This is topic W32 Wurm Epidemie in forum Produktions- & DJ-Technik, Hard- & Software at technoforum.de.
Um den Thread anzusehen, klicke auf diesen Link:
https://forum.technoforum.de/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=6;t=004839
Geschrieben von: Flo van Hof (Usernummer # 5983) an
:
hola!
hab ein problem...
bei mir kommt häufig die meldung in der art:
Windows muss neu gestartet werden, da der Remoteprozeduraufruf (RPC) unerwartet beendet wurde...
Dann zählt er 60 sekunden rückwärts und bootet...
Virus?
Was kann ich tun?
Ach ja, initiated by NT- Autorität System steht auch dabei....
Hilfe!
[ 12.08.2003, 15:51: Beitrag editiert von: Flo van Hof ]
Geschrieben von: Striker (Usernummer # 3664) an
:
da is wohl ein systemdienst abgeschmiert. kuck mal im ereignisprotokoll, da sollte stehen welcher.
viel glück
Geschrieben von: TMG3 (Usernummer # 774) an
:
gleiches phänomen mit gleicher fehlermeldung hat ein kumpel von mir gestern auch feststellen müssen.
angeblich soll's ein trojaner sein - google doch einfach mal nach dem text der fehlermeldung!
grüße,
tobi
Geschrieben von: TMG3 (Usernummer # 774) an
:
mööp - grade drübergestolpert:
http://technoforum.dyndns.org/public_html/ubb/ultimatebb.php?ubb=get_topic;f=21;t=004601
Geschrieben von: swift2002 (Usernummer # 5519) an
:
http://cert.uni-stuttgart.de/ticker/article.php?mid=1124 (thanks to brain$ucker vom USB)
probiert diesen Patch, hat bei mir auch geholfen, das ist ja die reinste Epedemie...
Bis jetzt weiß ich schon von mindesten 10 Kumpels, dass sie seit gestern Abend das gleiche Problem hatten.
Mit dem Patch ist wieder alles i.O.!!!
Unter dem oben angegebenen Link ist auch erklärt, was da genau abgegangen ist, ich hab das Fachchinesich jedoch nicht ganz entwirren können.
Geschrieben von: Flo van Hof (Usernummer # 5983) an
:
So, Patch ist drauf...
jetzt erst mal abwarten...
THNX to all.
Scheint ja echt ein dicker Brummer zu sein!
Geschrieben von: HandsOnWax (Usernummer # 64) an
:
Bin gerade bei unserem Aussensdienst am fixen!
Folgende Vorgehensweise:
msblast.exe Prozess beenden
beide msblast.exe aus windows(winnt)\system32 und \prefetch löschen
passenden winodws patch downloaden
click
Symantec Patch downloaden
click
Danach den Windows-Patch drüber bügeln, dann im nur in XP / ME unter Eigeschaften von Arbeitsplatz die Systemwiederherstellung deaktivieren. Im Abgesicherten Modus starten und den Antivir drüberlaufen lassen ... Fertig!
Geschrieben von: Thomas Broda (Usernummer # 72) an
:
Zitat:
Ursprünglich geschrieben von: HandsOnWax:
Bin gerade bei unserem Aussensdienst am fixen!
Viel Spaß!
Geschrieben von: HandsOnWax (Usernummer # 64) an
:
Danke Thomas,sind nur etwa 100 Leute *örx*, gibt n langen Abend...
Geschrieben von: PigFace (Usernummer # 4299) an
:
Außendienstler die sich direkt ins Internet einwählen können (unter Umgehung einer Firmen-Firewall) sollten IMO zumindest durch eine Personal Firewall geschützt sein. Ist zwar auch nicht das Gelbe vom Ei aber besser als gar kein Schutz. Und gerade in diesem Fall hätte die PFW den Zugriff auf die Ports blockiert (korrekte Konfiguration vorausgesetzt).
Geschrieben von: kuazo (Usernummer # 8866) an
:
Oh, hab es schon unter Netzwelt geschrieben, gehört das nicht eigentlich dahin? lol
Ein neuer Wurm ist im Umlauf, er bedient sich einer Sicherheitslücke von Windows ( Puffer Overflow Bug), die man nur durch einen Patch beheben kann!!! Das gute Stück nennt sich W32.Blaster.Worm oder W32/Lovsan.worm ( msblast.exe ) und versteckt sich im system32 Ordner! Ein infizierter Rechner sendet zudem RPC Nukes an potentielle Opfer, was zum Systemabsturz führen kann oder auch zum Absturz der svchost.exe!!! Dies wiederum führt zum Ausfall einiger Windowsfunktionen (activx, drag and drop, copy paste, verbindungstrennung unmöglich)!!! Wenn dieser Fall eintritt, ist die Sicherheitslücke von Windows ausgenutzt wurden und der Wurm ist möglicherweise auf deinem Computer! Eine Firewall zur Sicherheit wäre daher ebenfalls angebracht, allein schon um Portscans zu unterbinden!
Diese Nachricht schick ich, weil es sich nicht um einen von vielen Würmern handelt! Jeder Windows 2000 und Windows XP User kann infiziert werden, denn der Wurm verbreitet sich weder über Emails noch muß man eine Datei ausführen, er wandert von Rechner zur Rechnen, mit anderen worten man muß blos online sein und das wars...
