This is topic W32 Wurm Epidemie in forum Produktions- & DJ-Technik, Hard- & Software at technoforum.de.


Um den Thread anzusehen, klicke auf diesen Link:
https://forum.technoforum.de/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=6;t=004839

---

Geschrieben von: Flo van Hof (Usernummer # 5983) an :
 
hola!
hab ein problem...
bei mir kommt häufig die meldung in der art:
Windows muss neu gestartet werden, da der Remoteprozeduraufruf (RPC) unerwartet beendet wurde...

Dann zählt er 60 sekunden rückwärts und bootet...

Virus?

Was kann ich tun?

Ach ja, initiated by NT- Autorität System steht auch dabei....

Hilfe!

[ 12.08.2003, 15:51: Beitrag editiert von: Flo van Hof ]
 

---

Geschrieben von: Striker (Usernummer # 3664) an :
 
da is wohl ein systemdienst abgeschmiert. kuck mal im ereignisprotokoll, da sollte stehen welcher.

viel glück
 

---

Geschrieben von: TMG3 (Usernummer # 774) an :
 
gleiches phänomen mit gleicher fehlermeldung hat ein kumpel von mir gestern auch feststellen müssen.

angeblich soll's ein trojaner sein - google doch einfach mal nach dem text der fehlermeldung!

grüße,
tobi
 

---

Geschrieben von: TMG3 (Usernummer # 774) an :
 
mööp - grade drübergestolpert:
http://technoforum.dyndns.org/public_html/ubb/ultimatebb.php?ubb=get_topic;f=21;t=004601
 

---

Geschrieben von: swift2002 (Usernummer # 5519) an :
 
http://cert.uni-stuttgart.de/ticker/article.php?mid=1124 (thanks to brain$ucker vom USB)
probiert diesen Patch, hat bei mir auch geholfen, das ist ja die reinste Epedemie...
Bis jetzt weiß ich schon von mindesten 10 Kumpels, dass sie seit gestern Abend das gleiche Problem hatten.
Mit dem Patch ist wieder alles i.O.!!!
Unter dem oben angegebenen Link ist auch erklärt, was da genau abgegangen ist, ich hab das Fachchinesich jedoch nicht ganz entwirren können.
 

---

Geschrieben von: Flo van Hof (Usernummer # 5983) an :
 
So, Patch ist drauf...
jetzt erst mal abwarten...
THNX to all.
Scheint ja echt ein dicker Brummer zu sein!
 

---

Geschrieben von: HandsOnWax (Usernummer # 64) an :
 
Bin gerade bei unserem Aussensdienst am fixen!

Folgende Vorgehensweise:

msblast.exe Prozess beenden
beide msblast.exe aus windows(winnt)\system32 und \prefetch löschen

passenden winodws patch downloaden click

Symantec Patch downloaden click

Danach den Windows-Patch drüber bügeln, dann im nur in XP / ME unter Eigeschaften von Arbeitsplatz die Systemwiederherstellung deaktivieren. Im Abgesicherten Modus starten und den Antivir drüberlaufen lassen ... Fertig!
 

---

Geschrieben von: Thomas Broda (Usernummer # 72) an :
 

Zitat:

---

Ursprünglich geschrieben von: HandsOnWax:
Bin gerade bei unserem Aussensdienst am fixen!

---

Viel Spaß!
 

---

Geschrieben von: HandsOnWax (Usernummer # 64) an :
 
Danke Thomas,sind nur etwa 100 Leute *örx*, gibt n langen Abend...
 

---

Geschrieben von: PigFace (Usernummer # 4299) an :
 
Außendienstler die sich direkt ins Internet einwählen können (unter Umgehung einer Firmen-Firewall) sollten IMO zumindest durch eine Personal Firewall geschützt sein. Ist zwar auch nicht das Gelbe vom Ei aber besser als gar kein Schutz. Und gerade in diesem Fall hätte die PFW den Zugriff auf die Ports blockiert (korrekte Konfiguration vorausgesetzt).


 

---

Geschrieben von: kuazo (Usernummer # 8866) an :
 
Oh, hab es schon unter Netzwelt geschrieben, gehört das nicht eigentlich dahin? lol

Ein neuer Wurm ist im Umlauf, er bedient sich einer Sicherheitslücke von Windows ( Puffer Overflow Bug), die man nur durch einen Patch beheben kann!!! Das gute Stück nennt sich W32.Blaster.Worm oder W32/Lovsan.worm ( msblast.exe ) und versteckt sich im system32 Ordner! Ein infizierter Rechner sendet zudem RPC Nukes an potentielle Opfer, was zum Systemabsturz führen kann oder auch zum Absturz der svchost.exe!!! Dies wiederum führt zum Ausfall einiger Windowsfunktionen (activx, drag and drop, copy paste, verbindungstrennung unmöglich)!!! Wenn dieser Fall eintritt, ist die Sicherheitslücke von Windows ausgenutzt wurden und der Wurm ist möglicherweise auf deinem Computer! Eine Firewall zur Sicherheit wäre daher ebenfalls angebracht, allein schon um Portscans zu unterbinden!

