nicht :D
Naja der Vergleich hinkt bischen. :D
Aber der Anwender ist immer Schuld. :p

TheRipper
12-08-03, 14:45
wer jetzt? MI2K1 oder der Anwender? o_O

vokuhila
12-08-03, 14:47
da ich nun auch 1337 posts hab [ ], und das eigendlich mein abschied ausm NC forum sein sollte [acc ist schon gecanceled], ich aber trotzdem noch was hierzu sagen moechte hier eine bitte:

kannst du das hier in den thread posten?




quote:
--------------------------------------------------------------------------------
Originally posted by -=Smoker=-
@Tkon
ich war der selben meinung wie du... bis gestern mein rechner 2 mal runterfuhr... beim ersten mal dachte ich noch an einen bug, beim 2. mal war ein kompletter systemscan angesagt... [virenscanner hatte nichts gefunden, aber beim manuellen ueberpruefen hab ich dann auch die msblast.exe entdeckt]

selbst eine auf maximale paranoiditaet eingestellte firewall bringt NIX dagegen [und die blockt dann selbst nen ftp-zugriff obwohl der port freigegeben ist... also auf meinen FTP kommt niemand drauf *gg*]


also sei froh wenn du verschont bliebst bis jezt, denn eine firewall und auch ein router wird dich nicht schuetzen



jaja, die 1337 posts greifen um sich :p

hoppelhasinchen
12-08-03, 14:47
Wer ist "der Anwender" ? Noch nie gesehen :wtf:

TheRipper
12-08-03, 14:57
Schauen wir mal im lexikon:

Anwender, der - pl. die Anwender <AHNWÄNDÄR>:

Eine geheimnissvolle Gestalt im hintergrund die ihre fäden im PC System lenkt. Es wird gemunkelt dass der PC nur so dumm ist wie der anwender selbst, was jedoch nicht wissenschaftlich bewiesen ist. Wie ein Anwender aussieht, kann man nicht genau sagen, aber die Theorie dass es so grausam ist, dass wir es auch gar nicht wissen wollen, existiert.
Hätte es den anwender schon vor mehreren Jahren gegeben, wären die Gebrüder Grimm die Erfinder davon geworden.
Die verblödete Version des Anwenders schreibt sich "@ |\| \/\/ 3 |\| |] 0rz"

hoppelhasinchen
12-08-03, 14:59
Achso. Ich dachte das ist sowas wie der Schlüsselmacher.

TheRipper
12-08-03, 15:02
hmmm knifflig knifflig...vielleicht ist das auch eine weltweite verschwörung und der Anweder = der Schlüsselmacher = der Architekt = der Präsident.........

*Alienmusikgeseusel*

Casey Rybeck
12-08-03, 15:42
Klick mich (http://www.heise.de/security)

da steht alles :D

TheRipper
12-08-03, 15:47
was soll mir heise.de helfen? da steht nur zeug dass ich eh schon weiß ( ;) ), so wie das hier:


Alle Schotten dicht (2. überchrift)

und ich weiß sogar warum: weil es in schottland so viele pubs gibt :lol: :D

Susan Ivanova
12-08-03, 15:55
Apropos Schotten dicht. Bei mir hat diese unscheinbare Regel alles abprallen lassen.

block return-icmp(port-unr, port-unr) in log on tun0 proto udp all

Aber die habe ich schon seit Ewigkeiten drin. Zusammen mit

block return-rst in log on tun0 proto tcp all

habe ich für so ziemlich alle Eventualitäten vorgesorgt.

TheRipper
12-08-03, 16:00
ich hab es 2 mal durchgelesen und verstehe es immer noch nicht, also merkt euch: Lesen hilft nicht immer...wissen ist auch grundvorraussetzung für manches :D

Spico
12-08-03, 17:05
.......vielen dank an die jenigen die versuchen zu helfen diesen schei§§ wurm loszuwerden. :)

ich hab den m§blast nun nicht mehr auf meinem Sys ,einfach so runterfahren wären man in der cave spazieren geht tut er auch nicht mehr.