W32.Blaster.Worm Removal Tool: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
Windows Patch ( unten das Betriebsystem auswählen):
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Forum Thread:
http://www.winhelpline.info/forum/showthread.php?s=cf0bb7b6771368a73e31c845c8b79d83&threadid=68890
Geschrieben von: suki (Usernummer # 1724) an
:
es gibt jetzt insgesamt mindestens vier threads zum thema. vielleicht sollte man sich mal auf einen einigen.
http://technoforum.dyndns.org/public_html/ubb/ultimatebb.php?ubb=get_topic;f=6;t=004838
http://technoforum.dyndns.org/public_html/ubb/ultimatebb.php?ubb=get_topic;f=17;t=003707
http://technoforum.dyndns.org/public_html/ubb/ultimatebb.php?ubb=get_topic;f=21;t=004601
Geschrieben von: diebeidenohnenamen (Usernummer # 6584) an
:
jepp, mir hat das gute stück gestern abend
auch einige probleme bereitet. der windows patch hat bei mir dann geholfen
Geschrieben von: mantis* (Usernummer # 3606) an
:
Ich hab nur in sofern was mitbekommen das alle meine ICQ-Member gestern abend über plötzliche und unvermittelte Reboots klagten. : )
Geschrieben von: Prototyp (Usernummer # 8273) an
:
krasser wurm, noch nie erlebt das sich einer so schnell und effizient ausbreitet, daß irc und die foren sind voll mit leuten die sich den eingefangen haben
Geschrieben von: DJ B-Side (Usernummer # 5926) an
:
Das ist ne zimelich krasse Sache, ich hatte den Wurm auch auf der Platte sowas hab ich noch nie erlebt.
Geschrieben von: Octopus (Usernummer # 628) an
:
ok... ich hab jetzt den Viren Scanner durchgejagt und die von Microsoft empfohlene Software installiert mein antivirus programm kann den Wurm aber nicht reparieren... entfernen... WAS TUN?????
Geschrieben von: suki (Usernummer # 1724) an
:
es gibt von symantec ein tool zu entfernen des wurms:
http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
Geschrieben von: heraldo (Usernummer # 1844) an
:
das seltsame ist, stinger & das symantec tool haben den virus bzw. wurm nicht gefunden. hab den ms-patch mal drauf & besorg mir jetzt ne ordentliche firewall.
Geschrieben von: Octopus (Usernummer # 628) an
:
bohhh... ich fasse es nicht.. scheiß vieh endlich weg...
Geschrieben von: diebeidenohnenamen (Usernummer # 6584) an
:
The process "msblast.exe" is viral. It is terminated.
Deleted the value "windows auto update" from the registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".
HA! erwischt! habe auch noch keinen wurm erlebt. der sich so erschreckend effizient ausbreiten
konnte. es ist einerseits faszinierend aber
andrerseits erchreckend. da sieht man mal,
was windoof doch für riesige sicherheitslücken
aufweist.
Geschrieben von: Darrien (Usernummer # 6129) an
:
Man stelle sich nur mal vor, was man damit alles hätte anstellen können.
Geschrieben von: Elias@Rafael (Usernummer # 5404) an
:
Boah, bin ich froh, dass er weg ist, hoffentlich kommt er nicht wieder!
Geschrieben von: H*P (Usernummer # 240) an
:
Was ich nicht verstehe: seit nahezu 8 (!) Wochen wird auf die gefährliche Sicherheitslücke hingewiesen (und auf den Patch von MS).
Daheim hab ich den längst drauf gehabt - jedoch weis ich von 1000enden von betroffenen Usern ... pennen denn die SysAdmins???
Geschrieben von: Main Part Actor (Usernummer # 6901) an
:
Zitat:
Ursprünglich geschrieben von: H*P:
Was ich nicht verstehe: seit nahezu 8 (!) Wochen wird auf die gefährliche Sicherheitslücke hingewiesen (und auf den Patch von MS).
Daheim hab ich den längst drauf gehabt - jedoch weis ich von 1000enden von betroffenen Usern ... pennen denn die SysAdmins???
Das ist das Problem - Erst wenn alles zu spät ist, wird laut um Hilfe gerufen, so das alle Anderen mit aufwachen und ebenfalls feststellen müssen, das sie es "erwischt" hat ;}
Ich habe selber 2 Tage mit dem Virus auf meinem Rechner gekämpft, der sich dort anscheinend schon ein paar Tage "eingenistet" hatte, und erst zum besagten "Großangriffstag" auf sich aufmerksam machte via XP Fehlermeldung "Remoteprozeduraufruf (RPC) unerwartet beendet..." Rechner wird in xx sec runtergefahren.
Ich will versuchen hier ein bischen die Tragweite des Viruses zu erklären und dazu ein paar Tips zu geben. Folgende Dateien werden oder sind befallen durch die Virusdatei "msblast.exe" die Gerüchten zufolge unmittelbar mit dem Backdoor Trojaner Virus "Backdoor.OptixPro.13" zusammenhängen soll.
rcimlby.exe
Windows XP Remoteunterstützung, steht in unmittelbarem Zusammenhang mit der RPC Fehlermeldung verursacht durch den Virus.
dhcpcsvc.dll
Mit verantwortlich für DHCP Client in Windows XP.
svchost.exe
"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mithilfe von Dynamic-Link Libraries (DLLs) ausgeführt werden.
Beim Start überprüft "sSvchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden. Jede "svchost.exe"-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen.
userenv.dll
In dieser Datei steht so ziemlich alles über den Benutzer drin, der die akutelle Sitzung betreibt.
Bie den meisten XP Heiminstallationen ist der normal Benutzer auch gleich der Admin, das heißt in der Datei ist so ziemlich alles an Zugriffen erlaubt was geht, und dementprechend kann auch alles hier problemlos von Aussen, in diesem Fall durch Virus infizierung, umgeschrieben e.g. eingeschränkt werden. Der User/Admin hat dann keine Eingriffsmöglichkeit mehr, und das ist so ziemlich das schlimmste was passieren kann.