Diese Nachricht schick ich, weil es sich nicht um einen von vielen Würmern handelt! Jeder Windows 2000 und Windows XP User kann infiziert werden, denn der Wurm verbreitet sich weder über Emails noch muß man eine Datei ausführen, er wandert von Rechner zur Rechnen, mit anderen worten man muß blos online sein und das wars...

W32.Blaster.Worm Removal Tool: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Windows Patch ( unten das Betriebsystem auswählen):
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

Forum Thread:
http://www.winhelpline.info/forum/showthread.php?s=cf0bb7b6771368a73e31c845c8b79d83&threadid=68890
 

---

Geschrieben von: suki (Usernummer # 1724) an :
 
es gibt jetzt insgesamt mindestens vier threads zum thema. vielleicht sollte man sich mal auf einen einigen.

http://technoforum.dyndns.org/public_html/ubb/ultimatebb.php?ubb=get_topic;f=6;t=004838

http://technoforum.dyndns.org/public_html/ubb/ultimatebb.php?ubb=get_topic;f=17;t=003707

http://technoforum.dyndns.org/public_html/ubb/ultimatebb.php?ubb=get_topic;f=21;t=004601
 

---

Geschrieben von: diebeidenohnenamen (Usernummer # 6584) an :
 
jepp, mir hat das gute stück gestern abend
auch einige probleme bereitet. der windows patch hat bei mir dann geholfen
 

---

Geschrieben von: mantis* (Usernummer # 3606) an :
 
Ich hab nur in sofern was mitbekommen das alle meine ICQ-Member gestern abend über plötzliche und unvermittelte Reboots klagten. : )
 

---

Geschrieben von: Prototyp (Usernummer # 8273) an :
 
krasser wurm, noch nie erlebt das sich einer so schnell und effizient ausbreitet, daß irc und die foren sind voll mit leuten die sich den eingefangen haben
 

---

Geschrieben von: DJ B-Side (Usernummer # 5926) an :
 
Das ist ne zimelich krasse Sache, ich hatte den Wurm auch auf der Platte sowas hab ich noch nie erlebt.
 

---

Geschrieben von: Octopus (Usernummer # 628) an :
 
ok... ich hab jetzt den Viren Scanner durchgejagt und die von Microsoft empfohlene Software installiert mein antivirus programm kann den Wurm aber nicht reparieren... entfernen... WAS TUN?????
 

---

Geschrieben von: suki (Usernummer # 1724) an :
 
es gibt von symantec ein tool zu entfernen des wurms:

http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
 

---

Geschrieben von: heraldo (Usernummer # 1844) an :
 
das seltsame ist, stinger & das symantec tool haben den virus bzw. wurm nicht gefunden. hab den ms-patch mal drauf & besorg mir jetzt ne ordentliche firewall.
 

---

Geschrieben von: Octopus (Usernummer # 628) an :
 
bohhh... ich fasse es nicht.. scheiß vieh endlich weg...
 

---

Geschrieben von: diebeidenohnenamen (Usernummer # 6584) an :
 
The process "msblast.exe" is viral. It is terminated.

Deleted the value "windows auto update" from the registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".




HA! erwischt! habe auch noch keinen wurm erlebt. der sich so erschreckend effizient ausbreiten
konnte. es ist einerseits faszinierend aber
andrerseits erchreckend. da sieht man mal,
was windoof doch für riesige sicherheitslücken
aufweist.
 

---

Geschrieben von: Darrien (Usernummer # 6129) an :
 
Man stelle sich nur mal vor, was man damit alles hätte anstellen können.
 

---

Geschrieben von: Elias@Rafael (Usernummer # 5404) an :
 
Boah, bin ich froh, dass er weg ist, hoffentlich kommt er nicht wieder!
 

---

Geschrieben von: H*P (Usernummer # 240) an :
 
Was ich nicht verstehe: seit nahezu 8 (!) Wochen wird auf die gefährliche Sicherheitslücke hingewiesen (und auf den Patch von MS).
Daheim hab ich den längst drauf gehabt - jedoch weis ich von 1000enden von betroffenen Usern ... pennen denn die SysAdmins???
 