Aber :

links öffnen sich immer noch nicht beim anklicken
einfügen nach kopieren funzt auch noch nicht
das update bei M§ bekomm ich auch nicht bzw wenn ich anklick passiert nix
meine I-Netverbindung kann ich auch nicht beenden---stecker zieh

bisher hab ich folgendes erreicht:

regedit gesäubert
msblast.exe entfernt

könnt ihr mir noch weiter helfen ?

vielen dank

Spico
12-08-03, 18:43
:D sodele nach reichlicher suche bin ich fündig geworden.
mein PC funzt nun wieder.

schaut einfach hier (http://portale.web.de/Internet/) dort findet ihr das M$ update sowie das enfernungsproggi von symantec.

viel spass

maggotcorpse
12-08-03, 21:29
Lad dir mal den Patch runter. Bei Windows XP is das die 32 Bit Version falls jemand ne kleine Entscheidungshilfe brauch *gg

Ansonsten Radikal Kur ... Format C:/ :D

Edit: Hm ... wieso hab ich den letzten Post nich gesehn ... verdammt ... *g

Spico
13-08-03, 02:04
Originally posted by maggotcorpse
Edit: Hm ... wieso hab ich den letzten Post nich gesehn ... verdammt ... *g

hehe geht doch man kann es nie oft genug sagen.
es wird noch einige geben die hilfe brauchen.
ich habe heute unser gesammtes netzwerk bereinigt und habe von diesem wurm echt die schnauze voll.... :o

Diago
13-08-03, 02:46
waren doch witzige 20 minuten *FG* und man hatte beim grilen heute abend ein gesprächs Thema ;)

Throgar
13-08-03, 10:09
da ich meistens ohne firewall zocke passierte es mir das mich ien neuer pöser inet wurm infizierte. (11.08.)

ab gestern weis man was es ist.

also jedem dem sein rechner mit einer seltsamen meldung runtergefahren wurde sollte sich dies mal ansehen.

http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

erkenenn das man infiziert ist kann man auch wenn man folgende datei auf seinem rechner sucht "msblast.exe"

mfg

Xandros Fidian
13-08-03, 10:14
hmm.....jo.....zu spaet....:D .......

aber mal anders gesagt, das kommt seit 2 tagen in den nachrichten, also etwas spaet fuer ne warung wuerde ich sagen, trozdem, der versuch der warnung fuer andere ehrt dich

Hardcore-Evil
13-08-03, 10:17
Originally posted by Throgar
da ich meistens ohne firewall zocke ...
Wozu haste dann überhaupt ne FireWall? :confused: ;)

btw: Freund von meinem Arbeitskollegen hat 'ne FireWall installiert ... wenn er ins I-Net gehen will, macht er sie immer aus, da er sonst keine Verbindung erhält. Sobald er aber wieder offline ist macht er SOFORT die FireWall wieder an ... :lol: No Joke!!!

Dennoch thx 4 Link.

btw: kann diesen Link noch empfehlen ... ganz interessant: Wurm im Web: Der Großangriff auf das Internet hat begonnen (http://www.spiegel.de/netzwelt/technologie/0,1518,260956,00.html)

Diago
13-08-03, 10:20
Originally posted by Hardcore-Evil
Wozu haste dann überhaupt ne FireWall? :confused: ;)

btw: Freund von meinem Arbeitskollegen hat 'ne FireWall installiert ... wenn er ins I-Net gehen will, macht er sie immer aus, da er sonst keine Verbindung erhält. Sobald er aber wieder offline ist macht er SOFORT die FireWall wieder an ... :lol: No Joke!!!