Vorgehensweise :
Das Hauptproblem ist erst einmal das ständige runterfahren, verursacht durch den Virus, abzustellen, sodas man die Möglichkeit hat seine Virensoftware bzw. die nötige an Dateien aus dem Internet downzuloaden. Das automatisches herunterfahren kann durch Eingabe im
Ausführen Menupunkt (Start Menu > Ausführen)
von : "shutdown -a" unterbunden werden !
Dann sollte die Win XP Fehlermeldung inkl. des späteren Runterfahrens nicht mehr kommen.
Weitere Reihenfolge :
Unbedingt als aller erstes das Programm "Spy Bot -Search & Destroy" runterladen, und installieren !
Den Download findet ihr hier :
http://download.com.com/3001-2144-10194058.html
Da wie oben erwähnt vermutet wird, das der W32.Blastr Virus in unmittelbarem Zusammenhang mit einem Trojaner steht ist es ratsam vorher SpyBot zu installieren, und auszuführen. Alles was Spybot findet kann normalerweise bedenkenlos gelöscht werden.
Danach sollte man sich das W32.Blaster Remove Tool von Symantec holen. Den Download findet Ihr unter :
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
WICHTIG !
Bitte unbedingt die Beschreibung auf der Symantec Seite beachten. :
"If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details.
Solltet Ihr das nicht machen, dann habt Ihr bei der nächsten Systemwiederherstellung den gleichen Salat wie vorher.
Anmerkung :
Bei mir z.B. waren alle o.g. Dateien infiziert, über die "userenv.dll" wurden sämtliche Virenprogramme beim scannen im normalen Win XP Modus spätestens beim erreichen des Win System32 Ordners (vorzugsweise der Ort wo sich msblast.exe nierderlässt) gekillt ! Erst mehrmaliges rebooten in den Abgesicherten Modus (hochbooten F8 drücken) brachte den erhofften Erfolg.
Ein anderes Beispiel war, das plötzlich die Zugriffsrechte so eingeschränkt waren, das der Nutzer keinerlei Möglichkeiten mehr hatte auf seine 2. Festplatte zu zugreifen, um eine Datensicherung zu machen (!!)
Erst nachdem der Symantec Scan den Erfolg gebracht hat das Windows XP Update installieren !
Die jeweiligen Downloads findet Ihr unter :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Ihr solltet auch aber zur Sicherheit den Patch irgendwo aufbewahren, weil es wird davon ausgegangen das der Virus/Wurm spätestens am 16. August sämtliche MS Netze und Server/Systeme lahmgelegt hat, und somit keinerlei Möglichkeit mehr besteht an diesen Sicherheits Patch zu gelangen.
Noch was zum Schluss :
In sämtlichen PC Foren, wo dieses Problem hier zur Zeit natürlich Thema Nr.1 ist, ist mit Bestürzung festzustellen, das es der Großteil nicht für nötig hält, konstrukive und sinvolle Hilfestellug zu geben an Betroffne. es wird lieber vogezogen, sich lustig zu machen, oder absolut hirnrissige Comments abzulassen, die niemadem helfen. Diese traurige Tatsache usste ich leider auf meiner intensiven Hilfesuche im Internet feststellen.
mfG mPa
Geschrieben von: Stratos (Usernummer # 2080) an
:
@ Main Part Actor
danke für die ausführliche hilfe! werde das ganze heute abend zuhause mal ausführen!
das krasse ist, dass ich selbst nach installieren des updates und des removel tools immer noch dasselbe problem hatte! ging ich dann online, entdeckte das antivirus programm den wurm und löschte ihn...kurze zeit später kam es wieder zum systemstart (RPC)!!
in anderen foren war anscheinend auch zu lesen, dass die hd neu formatiert werden müsse, wenn der patch wirkungslos ist..?? kann sowas sein??
Geschrieben von: Stratos (Usernummer # 2080) an
:
vor lauter nervosität musste ich das ganze jetzt schon ausprobieren...leider ist das virus immer noch auf dem rechner!!¨
hab zuerst spy bot installiert und ausgeführt...
danach das remove tool gestartet...fand aber den wurm nicht!!!
dann hab ich nochmals den patch installiert...
und jetzt ging ich wieder online...2 minuten später, wieder die RPC meldung!!!
nach shutdown -a kam ne meldung vom virenscanner, dass das virus entfernt wurde... !!!
was soll ich nun machen? ich werd das ding nicht merh los...
Geschrieben von: H*P (Usernummer # 240) an
:
Aus der CHIP (ACHTUNG unter Vorbehalt, bitte beachten das ich das nicht näher überprüft habe):
Falls ihr Rechner herunterfährt, können Sie dieses folgendermasen verhindern: Gehen Sie über "Start" auf "Ausführen ...", geben Sie "cmd" ein und bestätigen Sie mit "OK". In dem geöffneten DOS-Fenster geben sie jetzt "shutdown -a" ein und führen den Befehl aus. Jetzt fährt ihr Rechner nicht mehr automatisch herunter.
Registry-Editor: Zum entfernen des Wurms müssen Sie auch den passenden Eintrag in der Registry löschen.
Wurm-Entfernung leicht gemacht
Den Wurm werden Sie unter Windows XP los, indem Sie sich zuerst den von Microsoft angebotene Patch installieren. Unter Windows 2000 verwenden Sie den entsprechenden Win2000-Patch.
Entfernen Sie nun noch den Aufruf der Datei "MsBlast.EXE" aus dem Autostart. Gehen Sie dazu auf »Start | Ausführen…«, geben Sie "msconfig" ein und bestätigen Sie mit "OK". Im Fenster "Systemkonfigurationsprogramm" wählen sie den Reiter "Systemstart". Suchen Sie den Eintrag der Datei "Msblast.EXE" und entfernen Sie den Haken.