---

Geschrieben von: Main Part Actor (Usernummer # 6901) an :
 

Zitat:

---

Ursprünglich geschrieben von: H*P:
Was ich nicht verstehe: seit nahezu 8 (!) Wochen wird auf die gefährliche Sicherheitslücke hingewiesen (und auf den Patch von MS).
Daheim hab ich den längst drauf gehabt - jedoch weis ich von 1000enden von betroffenen Usern ... pennen denn die SysAdmins???

---

Das ist das Problem - Erst wenn alles zu spät ist, wird laut um Hilfe gerufen, so das alle Anderen mit aufwachen und ebenfalls feststellen müssen, das sie es "erwischt" hat ;}

Ich habe selber 2 Tage mit dem Virus auf meinem Rechner gekämpft, der sich dort anscheinend schon ein paar Tage "eingenistet" hatte, und erst zum besagten "Großangriffstag" auf sich aufmerksam machte via XP Fehlermeldung "Remoteprozeduraufruf (RPC) unerwartet beendet..." Rechner wird in xx sec runtergefahren.

Ich will versuchen hier ein bischen die Tragweite des Viruses zu erklären und dazu ein paar Tips zu geben. Folgende Dateien werden oder sind befallen durch die Virusdatei "msblast.exe" die Gerüchten zufolge unmittelbar mit dem Backdoor Trojaner Virus "Backdoor.OptixPro.13" zusammenhängen soll.

rcimlby.exe
Windows XP Remoteunterstützung, steht in unmittelbarem Zusammenhang mit der RPC Fehlermeldung verursacht durch den Virus.

dhcpcsvc.dll
Mit verantwortlich für DHCP Client in Windows XP.

svchost.exe
"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mithilfe von Dynamic-Link Libraries (DLLs) ausgeführt werden.
Beim Start überprüft "sSvchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden. Jede "svchost.exe"-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen.

userenv.dll
In dieser Datei steht so ziemlich alles über den Benutzer drin, der die akutelle Sitzung betreibt.
Bie den meisten XP Heiminstallationen ist der normal Benutzer auch gleich der Admin, das heißt in der Datei ist so ziemlich alles an Zugriffen erlaubt was geht, und dementprechend kann auch alles hier problemlos von Aussen, in diesem Fall durch Virus infizierung, umgeschrieben e.g. eingeschränkt werden. Der User/Admin hat dann keine Eingriffsmöglichkeit mehr, und das ist so ziemlich das schlimmste was passieren kann.

Vorgehensweise :

Das Hauptproblem ist erst einmal das ständige runterfahren, verursacht durch den Virus, abzustellen, sodas man die Möglichkeit hat seine Virensoftware bzw. die nötige an Dateien aus dem Internet downzuloaden. Das automatisches herunterfahren kann durch Eingabe im
Ausführen Menupunkt (Start Menu > Ausführen)
von : "shutdown -a" unterbunden werden !

Dann sollte die Win XP Fehlermeldung inkl. des späteren Runterfahrens nicht mehr kommen.

Weitere Reihenfolge :
Unbedingt als aller erstes das Programm "Spy Bot -Search & Destroy" runterladen, und installieren !
Den Download findet ihr hier :
http://download.com.com/3001-2144-10194058.html
Da wie oben erwähnt vermutet wird, das der W32.Blastr Virus in unmittelbarem Zusammenhang mit einem Trojaner steht ist es ratsam vorher SpyBot zu installieren, und auszuführen. Alles was Spybot findet kann normalerweise bedenkenlos gelöscht werden.
Danach sollte man sich das W32.Blaster Remove Tool von Symantec holen. Den Download findet Ihr unter :
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

WICHTIG !
Bitte unbedingt die Beschreibung auf der Symantec Seite beachten. :
"If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details.
Solltet Ihr das nicht machen, dann habt Ihr bei der nächsten Systemwiederherstellung den gleichen Salat wie vorher.

Anmerkung :
Bei mir z.B. waren alle o.g. Dateien infiziert, über die "userenv.dll" wurden sämtliche Virenprogramme beim scannen im normalen Win XP Modus spätestens beim erreichen des Win System32 Ordners (vorzugsweise der Ort wo sich msblast.exe nierderlässt) gekillt ! Erst mehrmaliges rebooten in den Abgesicherten Modus (hochbooten F8 drücken) brachte den erhofften Erfolg.
Ein anderes Beispiel war, das plötzlich die Zugriffsrechte so eingeschränkt waren, das der Nutzer keinerlei Möglichkeiten mehr hatte auf seine 2. Festplatte zu zugreifen, um eine Datensicherung zu machen (!!)