Dennoch thx 4 Link.

btw: kann diesen Link noch empfehlen ... ganz interessant: Wurm im Web: Der Großangriff auf das Internet hat begonnen (http://www.spiegel.de/netzwelt/technologie/0,1518,260956,00.html)


ROFL der ist gut *FG*


*sich gerade anzieht um bei sämtlichen bekannten seines Vaters für gutes Geld Würmer jagen geht*

alpshakal
13-08-03, 10:26
Joa - ich muss Tkon mal recht geben - Virenbefall ist Anwenderproblem - man kann sich schützen und ich hatte in meinem Leben jetzt bloß den Win32 CIH Virus - wobei ich immer noch ned weiß was der eigentlich gemacht haben soll :)
Naja - ich geb zu - den Blaster hatte ich jetzt auch, aber das kommt daher das mein Windows mir generell erstmal scheissegal ist und auf Linux alles wichtige läuft - gesperrt und gesichert :D
Hab erstmal ned kapiert was das soll mit dem System runterfahren weil RPC abkackt - hab ihn einfach gesagt, dass er den Dienst immer wieder neu starten soll - war halt ned sooo die Lösung - aber es ging *g*
Naja - immerhin - laptop war ned betroffen - wohlbehütet hinter linux geschaltet *g*

Alsdann
ach btw: hoppel - Anwender sind Leute die ned wissen ob 32 oder 64 Bit :p
Hab nix gesagt... :angel:

Xandros Fidian
13-08-03, 10:26
*sich gerade anzieht um bei sämtlichen bekannten seines Vaters für gutes Geld Würmer jagen geht*

kommst fuer 30k ingame geld auch mal bei mir vorbei? ich hab mir den kleinen bastard eingefangen.......befor ich windoof updaten konnte, und das verhindert der ja

geb ma einer bitte nen link fuer ne gute freeware-firewall, ich glaube ich brauch ne neue

Throgar
13-08-03, 10:26
is die winxp firewall, und meist stoert die halt beim zocken.

im mom lass ich die firewall laufen, nur hab ich halt beim spielen probleme...

ist ausserdem das erste mal das ich von einem dieser vielen würmer die kursieren infiziert wurde, weil normalerweise mein immer aktueller virenscanner eingreifen.

ausserdem wieso soll ich mich hier rechtfertigen? :lol:

NetCrow
13-08-03, 10:29
Die XP Firewall is schrott, kannst gleich ausmachen - die hilft eh gegen nix :D

Gute Firewall ist ZoneAlarm (http://www.zonealarm.de) und sogar Freeware.

Hardcore-Evil
13-08-03, 10:30
Originally posted by Xandros Fidian
geb ma einer bitte nen link fuer ne gute freeware-firewall, ich glaube ich brauch ne neue

Zone Alarm (http://www.zonealarm.com)

Mit dieser FireWall hatte ich noch nie Probleme bei Online-Games. Soweit ich weiß ist Zone Alarm die beste kostenlose FireWall.

TheRipper
13-08-03, 10:32
Win32 CIH Virus - wobei ich immer noch ned weiß was der eigentlich gemacht haben soll

das ist wenn man "ich" schreiben will, aber "cih" rauskommt....hab ich gelegentlCIH.


bei "nicht" kann das auch passieren, das sieht dann so aus nCIHt.

Throgar
13-08-03, 10:33
bei der pcgames hardware 09/03 ist ne kostenlose firewall bei

personal firewall pro 4.2 (vorher ca 30€)
die werd ich mir nachher installieren.

Xandros Fidian
13-08-03, 10:34
danke fuer den link...an beide, ich werde die mal installieren wenn ich vom arbeiten zurueck bin

*hofft das der bruder den "kleinen bastard" bis dahin vom rechner geschmissen hat*

TheRipper
13-08-03, 10:38
Da gabs mal so ne firewall die hatte "Lock" irgendwo im namen (glaube ich)...ich kann mich total nicht an den namen erinnern, aber ich bin einfach mal so zum spaß mit nem tronajer bei nem freund eingestiegen und hab sie geschlossen :D

kein problem gewesen, der hat es nichtmal gemerkt


atguard dürfte gut sein, hab ich mal installiert und dann nie wieder gestartet....8|

Zero0
13-08-03, 10:38
das prob war, kein firewall konnte den virus aufhalten.

Ps: korrigiert den fehler bis samstag und saugt euch den patch. gemäss radio wird ebenfalls vom virus verursacht das euer pc ständig anfragen auf die microsoft homepage sendet, was eine überlastung verursacht und die HP zusammenbricht.