Als nächstes löschen Sie den Registry-Eintrag. Geben Sie dazu unter »Start | Ausführen … | regedit« ein, und bestätigen Sie mit "OK". Klicken Sie in dem Registry-Tool auf "Arbeitsplatz", und suchen Sie unter "HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run" nach "windows auto update". Der gefundenen Eintrag muss gelöscht und der Rechner neu gestartet werden. Anschließend lässt sich die Datei "blaster.exe" aus dem Systemverzeichnis löschen.
Geschrieben von: psychosonic (Usernummer # 417) an
:
@h*p
...hmmm... vielleicht vorher den thread mal lesen?
Geschrieben von: Main Part Actor (Usernummer # 6901) an
:
Zitat:
Ursprünglich geschrieben von: Stratos:
in anderen foren war anscheinend auch zu lesen, dass die hd neu formatiert werden müsse, wenn der patch wirkungslos ist..?? kann sowas sein??
Definitive Aussage : Ja !
Allerdings gibt es ein Trostpflaster, mit der Eingabe von "Format C:" sind nicht gleich alle Daten weg ! Windows XP erkennt kurz daruf in der Folgeinstallation, das vorher eine Windows System drauf war, und fragt ob es repariert werden soll !
Ich kann mit guten Gewissen sagen das dise Option unbedingt zu wählen ist. Nach erneuter Freischaltung sind schwupps die wupps wieder alle (!!!) Datein und alten Verzeichnisstrukturen da - ohne Virus wohlgemerkt. Sollte das Symantec Remove Tool nicht wirken, ruhig mehrmals laufen lassen, irgedwann klapps. Ggf. auch mal den Abgesichrten Modus versuchen, und da das Tool laufen lassen.
Ein paar nützliche Tips zur Win XP Wiederherstellungskonsole + Bootmenu findet Ihr hier :
http://itmanager.zdnet.de/story/0,,t419-s2103811-p2,00.html
http://www.winreport.info/PagEd-page_id-148.html
Geschrieben von: kuazo (Usernummer # 8866) an
:
ein format c: ist zwecklos!!! somal der wurm mit ziemlicher sicherheit auch im boot sector sitzt... mich würde mal interessieren wie oft man euch noch erzählen muß das der windows patch und das removal tool vollkommen ausreichen!?
*kopfschüttel*
Geschrieben von: Main Part Actor (Usernummer # 6901) an
:
Zitat:
Ursprünglich geschrieben von: Stratos:
vor lauter nervosität musste ich das ganze jetzt schon ausprobieren...leider ist das virus immer noch auf dem rechner!!¨
hab zuerst spy bot installiert und ausgeführt...
danach das remove tool gestartet...fand aber den wurm nicht!!!
dann hab ich nochmals den patch installiert...
und jetzt ging ich wieder online...2 minuten später, wieder die RPC meldung!!!
nach shutdown -a kam ne meldung vom virenscanner, dass das virus entfernt wurde... !!!
was soll ich nun machen? ich werd das ding nicht merh los...
Wenn ich richtig gelesen habe, vermisse ich den Schritt des Windows XP Sicherheits Updates !
Den sollte man natürlich nach entfernen des Viruses gleich installieren, so hatte ich es aber in einzel Schritten oben erklärt. Wenn man das natürlich nicht macht, und gleich nach entfernen des Wurm wieder online geht, hat man das was Du beschreiben hast, nämlich den gleichen Mist wie vorher ;}
Unabhängig davon ist unbedingt eine Firewall zu installieren und umgehend auf den neusten Stand zu bringen. Meines erachtens bringt ein Freeware Progge wie Zonealar meistens schon dengewünschten Erfolg. Vorausgesetzt, wie erwähnt, frisch upgedated.
Geschrieben von: Ferris (Usernummer # 2530) an
:
Zitat:
Ursprünglich geschrieben von: kuazo:
ein format c: ist zwecklos!!! somal der wurm mit ziemlicher sicherheit auch im boot sector sitzt... mich würde mal interessieren wie oft man euch noch erzählen muß das der windows patch und das removal tool vollkommen ausreichen!?
*kopfschüttel*
Ich glaub das reicht nur bei Win2000. Bei XP sieht die Sache was komplizierter aus.
Geschrieben von: Main Part Actor (Usernummer # 6901) an
:
Zitat:
Ursprünglich geschrieben von: kuazo:
ein format c: ist zwecklos!!! somal der wurm mit ziemlicher sicherheit auch im boot sector sitzt... mich würde mal interessieren wie oft man euch noch erzählen muß das der windows patch und das removal tool vollkommen ausreichen!?
*kopfschüttel*
2x Nein !
Der Wurm ist eingetlich ein Trojaner oder kommt in Zusammenhang mit einem Trojaner der wie oben beschrieben wichtige Systemdateien umgräbt, die Windows unter Umständen nicht vollständig repariert bzw. nicht ersetzen tut.
Wenn garnix mehr geht ist der sicherste Weg
die Platte zu Formatieren. Dazu sollte man aber um ganz sicher zu gehen mit Norten arbeiten.
Nicht umsonst weist Symantec ausrücklich darauf hin das komplette Systemrestore in Windows auszuschalten :
"If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details."
Sollte sich was in Deinem Bootsector festgesetzt haben, dann ist das eine der wenigen Ausnahmen, da sich anscheinend der Wurm/Virus von Computer zu Comuter oder besser von Installation zu Installation untersschiedlich verhält. Oder Du hast zusätzlich noch einen weiteren Virus auf Deinem Rechner, wobei der eine mit dem Anderen nix zu tun hat, ist auch möglich...
Geschrieben von: kuazo (Usernummer # 8866) an
:
Erkläre mir bitte warum ein Neuaufsetzen des Systems nötig ist? Detailiert bitte, ich halte das für den größten Schwachsinn überhautp! Stütze deine Behauptungen mal mit Fakten!!!
Das es ein Wurm ist steht ja woh außer Frage!!!