Erst nachdem der Symantec Scan den Erfolg gebracht hat das Windows XP Update installieren !
Die jeweiligen Downloads findet Ihr unter :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Ihr solltet auch aber zur Sicherheit den Patch irgendwo aufbewahren, weil es wird davon ausgegangen das der Virus/Wurm spätestens am 16. August sämtliche MS Netze und Server/Systeme lahmgelegt hat, und somit keinerlei Möglichkeit mehr besteht an diesen Sicherheits Patch zu gelangen.


Noch was zum Schluss :
In sämtlichen PC Foren, wo dieses Problem hier zur Zeit natürlich Thema Nr.1 ist, ist mit Bestürzung festzustellen, das es der Großteil nicht für nötig hält, konstrukive und sinvolle Hilfestellug zu geben an Betroffne. es wird lieber vogezogen, sich lustig zu machen, oder absolut hirnrissige Comments abzulassen, die niemadem helfen. Diese traurige Tatsache usste ich leider auf meiner intensiven Hilfesuche im Internet feststellen.

mfG mPa
 

---

Geschrieben von: Stratos (Usernummer # 2080) an :
 
@ Main Part Actor

danke für die ausführliche hilfe! werde das ganze heute abend zuhause mal ausführen!

das krasse ist, dass ich selbst nach installieren des updates und des removel tools immer noch dasselbe problem hatte! ging ich dann online, entdeckte das antivirus programm den wurm und löschte ihn...kurze zeit später kam es wieder zum systemstart (RPC)!!

in anderen foren war anscheinend auch zu lesen, dass die hd neu formatiert werden müsse, wenn der patch wirkungslos ist..?? kann sowas sein??
 

---

Geschrieben von: Stratos (Usernummer # 2080) an :
 


vor lauter nervosität musste ich das ganze jetzt schon ausprobieren...leider ist das virus immer noch auf dem rechner!!¨

hab zuerst spy bot installiert und ausgeführt...

danach das remove tool gestartet...fand aber den wurm nicht!!!

dann hab ich nochmals den patch installiert...

und jetzt ging ich wieder online...2 minuten später, wieder die RPC meldung!!!

nach shutdown -a kam ne meldung vom virenscanner, dass das virus entfernt wurde... !!!

was soll ich nun machen? ich werd das ding nicht merh los...
 

---

Geschrieben von: H*P (Usernummer # 240) an :
 
Aus der CHIP (ACHTUNG unter Vorbehalt, bitte beachten das ich das nicht näher überprüft habe):

Falls ihr Rechner herunterfährt, können Sie dieses folgendermasen verhindern: Gehen Sie über "Start" auf "Ausführen ...", geben Sie "cmd" ein und bestätigen Sie mit "OK". In dem geöffneten DOS-Fenster geben sie jetzt "shutdown -a" ein und führen den Befehl aus. Jetzt fährt ihr Rechner nicht mehr automatisch herunter.

Registry-Editor: Zum entfernen des Wurms müssen Sie auch den passenden Eintrag in der Registry löschen.

Wurm-Entfernung leicht gemacht
Den Wurm werden Sie unter Windows XP los, indem Sie sich zuerst den von Microsoft angebotene Patch installieren. Unter Windows 2000 verwenden Sie den entsprechenden Win2000-Patch.

Entfernen Sie nun noch den Aufruf der Datei "MsBlast.EXE" aus dem Autostart. Gehen Sie dazu auf »Start | Ausführen…«, geben Sie "msconfig" ein und bestätigen Sie mit "OK". Im Fenster "Systemkonfigurationsprogramm" wählen sie den Reiter "Systemstart". Suchen Sie den Eintrag der Datei "Msblast.EXE" und entfernen Sie den Haken.

Als nächstes löschen Sie den Registry-Eintrag. Geben Sie dazu unter »Start | Ausführen … | regedit« ein, und bestätigen Sie mit "OK". Klicken Sie in dem Registry-Tool auf "Arbeitsplatz", und suchen Sie unter "HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run" nach "windows auto update". Der gefundenen Eintrag muss gelöscht und der Rechner neu gestartet werden. Anschließend lässt sich die Datei "blaster.exe" aus dem Systemverzeichnis löschen.
 

---

Geschrieben von: psychosonic (Usernummer # 417) an :
 
@h*p
...hmmm... vielleicht vorher den thread mal lesen?

 

---

Geschrieben von: Main Part Actor (Usernummer # 6901) an :
 

Zitat:

---

Ursprünglich geschrieben von: Stratos:
in anderen foren war anscheinend auch zu lesen, dass die hd neu formatiert werden müsse, wenn der patch wirkungslos ist..?? kann sowas sein??