TheRipper
13-08-03, 10:40
Hört sich nach einer Verschwörung der Linux macher an...
MS zerstören!

Hardcore-Evil
13-08-03, 10:40
Originally posted by Throgar
personal firewall pro 4.2 (vorher ca 30€)
die werd ich mir nachher installieren.

Von welcher Firma?

Evtl. ist für euch dieser Link auch interessant: FireWalls - Vergleich (http://www.freenet.de/freenet/computer/internet/antivirus/firewall_test/vergleich_gr.gif)

Casey Rybeck
13-08-03, 10:43
das ganze heisst DDOS attacke und wird ab 16. von allen infizierten systemen gegen www.windowsupdate.com ausgeführt.

Klick mich für infos von heise.de (http://www.heise.de/security)

Throgar
13-08-03, 10:47
von sygate is die firewall "Personal Firewall Pro 4.2"

Hardcore-Evil
13-08-03, 10:52
Originally posted by Throgar
von sygate is die firewall "Personal Firewall Pro 4.2"

Ajo, also 'ne wirklich gute FireWall, laut Test :)

btw: hab soeben ne eMail von 'nem Freund erhalten ... auch er hat (seit Montag) diesen Wurm ... Wo man auch hinhört: jeder hat den Wurm. Alle außer ich ... verdammt, will auch mal die Meldung kriegen, von wegen "in xx Sekunden wird der PC runtergefahren" ... :lol: ne ne, lieber net ;)

Irgendwie hab ich das Gefühl, dass sich kaum jemand um die Sicherheit seines PCs kümmert ... o_O :(

TheRipper
13-08-03, 10:53
Irgendwie hab ich das Gefühl, dass sich kaum jemand um die Sicherheit seines PCs kümmert ...

Hab nen Virenscanner, hab die neusten Updates und die Firewall vom Provider (jaja ich weiß, ist nicht wirklich gut)

aber da der virenscanner immer auf dem neusten stand ist, findet der zumindest die Viren, wenn sie am Weg zu mir sind.

Throgar
13-08-03, 10:59
mich befall der wurm am 11.8. und da hatte ich auch nen neusten update meiner virensoftware. allerdings hab ich erst am tag drauf lesen koennen was schuld war. alelrdings war ich gestern nicht am rechner :p

naja und ich bin halt so nett und mache darauf aufmerksam und gebe dazu gleich nen link zum entfernen tool des wurms :angel:

aber richtig sicher ist mann nie!

Xandros Fidian
13-08-03, 11:02
btw: hab soeben ne eMail von 'nem Freund erhalten ... auch er hat (seit Montag) diesen Wurm ... Wo man auch hinhört: jeder hat den Wurm. Alle außer ich ... verdammt, will auch mal die Meldung kriegen, von wegen "in xx Sekunden wird der PC runtergefahren" ... ne ne, lieber net


mein pc is nicht runtergefahren o_O ,der wollte nur windoof net updaten, und bei mienem bruder is die svchost.exe abgeschmiert, laut symantec beides anzeichen fuer den wurm, oder habe ich nur halozinationen und den virus gar net draf :confused:

TheRipper
13-08-03, 11:06
langsam verunsichert ihr mich, da ich auch noch keine anzeichen hatte...:eek:

Zero0
13-08-03, 11:09
warte noch 2-3 tage dann hast ihn auch :p hatte ihn vorletzte nacht erhalten. echt unangenehm sowas.

Throgar
13-08-03, 11:11
http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

http://securityresponse.symantec.com/avcenter/FixBlast.exe

saugt euch einfach das entfern tool. lest euch alles genau durch, auch wer keine anzeichen hat kanns ja vorsihtshalber proberen um ganz sicher zu gehen.

Xandros Fidian
13-08-03, 11:12
hmmmm......ich habe in 5h 20 min feierabend.....ich sollte mal meien bruder anrufen was nu sache is


was sind den nu die genaen auswirkungen und anzeichen fuer den virus, vielciht gibts ja auhc ne "light" version die nich runterfahert

oder ich fantasiere mal wieder zuviel.....