Informiere dich doch mal was Trojan bedeutet, okay?
Geschrieben von: Striker (Usernummer # 3664) an
:
wer glaubt, er hat was fieses im masterboot-sector drücke mal [windows]+[r], gebe "cmd" ein, und im consolenfenster dann "fdisk /mbr" . neuer masterboot, erledigt.
...wer keinen firewall hat, ist selbst schuld. und ein wurm, der seinen prozess nicht tarnt, is nich so wild oder?
Geschrieben von: meisterlein (Usernummer # 5940) an
:
puh, scheint so als ob ich den scheiss los bin....
@mpa: danke, habe genau deine anweisungen befolgt und bis jetzt( 1h online) sieht es gut aus.
ihr "profis" könnt euch kaum vorstellen, wie eine durchschnittliche computerpfeife wie ich schwitzt(ok, das tun wir gerade alle), wenn auf einmal nix mehr geht und man nicht die leiseste spur einer ahnung hat was nun zu tun ist...
also, nochmal thx@mpa für die idiotensichere anleitung!
Geschrieben von: suki (Usernummer # 1724) an
:
@mpa:
auch schon bevor du deine sehr ausführliche anleitung gepostet hast, gab es in drei verschiedenen threads tipps wie man vorgehen sollte und zudem mehrmals links auf entsprechende heise-artikel, die symantec-seite mit dem removal-tool und die microsoft-seite mit dem patch, wo auch noch mal erklärt wird, was los ist.
ist es verständlich, daß man über leute abgenervt ist, die, anstatt auch nur mal einen von den threads oder den links richtig durchzulesen, einfach nochmal rumquäken, daß sie nicht wissen, was sie machen sollen?
Geschrieben von: Stratos (Usernummer # 2080) an
:
also an alle, die behaupten die vorgehensweise wird mit 100% sicherheit zum erfolg führen: bei mir funzt's nicht!!!!!!!!!!!!!!!
ich hab den patch installiert!! das problem ist, dass das remove tool findet den verdammten virus nicht!!!!!!!!!!!!!!!!!!!!!!!!!!!¨
benötige dringend hiiiiiiiiiiiiiiiiiiiiiiilfe......
bitte bitte bitte bitte!
Geschrieben von: Stratos (Usernummer # 2080) an
:
also den virus den ich nich rief...werd ich nun auch nich los....
ich hab mir jetzt zone alarm besorgt, und ich krieg die ganze zeit meldungen von "blocks" vom TCT Port 135! sicherlich 50 alle halbe stunde!!
also, ich hab zuerst in panik nur den patch installiert, dies brachte keinen erfolg.
dann ging ich nach der anleitung von mpa vor. ich deaktivierte norton antivirus, weil dieses den wurm löschte und es somit nicht mehr möglich war, den wurm mittels remove tool zu entfernen.
jedenfalls startete ich das remove tool, welches dann auch den wurm entfernte. (system restore hab ich deaktiviert). danach installierte ich den update von microsoft. neustart...
aber: der sh!t nervt immer noch!
liegts vielleicht daran, dass ich system restore wieder aktiviert habe, nachdem ich den wurm entfernte und den patch installierte?
kann mir wirklich niemand helfen? oder bin ich einfach ne zu grosse pfeiffe um so einem wurm zu killen?
gruss stratos
Geschrieben von: MACHINEDRUM (Usernummer # 10334) an
:
also auch in australien an der uni hat der der wurm mal soeben das ganze pc labor lahmgelegt.
bin echt froh das ich meinen laptop hier nicht fuers internet benutze ;-)
Geschrieben von: technohead1 (Usernummer # 5122) an
:
so wie´s aussieht ist mein rechner einer der wenigen, die keinen virus haben. zumindest funzt alles wie immer...
kann es sein, dass meine ganz normale freeware-firewall(zonealarm)ausreichend schutz bietet???
Geschrieben von: XcypherX (Usernummer # 3451) an
:
Firewall der Firma ruled anscheined auch... Ebenso war ich zu Hause (dank ZoneAlarm???? auch nicht betroffen). Das Patch hab ich aber trotzdem auf allen meiner Rechner eingespielt...
Geschrieben von: MDMAClub (Usernummer # 580) an
:
Bei mir war auch nix. Hatte laut Firewall gestern abend mal drei oder vier Anfragen auf dem besagten Port, sonst aber wie gesagt nichts.
Ich guck mir jetzt die Schadensmeldungen an und überleg mir, warum einem überall eingepredigt wird, ne Firewall zu verwenden...
Geschrieben von: nicogrubert (Usernummer # 1292) an
:
Zitat:
Ursprünglich geschrieben von: technohead1:
so wie´s aussieht ist mein rechner einer der wenigen, die keinen virus haben. zumindest funzt alles wie immer...
kann es sein, dass meine ganz normale freeware-firewall(zonealarm)ausreichend schutz bietet???
wenn die firewall besagten port (135 ?) nicht freigibt, dann ja :-)
Geschrieben von: technohead1 (Usernummer # 5122) an
:
hab grad nachgesehen, dieser port wird tatsächlich des öfteren(ca. 1x pro minute)von zonealarm blockiert.
super-sache!
Geschrieben von: Prototyp (Usernummer # 8273) an
:
Meine Norton Firewall hat zum Glück auch alles geblockt, auf höster Stufe kommt da nichts durch.