---

Zitat:

---

Ursprünglich geschrieben von: Stratos:


vor lauter nervosität musste ich das ganze jetzt schon ausprobieren...leider ist das virus immer noch auf dem rechner!!¨

hab zuerst spy bot installiert und ausgeführt...

danach das remove tool gestartet...fand aber den wurm nicht!!!

dann hab ich nochmals den patch installiert...

und jetzt ging ich wieder online...2 minuten später, wieder die RPC meldung!!!

nach shutdown -a kam ne meldung vom virenscanner, dass das virus entfernt wurde... !!!

was soll ich nun machen? ich werd das ding nicht merh los...

---

Zitat:

---

Ursprünglich geschrieben von: kuazo:
ein format c: ist zwecklos!!! somal der wurm mit ziemlicher sicherheit auch im boot sector sitzt... mich würde mal interessieren wie oft man euch noch erzählen muß das der windows patch und das removal tool vollkommen ausreichen!?

*kopfschüttel*

---

Zitat:

---

Ursprünglich geschrieben von: kuazo:
ein format c: ist zwecklos!!! somal der wurm mit ziemlicher sicherheit auch im boot sector sitzt... mich würde mal interessieren wie oft man euch noch erzählen muß das der windows patch und das removal tool vollkommen ausreichen!?

*kopfschüttel*

---

2x Nein !

Der Wurm ist eingetlich ein Trojaner oder kommt in Zusammenhang mit einem Trojaner der wie oben beschrieben wichtige Systemdateien umgräbt, die Windows unter Umständen nicht vollständig repariert bzw. nicht ersetzen tut.
Wenn garnix mehr geht ist der sicherste Weg
die Platte zu Formatieren. Dazu sollte man aber um ganz sicher zu gehen mit Norten arbeiten.
Nicht umsonst weist Symantec ausrücklich darauf hin das komplette Systemrestore in Windows auszuschalten :

"If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details."

Sollte sich was in Deinem Bootsector festgesetzt haben, dann ist das eine der wenigen Ausnahmen, da sich anscheinend der Wurm/Virus von Computer zu Comuter oder besser von Installation zu Installation untersschiedlich verhält. Oder Du hast zusätzlich noch einen weiteren Virus auf Deinem Rechner, wobei der eine mit dem Anderen nix zu tun hat, ist auch möglich...
 

---

Geschrieben von: kuazo (Usernummer # 8866) an :
 
Erkläre mir bitte warum ein Neuaufsetzen des Systems nötig ist? Detailiert bitte, ich halte das für den größten Schwachsinn überhautp! Stütze deine Behauptungen mal mit Fakten!!!

Das es ein Wurm ist steht ja woh außer Frage!!!
Informiere dich doch mal was Trojan bedeutet, okay?


 

---

Geschrieben von: Striker (Usernummer # 3664) an :
 
wer glaubt, er hat was fieses im masterboot-sector drücke mal [windows]+[r], gebe "cmd" ein, und im consolenfenster dann "fdisk /mbr" . neuer masterboot, erledigt.

...wer keinen firewall hat, ist selbst schuld. und ein wurm, der seinen prozess nicht tarnt, is nich so wild oder?
 

---

Geschrieben von: meisterlein (Usernummer # 5940) an :
 
puh, scheint so als ob ich den scheiss los bin....
@mpa: danke, habe genau deine anweisungen befolgt und bis jetzt( 1h online) sieht es gut aus.
ihr "profis" könnt euch kaum vorstellen, wie eine durchschnittliche computerpfeife wie ich schwitzt(ok, das tun wir gerade alle), wenn auf einmal nix mehr geht und man nicht die leiseste spur einer ahnung hat was nun zu tun ist...
also, nochmal thx@mpa für die idiotensichere anleitung!
 

---

Geschrieben von: suki (Usernummer # 1724) an :
 
@mpa:
auch schon bevor du deine sehr ausführliche anleitung gepostet hast, gab es in drei verschiedenen threads tipps wie man vorgehen sollte und zudem mehrmals links auf entsprechende heise-artikel, die symantec-seite mit dem removal-tool und die microsoft-seite mit dem patch, wo auch noch mal erklärt wird, was los ist.

ist es verständlich, daß man über leute abgenervt ist, die, anstatt auch nur mal einen von den threads oder den links richtig durchzulesen, einfach nochmal rumquäken, daß sie nicht wissen, was sie machen sollen?
 