Zero0
13-08-03, 11:13
gibt nur ein anzeigen, dein pc wird runtergefahren.

Throgar
13-08-03, 11:14
@xandros

die abstuerze passieren soweit ich das gelesen habe durch den schlampig geschrieben wurm ^^
er kann abstuerzen muss aber nicht.

wie gesagt einfach mal den link den ich gepostet hab durchlesen ;)

!!! ausserdem sollen neue gleichartige würmer schon im unlauf sein laut www.heise.de !!!
also am besten erstmal den einen wurm runter falls drauf, windows update ziehen und ne firewall installieren die auch was nuetzt ^^

Xandros Fidian
13-08-03, 11:15
aha......ok..........das is mir noch net passiert, trozdem.....ich geh mal lieber auf nummer sicher

*telefon auspack*

Hecktor
13-08-03, 11:23
" Die Zahl wird aber eher gegen das untere Ende der Skala tendieren, da der Wurm im Vergleich zu bisherigen Schädlingen wie Code Red oder SQL-Slammer eine wesentlich langsamere Verbreitungsgeschwindigkeit hat und schlampig programmiert wurde. "

*g was ne schlechte Kritik, der arme Kerl ^^

thomas
13-08-03, 11:29
Da kommt man frisch aus dem Urlaub wieder, checkt seine mails und schaut (wie gewohnt) ins NC Forum. Das Erste was man findet sind Wurmwarnungen O_o
Finde sowas natürlich auch nicht gerade angenehm. Wenn ich aber an Microsoft denke wäre es wiederum nicht schlecht dabei zu helfen M$ in den Boden zu stampfen :D
Das wird leider nur nen Traum bleiben, aber hey - irgendwann wird auch Bill Gates einsehen dass er nicht soooo toll ist...


BTP, ich glaub' ich installier wieder Linux als zweites System, macht mir nie ärger ;)

alpshakal
13-08-03, 11:39
das ist wenn man "ich" schreiben will, aber "cih" rauskommt....hab ich gelegentlCIH.
Soso - also in Verbindung mit dem Spammer-Virus würden da furchtbare Sachen rauskommen - total falsche posts, die kein Mensch versteht

Casey Rybeck
13-08-03, 11:46
also ich hab mir seit ich im internet bin, seit immerhin 96/97, noch NIE was eingefangen.

btw: es gibt schon nen neuen wurm, der das selbe sicherheitsloch benutzt. der soll aber echt gut programmiert sein. quasi die deluxe version mit backdoortool etc. wenn ich die infios finde, stelle ich sie rein

TheRipper
13-08-03, 11:59
Soso - also in Verbindung mit dem Spammer-Virus würden da furchtbare Sachen rauskommen - total falsche posts, die kein Mensch versteht

neinnein es betrifft ja nur "ich" und da kann man sCIH ja seinen teil denken.

*gg*
13-08-03, 12:14
Originally posted by NetCrow
Die XP Firewall is schrott, kannst gleich ausmachen - die hilft eh gegen nix :D

Gute Firewall ist ZoneAlarm (http://www.zonealarm.de) und sogar Freeware.

Die beste Firewall ist immer noch T-OFFLINE ich wart jetzt schon fast 3 Wochen das se mir meinen Anschluß freischalten:mad:

Casey Rybeck
13-08-03, 12:28
soooooooo!

Beschreibung neuer wurm (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RPCSDBOT.A)

Unten wird der neue wurm erwähnt (http://www.heise.de/security/news/meldung/39377)

Berserker
13-08-03, 12:33
Ok, ich denke die Leute wissen nun was sie zu tun haben und das wir hier keine Scherze machen, wenn wir extra einen Sticky machen um euch davor zu warnen. Darum wird die Diskussion nun bitte auch im Sticky (http://forum.neocron.com/showthread.php?s=&threadid=70547&perpage=15&pagenumber=4) fortgesetzt.