Langsam kommen die ersten gefährlichen Clone von W32Blast,da wid sicher noch einiges kommen.
http://www.heise.de/newsticker/data/dab-14.08.03-000/
[ 14.08.2003, 14:53: Beitrag editiert von: Prototyp ]
Geschrieben von: silicon (Usernummer # 503) an
:
Shit! Mein Rechner ist infiziert. Habs gestern gemerkt als ich Files verschieben wollte und dauernd n Fehler in svchost.exe kam. So ein Dreck. Leider
PRUEFUNG_GESCHAEFTSFAEHIG
Geschrieben von: ShadowRa (Usernummer # 3781) an
:
bietet n router mit IP verschlüsselung ausreichend schutz ?
weil bis etz bin ich noch nich betroffen und i hab net ma ne firewall *g*
Geschrieben von: Stratos (Usernummer # 2080) an
:
hey leute leute...
weiss nicht ob ich jetzt virenfrei bin...?
die vorgehensweise von mpa erbrachte nicht den gewünschten erfolg..?
hab mir jetzt die zonealarm firewall geholt..dann das file msblast.exe im verzeichnis windows/prefetch gelöscht. nochmal das removel tool laufen lassen (hat nix gefunden) und den patch (nochmal) drüberinstalliert.
jetzt blocked die firewall ca. 100 angriffe pro stunde!! ist das normal?
Geschrieben von: diebeidenohnenamen (Usernummer # 6584) an
:
soweit ich weiss, sind das nicht immer angriffe.
deine firewall schlägt schon alarm, wenn ein tool
deinen pc auf offene ports scannt. "wirkliche" angriffe sind wohl eher die ausnahme. auch wenn
ich ebenfalls zonealarm habe, einen wirklichen
hacker wird das wohl kaum aufhalten
Geschrieben von: funkyandy (Usernummer # 1493) an
:
zum glück bin ich NOCH nicht auf XP umgestiegen *g*
werd mich mal aufraffen nächste woche XP draufzuspielen, aber ohne wurm
Geschrieben von: DJ Pult (Usernummer # 4571) an
:
Ich glaube Du hast nicht ganz verstanden: XP IST der Wurm...
Geschrieben von: Prototyp (Usernummer # 8273) an
:
Zitat:
Ursprünglich geschrieben von: DJ Pult:
Ich glaube Du hast nicht ganz verstanden: XP IST der Wurm...
Geschrieben von: Hyp Nom (Usernummer # 1941) an
:
gibts den patch noch auf alternativen seiten? die links zu den microsoft-patchseiten antworten schon nicht mehr..
Geschrieben von: technohead1 (Usernummer # 5122) an
:
Zitat:
Ursprünglich geschrieben von: DJ Pult:
Ich glaube Du hast nicht ganz verstanden: XP IST der Wurm...
ich würd sagen XP ist die selbe mogelpackung wie ME seinerzeit, nur mit mehr schnickschnack der auch nicht funktioniert...
Geschrieben von: philipp (Usernummer # 687) an
:
Immer dieses rumgehacke auf XP... Das Ding ist besser als sein Ruf! Wenn man 'ne Lizenz hat und immer schön vom Autoupdate die Sicherheitspatches einspielt ist es sogar halbwegs sicher, dazu die eingebaute Firewall aktivieren / von jemandem einrichten lassen der sich damit auskennt, ein alternatives Email/Browsergespann und eigentlich kann dann nicht viel passieren! Ein DAU kann mit jedem Betrebssystem unheil anrichten, und wer schon keinen Videorecorder bedienen kann der sollte sich vielleicht auch beim Installieren eines Rechners Hilfe holen.
Geschrieben von: ochsenprofessor (Usernummer # 5328) an
:
Zitat:
eingebaute Firewall aktivieren
Durch diesen einen Klick, passiert schon nichts.
Glaube ein Problem besteht bei den Leuten, die anstatt einem "DFÜ-Netzwerk" einzurichten, z.B. die T-Online Software installiert haben.
In meinem Bekanntenkreis haben zwei Leute sich auf diese Weise den Wurm eingefangen.
Geschrieben von: Lame (Usernummer # 692) an
:
Zitat:
Ursprünglich geschrieben von: Stratos:
[QBjetzt blocked die firewall ca. 100 angriffe pro stunde!! ist das normal? [/QB]
bei zone alarm schon *g* aber das ist ja nicht umsonst die mickey mouse-lösung unter den desktop firewalls. auch für umme und ein wenig ernstzunehmender ist bspw. kerios personal firewall.
Geschrieben von: vert-o-matic (Usernummer # 5645) an
:
Zitat:
Ursprünglich geschrieben von: Hyp Nom:
gibts den patch noch auf alternativen seiten? die links zu den microsoft-patchseiten antworten schon nicht mehr..
ich könnte dir den patch für XP geben,wenn dir das weiterhilft
Geschrieben von: Stratos (Usernummer # 2080) an
:
ich weiss nicht was los ist? hab ich das virus noch? oder ist's weg? die svchost.exe will die ganze zeit aufs internet zugreifen. dies hab ich bis jetzt immer mittels zonealarm verhindert...
ist das der virus? kann mir jmd. helfen??
Geschrieben von: robert.birnbaum@lycos.de (Usernummer # 10124) an
:
anscheinend wird mein liebes windows 98 doch verschont von dem würmchen. oder freue ich mich zu früh und das ding kommt umso fieser von hinten?
Geschrieben von: technohead1 (Usernummer # 5122) an
:
@robert
soviel ich weiß ist windows 95/98/ME von der sache nicht betroffen.
lasse mich aber gerne eines besseren belehren...
Geschrieben von: robert.birnbaum@lycos.de (Usernummer # 10124) an
:
habe ich auch so gehört. der patch ist auch nur für windows 2000 und xp und aufwärts.
Geschrieben von: HandsOnWax (Usernummer # 64) an
:
Es gibt Patche für XP (32 u. 64 Bit), 2000 und NT 4.0.
Die Patch-Seite von MS ist wohl schon down, wer einen Patch für XP oder 2000 (deutsch oder englisch) braucht, schicke mir eine PM mit seiner Email.