---

Geschrieben von: Stratos (Usernummer # 2080) an :
 


also an alle, die behaupten die vorgehensweise wird mit 100% sicherheit zum erfolg führen: bei mir funzt's nicht!!!!!!!!!!!!!!!

ich hab den patch installiert!! das problem ist, dass das remove tool findet den verdammten virus nicht!!!!!!!!!!!!!!!!!!!!!!!!!!!¨

benötige dringend hiiiiiiiiiiiiiiiiiiiiiiilfe......

bitte bitte bitte bitte!
 

---

Geschrieben von: Stratos (Usernummer # 2080) an :
 
also den virus den ich nich rief...werd ich nun auch nich los....

ich hab mir jetzt zone alarm besorgt, und ich krieg die ganze zeit meldungen von "blocks" vom TCT Port 135! sicherlich 50 alle halbe stunde!!

also, ich hab zuerst in panik nur den patch installiert, dies brachte keinen erfolg.

dann ging ich nach der anleitung von mpa vor. ich deaktivierte norton antivirus, weil dieses den wurm löschte und es somit nicht mehr möglich war, den wurm mittels remove tool zu entfernen.

jedenfalls startete ich das remove tool, welches dann auch den wurm entfernte. (system restore hab ich deaktiviert). danach installierte ich den update von microsoft. neustart...

aber: der sh!t nervt immer noch!

liegts vielleicht daran, dass ich system restore wieder aktiviert habe, nachdem ich den wurm entfernte und den patch installierte?

kann mir wirklich niemand helfen? oder bin ich einfach ne zu grosse pfeiffe um so einem wurm zu killen?

gruss stratos
 

---

Geschrieben von: MACHINEDRUM (Usernummer # 10334) an :
 
also auch in australien an der uni hat der der wurm mal soeben das ganze pc labor lahmgelegt.
bin echt froh das ich meinen laptop hier nicht fuers internet benutze ;-)
 

---

Geschrieben von: technohead1 (Usernummer # 5122) an :
 
so wie´s aussieht ist mein rechner einer der wenigen, die keinen virus haben. zumindest funzt alles wie immer...
kann es sein, dass meine ganz normale freeware-firewall(zonealarm)ausreichend schutz bietet???
 

---

Geschrieben von: XcypherX (Usernummer # 3451) an :
 
Firewall der Firma ruled anscheined auch... Ebenso war ich zu Hause (dank ZoneAlarm???? auch nicht betroffen). Das Patch hab ich aber trotzdem auf allen meiner Rechner eingespielt...
 

---

Geschrieben von: MDMAClub (Usernummer # 580) an :
 
Bei mir war auch nix. Hatte laut Firewall gestern abend mal drei oder vier Anfragen auf dem besagten Port, sonst aber wie gesagt nichts.

Ich guck mir jetzt die Schadensmeldungen an und überleg mir, warum einem überall eingepredigt wird, ne Firewall zu verwenden...
 

---

Geschrieben von: nicogrubert (Usernummer # 1292) an :
 

Zitat:

---

Ursprünglich geschrieben von: technohead1:
so wie´s aussieht ist mein rechner einer der wenigen, die keinen virus haben. zumindest funzt alles wie immer...
kann es sein, dass meine ganz normale freeware-firewall(zonealarm)ausreichend schutz bietet???

---

wenn die firewall besagten port (135 ?) nicht freigibt, dann ja :-)
 

---

Geschrieben von: technohead1 (Usernummer # 5122) an :
 
hab grad nachgesehen, dieser port wird tatsächlich des öfteren(ca. 1x pro minute)von zonealarm blockiert.
super-sache!
 

---

Geschrieben von: Prototyp (Usernummer # 8273) an :
 
Meine Norton Firewall hat zum Glück auch alles geblockt, auf höster Stufe kommt da nichts durch.

Langsam kommen die ersten gefährlichen Clone von W32Blast,da wid sicher noch einiges kommen.

http://www.heise.de/newsticker/data/dab-14.08.03-000/

[ 14.08.2003, 14:53: Beitrag editiert von: Prototyp ]
 

---

Geschrieben von: silicon (Usernummer # 503) an :
 
Shit! Mein Rechner ist infiziert. Habs gestern gemerkt als ich Files verschieben wollte und dauernd n Fehler in svchost.exe kam. So ein Dreck. Leider

PRUEFUNG_GESCHAEFTSFAEHIG
 

---

Geschrieben von: ShadowRa (Usernummer # 3781) an :
 
bietet n router mit IP verschlüsselung ausreichend schutz ?
weil bis etz bin ich noch nich betroffen und i hab net ma ne firewall *g*
 

---

Geschrieben von: Stratos (Usernummer # 2080) an :
 
hey leute leute...

weiss nicht ob ich jetzt virenfrei bin...?

die vorgehensweise von mpa erbrachte nicht den gewünschten erfolg..?

hab mir jetzt die zonealarm firewall geholt..dann das file msblast.exe im verzeichnis windows/prefetch gelöscht. nochmal das removel tool laufen lassen (hat nix gefunden) und den patch (nochmal) drüberinstalliert.

jetzt blocked die firewall ca. 100 angriffe pro stunde!! ist das normal?
 