Geschrieben von: silicon (Usernummer # 503) an
:
so,
hab jetzt dieses symantec-teil rödeln lassen. fast 1 std. für alle files. jetzt ist er gelöscht, sygate pw installiert, bestimmt schon 30 blocks seit dem online-gehen, aber der wurm bleibt anscheinend draußen.
ziemlich nervig das ganze. wohl der größte hammer 2003. wenns für linux reason geben würde, ich würde sofort umsteigen.
cheers,
silicon
Geschrieben von: Largon (Usernummer # 7331) an
:
Ich mache die letzten 2 Tage auch schon viel Pannen-Hilfe für ahnungslose Windows-Nutzer aus dem Freundeskreis.
Die wundern sich immer das der Rechner runterfährt wenn Sie ins Internet wollen.
Bei mir selber ist dank Patch und Firewall Ruhe
Geschrieben von: alex [sAf] (Usernummer # 449) an
:
Aufpassen beim Patchen muß man auch noch, der MS Patch funktioniert z.b. nicht richtig mit dem Service Pack 2 von Mikrosoft - plötzlich hat man als Admin keine Rechte mehr :-/
Geschrieben von: oskar (Usernummer # 7383) an
:
ok, hab hier ein 2k Rechner.
Die svchost.exe verursacht beim surfen einen Fehler, der das verlassen des Internets nur noch durch einen Neustart zulässt. Ansonsten bemerke ich kein Performanceverlußt oder anderen Probleme.
Damit ich mich in Zukunft vor all dem digitalen Dreck halbwegs schützen kann wollte ich darauf verzichten mit diesem Rechner online zu gehen.
Nun meine Frage:
wenn ich mein System schön freiformatiere, das 2k neuinstalliere und auf das Internet surfen mit diesem Arbeitsrecher verzichte, kann ich mich dann vor dieser Art Würmern sicher fühlen? Sind sie nach einer Formatierung wirklich weg vom Fenster?
Geschrieben von: Thomas Broda (Usernummer # 72) an
:
Windows 98 ist nicht betroffen, da hier keine RPCs zum Einsatz kommen, die als Ausgangs- bzw. Zielpunkt für den Angriff verwendet werden.
Bei der Gelegenheit sollten sich gerade Windows-User, die per DSL und Quasi-Standleitung online gehen, dringend überlegen, ob sie ihre Systeme nicht mit einem dazwischengeschalteten Proxy, der Microsoft-frei ist, schützen möchten.
Geschrieben von: Prototyp (Usernummer # 8273) an
:
Die Update Server werden wohl nicht mehr lange erreichbar sein da sie langsam unter druck geraten, heise.de hat deshalb die patches auf ihre Server drauf gespielt.
http://www.heise.de/newsticker/data/ghi-15.08.03-000/
Alle die vielleicht noch einen patch brauchen finden da die links.
Geschrieben von: DJ Pult (Usernummer # 4571) an
:
Zitat:
Ursprünglich geschrieben von: philipp:
Das Ding ist besser als sein Ruf! Wenn man 'ne Lizenz hat und immer schön vom Autoupdate die Sicherheitspatches einspielt ist es sogar halbwegs sicher
sorry, aber die beiden Sätze hintereinander passen einfach nicht. Bei dem Preis für ein Betriebssystem, welches millionenfach verkauft wird und dann solche eklatanten Sicherheitsmängel aufweist, muss ich mich doch fragen, warum seit zahllosen Windows-Generationen immer wieder so offensichtliche Schwächen auftauchen. Das können andere Firmen mit einem Promille der microsoftschen Entwicklungskosten um einiges besser.
Geschrieben von: talshia (Usernummer # 6048) an
:
https://grc.com/x/ne.dll?bh0bkyd2
der link ist eine sicherheits homepage, die euren rechner auf jeden port überprüft, es wird versucht auf den rechner zuzugreifen, jedes öffentliche file wird angezeigt. manche ports sind ja nicht schlimm, da man fuer ICS manche offen haben muss. ich teste so schon seit jahren ob alles ok ist. wer nen alten rechner zur verfügung hat, dem empfehle ich sich einen server zu basteln der als router fungiert. win2000 oder linux drauf und dann internet connection sharing einstellen. so surft man hinter einen rechner, halte ich fuer ne bessere loesung als direkt zu surfen, da manche user ja auch wichtige audio files auf der platte haben.
Geschrieben von: D99X (Usernummer # 3577) an
:
ich meine ich hab den wurm jetzt eendgültig eliminiert und habe
ausserdem grad die neuste version von zonealarm draufgeschmissen.
jetzt meine frage
Zitat:
svchost.exe
"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mithilfe von Dynamic-Link Libraries (DLLs) ausgeführt werden.
Beim Start überprüft "sSvchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden. Jede "svchost.exe"-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen.
Zone Alarm fragt:
Do you want to allow Generic Host Process for Win32 Services to act as a server
Aplication svchost.exe
soll ichs erlauben ?
hab angst das dieses prog. irgendwas noch mit dem wurm od. anderen viren zu tun hat.
gruß martin
Geschrieben von: D99X (Usernummer # 3577) an
:
Zone Alarm fragt mich das bei jedem Start .
ich brauche eine Entscheidung
dank euch
Geschrieben von: Largon (Usernummer # 7331) an
:
Wenn es die Richtige svchost.exe unter C:\Windows\System32 ist dann darf Sie nicht blockiert werden.
Aber vorsicht:
Da der svchost unter WinXP zahlreiche dlls (auch Nicht-Windows-dlls) gruppiert, und ständig mehrere svchost-Prozesse laufen, die z.T. auch Zugriff auf's Netz beanspruchen, werden schätzungsweise über 90% der Anwender nicht darauf achten, in welchem Ordner sich siese svchost.exe befindet, und sie folglich gewähren lassen.
Wenn sich diese svchost.exe aber in einem anderen Ordner als dem Windows-Systemordner befindet, handelt es sich um den BlueCode-Wurm oder den Cozit-Wurm oder den Trojaner Litmus oder...oder...oder...
Geschrieben von: Stratos (Usernummer # 2080) an
:
@ largon
mhmm...also ich hab hier auf meinem rechner zwei svchost.exe gefunden!
diesen hier:
SVCHOST.EXE-3530F672.pf
im verzeichnis windows/prefetch
und die hier:
svchost.exe
im verzeichnis windows/system32
ist das der wurm?? oh oh...kann ich das ding löschen?
Geschrieben von: Mad Raven (Usernummer # 8559) an
:
Zitat:
Ursprünglich geschrieben von: Stratos:
jetzt blocked die firewall ca. 100 angriffe pro stunde!! ist das normal?
jo, wenn ich das richtig verstanden habe scannt Blaster automatisch nach rechnern die die gleiche sicherheitslücke haben um ihn dann zu infizieren.
Geschrieben von: Schnapsdrossel (Usernummer # 6968) an
:
Richtig fies:
Bin erst aus dem Urlaub zurück und dann das! Geschlagene 5 Stunden haben mich an meinem Verstand zweifeln lassen..."teekids.exe" aka DaBlaster wurde nun endlich von meinem Rechner verbannt. Die Nervosität und innere Unruhe ausgelöst durch den kurzzeitigen Verlust der Connection zur Aussenwelt nach 14 Tagen Portugal hat mich später Nerven en masse gekostet (dieser Hickhack aus Patches, Antivir und herumfuchteln in der Registry bieten einen netten Kontrast zu dem XP-TVtrailer anno 2001).
Derber Einschlag in die Zivilbevölkerung. Ein Schritt zu weit wie ich meine. Die Entwickler (des Wurmes natürlich!) sollten nun als weltweite Terroristen und keineswegs als Lausbuben betrachtet werden.
Anyway...würde ich meinen Opas (beide über 90) von derartigen "Problemen" erzählen - wie armseelig vermag das zu Turbulenzen ihrer jungen Jahre erscheinen...es gibt schlimmeres und jetzt kann ich schon darüber schmunzeln...bis es wieder mal heisst "win wird beendet...da der xxx unerwartet beendet wurde" etc.
noch ein tipp am rande:
vertraut nicht zu sehr auf die recovery cd! der wurm manipuliert in bösartigster weise versuche winxp zu reparieren bzw. zu überschreiben. ab einem gewissen zeitpunkt werden während des setups beispielsweise dateien die für die installation wichtig sind nicht mehr von der scheibe ausgelesen. das setup kann abgebrochen werden. habe dies bereits mit mehreren os's versucht.
Geschrieben von: MACHINEDRUM (Usernummer # 10334) an
:
na dann hats mich doch noch erwischt.. ****
und das obwohl ich nie ins netz gehe mit meinem laptop.. bin hier ja nochtnichtmals angstoepselt mit nem modem....
]die ksite verabschiedet sich innerhalb von sekunden... also ich hoffe das es der virus ist.die sache kam von heute auf morgen.. wenns was anderese sein sollte.. man dann gute nacht.
lasse grad den patch von symantec laufen und hab den microsoft patch auch installiert. ich hoffe danach funzt die sache wieder.
(c) 1999/2ooo/y2k(+1/+2/+3+4+5+6+7+8+9+2010+2011+2012+2013+2014+2015+2016+2017+2018+2019+2020+2021+2022+2023+2024+2025) technoforum.de | www.techno-forum.de
Das Forum für Techno | House | Minimal | Trance | Downbeats | Drum & Bass | Grime | Elektro | IDM | Elektronika | Garage | AI Music Suno Udio | Schranz | Hardtrance | Future Bass | Minimal Music | Ambient | Udio.ai | Dub | 2Step | Breakcore | no Business Techno | Dubstep | Big Room Techno | Grime | Complextro | Mashups | mnml | Bootlegs | Chicago House | AI Music Suno Prompt | Acid House | Detroit Techno | Chillstep | Arenastep | IDM | Glitch | Grime | Reaktor Ensembles | NuWave | Experimental Music | Noise Music | Fidgethouse | Ableton Live 12 | Melbourne Bounce | Minimal Trap | Sinee | kvraudio alternative | EDM | Splice | Bandcamp Soundcloud | Free Techno Music Download | Progressive Electro House | Free VSTi |
Betreiberangaben & Impressum siehe readme.txt, geschenke an: chris mayr, anglerstr. 16, 80339 münchen / fon: o89 - 5oo 29 68-drei
E-Mail: webmaster ät diesedomain
similar sites: www.elektronisches-volk.de | Ex-Omenforum | techno.de | USB | united schranz board | technoboard.at | technobase | technobase.fm | technoguide | unitedsb.de | tekknoforum.de | toxic-family.de | restrealitaet restrealität | boiler room
Diese Seite benutzt Kuhkies und du erklärst dich damit bei Betreten und Benutzung dieser Seite damit einverstanden. Es werden keinerlei Auswertungen auf Basis ebendieser vorgenommen. Nur die Foren-Software setzt Kuhkies ausschließlich für die Speicherung von Nutzerdaten für den einfacheren Logon für registrierte Nutzer, es gibt keinerlei Kuhkies für Werbung und/oder Dritte. Wir geben niemals Daten an Dritte weiter und speichern lediglich die Daten, die du uns hier als Nutzer angegeben hast sowie deine IP-Adresse, d.h. wir sind vollkommen de es fau g o-genormt, nixdestotrotz ist das sowieso eine PRIVATE Seite und nix Gewerbliches.
Powered by Infopop Corporation
UBB.classicTM
6.5.0