---

Geschrieben von: diebeidenohnenamen (Usernummer # 6584) an :
 
soweit ich weiss, sind das nicht immer angriffe.
deine firewall schlägt schon alarm, wenn ein tool
deinen pc auf offene ports scannt. "wirkliche" angriffe sind wohl eher die ausnahme. auch wenn
ich ebenfalls zonealarm habe, einen wirklichen
hacker wird das wohl kaum aufhalten
 

---

Geschrieben von: funkyandy (Usernummer # 1493) an :
 
zum glück bin ich NOCH nicht auf XP umgestiegen *g*
werd mich mal aufraffen nächste woche XP draufzuspielen, aber ohne wurm
 

---

Geschrieben von: DJ Pult (Usernummer # 4571) an :
 
Ich glaube Du hast nicht ganz verstanden: XP IST der Wurm...
 

---

Geschrieben von: Prototyp (Usernummer # 8273) an :
 

Zitat:

---

Ursprünglich geschrieben von: DJ Pult:
Ich glaube Du hast nicht ganz verstanden: XP IST der Wurm...

---

 

---

Geschrieben von: Hyp Nom (Usernummer # 1941) an :
 
gibts den patch noch auf alternativen seiten? die links zu den microsoft-patchseiten antworten schon nicht mehr..
 

---

Geschrieben von: technohead1 (Usernummer # 5122) an :
 

Zitat:

---

Ursprünglich geschrieben von: DJ Pult:
Ich glaube Du hast nicht ganz verstanden: XP IST der Wurm...

---

Zitat:

---

eingebaute Firewall aktivieren

---

Zitat:

---

Ursprünglich geschrieben von: Stratos:
[QBjetzt blocked die firewall ca. 100 angriffe pro stunde!! ist das normal? [/QB]

---

Zitat:

---

Ursprünglich geschrieben von: Hyp Nom:
gibts den patch noch auf alternativen seiten? die links zu den microsoft-patchseiten antworten schon nicht mehr..

---

ich könnte dir den patch für XP geben,wenn dir das weiterhilft
 

---

Geschrieben von: Stratos (Usernummer # 2080) an :
 
ich weiss nicht was los ist? hab ich das virus noch? oder ist's weg? die svchost.exe will die ganze zeit aufs internet zugreifen. dies hab ich bis jetzt immer mittels zonealarm verhindert...

ist das der virus? kann mir jmd. helfen??
 

---

Geschrieben von: robert.birnbaum@lycos.de (Usernummer # 10124) an :
 
anscheinend wird mein liebes windows 98 doch verschont von dem würmchen. oder freue ich mich zu früh und das ding kommt umso fieser von hinten?
 

---

Geschrieben von: technohead1 (Usernummer # 5122) an :
 
@robert
soviel ich weiß ist windows 95/98/ME von der sache nicht betroffen.
lasse mich aber gerne eines besseren belehren...
 

---

Geschrieben von: robert.birnbaum@lycos.de (Usernummer # 10124) an :
 
habe ich auch so gehört. der patch ist auch nur für windows 2000 und xp und aufwärts.
 

---

Geschrieben von: HandsOnWax (Usernummer # 64) an :
 
Es gibt Patche für XP (32 u. 64 Bit), 2000 und NT 4.0.
Die Patch-Seite von MS ist wohl schon down, wer einen Patch für XP oder 2000 (deutsch oder englisch) braucht, schicke mir eine PM mit seiner Email.
 

---

Geschrieben von: silicon (Usernummer # 503) an :
 
so,
hab jetzt dieses symantec-teil rödeln lassen. fast 1 std. für alle files. jetzt ist er gelöscht, sygate pw installiert, bestimmt schon 30 blocks seit dem online-gehen, aber der wurm bleibt anscheinend draußen.

ziemlich nervig das ganze. wohl der größte hammer 2003. wenns für linux reason geben würde, ich würde sofort umsteigen.

cheers,
silicon
 

---

Geschrieben von: Largon (Usernummer # 7331) an :
 
Ich mache die letzten 2 Tage auch schon viel Pannen-Hilfe für ahnungslose Windows-Nutzer aus dem Freundeskreis.
Die wundern sich immer das der Rechner runterfährt wenn Sie ins Internet wollen.

Bei mir selber ist dank Patch und Firewall Ruhe
 

---

Geschrieben von: alex [sAf] (Usernummer # 449) an :
 
Aufpassen beim Patchen muß man auch noch, der MS Patch funktioniert z.b. nicht richtig mit dem Service Pack 2 von Mikrosoft - plötzlich hat man als Admin keine Rechte mehr :-/
 

---

Geschrieben von: oskar (Usernummer # 7383) an :
 


ok, hab hier ein 2k Rechner.
Die svchost.exe verursacht beim surfen einen Fehler, der das verlassen des Internets nur noch durch einen Neustart zulässt. Ansonsten bemerke ich kein Performanceverlußt oder anderen Probleme.
Damit ich mich in Zukunft vor all dem digitalen Dreck halbwegs schützen kann wollte ich darauf verzichten mit diesem Rechner online zu gehen.

Nun meine Frage:
wenn ich mein System schön freiformatiere, das 2k neuinstalliere und auf das Internet surfen mit diesem Arbeitsrecher verzichte, kann ich mich dann vor dieser Art Würmern sicher fühlen? Sind sie nach einer Formatierung wirklich weg vom Fenster?
 

---

Geschrieben von: Thomas Broda (Usernummer # 72) an :
 
Windows 98 ist nicht betroffen, da hier keine RPCs zum Einsatz kommen, die als Ausgangs- bzw. Zielpunkt für den Angriff verwendet werden.

Bei der Gelegenheit sollten sich gerade Windows-User, die per DSL und Quasi-Standleitung online gehen, dringend überlegen, ob sie ihre Systeme nicht mit einem dazwischengeschalteten Proxy, der Microsoft-frei ist, schützen möchten.
 

---

Geschrieben von: Prototyp (Usernummer # 8273) an :
 
Die Update Server werden wohl nicht mehr lange erreichbar sein da sie langsam unter druck geraten, heise.de hat deshalb die patches auf ihre Server drauf gespielt.

http://www.heise.de/newsticker/data/ghi-15.08.03-000/
Alle die vielleicht noch einen patch brauchen finden da die links.
 

---

Geschrieben von: DJ Pult (Usernummer # 4571) an :
 

Zitat:

---

Ursprünglich geschrieben von: philipp:
Das Ding ist besser als sein Ruf! Wenn man 'ne Lizenz hat und immer schön vom Autoupdate die Sicherheitspatches einspielt ist es sogar halbwegs sicher

---

Zitat:

---

svchost.exe
"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mithilfe von Dynamic-Link Libraries (DLLs) ausgeführt werden.
Beim Start überprüft "sSvchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden. Jede "svchost.exe"-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen.

---

Zone Alarm fragt:
Do you want to allow Generic Host Process for Win32 Services to act as a server

Aplication svchost.exe


soll ichs erlauben ?
hab angst das dieses prog. irgendwas noch mit dem wurm od. anderen viren zu tun hat.

gruß martin
 

---

Geschrieben von: D99X (Usernummer # 3577) an :
 
Zone Alarm fragt mich das bei jedem Start .
ich brauche eine Entscheidung


dank euch
 

---

Geschrieben von: Largon (Usernummer # 7331) an :
 
Wenn es die Richtige svchost.exe unter C:\Windows\System32 ist dann darf Sie nicht blockiert werden.

Aber vorsicht:
Da der svchost unter WinXP zahlreiche dlls (auch Nicht-Windows-dlls) gruppiert, und ständig mehrere svchost-Prozesse laufen, die z.T. auch Zugriff auf's Netz beanspruchen, werden schätzungsweise über 90% der Anwender nicht darauf achten, in welchem Ordner sich siese svchost.exe befindet, und sie folglich gewähren lassen.
Wenn sich diese svchost.exe aber in einem anderen Ordner als dem Windows-Systemordner befindet, handelt es sich um den BlueCode-Wurm oder den Cozit-Wurm oder den Trojaner Litmus oder...oder...oder...
 

---

Geschrieben von: Stratos (Usernummer # 2080) an :
 
@ largon

mhmm...also ich hab hier auf meinem rechner zwei svchost.exe gefunden!

diesen hier:

SVCHOST.EXE-3530F672.pf

im verzeichnis windows/prefetch

und die hier:

svchost.exe

im verzeichnis windows/system32

ist das der wurm?? oh oh...kann ich das ding löschen?
 

---

Geschrieben von: Mad Raven (Usernummer # 8559) an :
 

Zitat:

---

Ursprünglich geschrieben von: Stratos:

jetzt blocked die firewall ca. 100 angriffe pro stunde!! ist das normal?

---