|
Autor
|
Thema: W32 Wurm Epidemie
|
Flo van Hof
Usernummer # 5983
|
verfasst
hola!
hab ein problem...
bei mir kommt häufig die meldung in der art:
Windows muss neu gestartet werden, da der Remoteprozeduraufruf (RPC) unerwartet beendet wurde...
Dann zählt er 60 sekunden rückwärts und bootet...
Virus?
Was kann ich tun?
Ach ja, initiated by NT- Autorität System steht auch dabei....
Hilfe!
[ 12.08.2003, 15:51: Beitrag editiert von: Flo van Hof ]
|
Aus: Hagen | Registriert: May 2002
| IP: [logged]
| |
|
|
Striker
100
Usernummer # 3664
|
verfasst
da is wohl ein systemdienst abgeschmiert. kuck mal im ereignisprotokoll, da sollte stehen welcher.
viel glück
|
Aus: Berlin/Frankfurt | Registriert: Aug 2001
| IP: [logged]
| |
|
|
TMG3
Usernummer # 774
|
verfasst
gleiches phänomen mit gleicher fehlermeldung hat ein kumpel von mir gestern auch feststellen müssen.
angeblich soll's ein trojaner sein - google doch einfach mal nach dem text der fehlermeldung!
grüße,
tobi
|
Aus: freiburg im breisgau | Registriert: Jul 2000
| IP: [logged]
| |
|
|
|
|
swift2002
Usernummer # 5519
|
verfasst
http://cert.uni-stuttgart.de/ticker/article.php?mid=1124 (thanks to brain$ucker vom USB)
probiert diesen Patch, hat bei mir auch geholfen, das ist ja die reinste Epedemie...
Bis jetzt weiß ich schon von mindesten 10 Kumpels, dass sie seit gestern Abend das gleiche Problem hatten.
Mit dem Patch ist wieder alles i.O.!!!
Unter dem oben angegebenen Link ist auch erklärt, was da genau abgegangen ist, ich hab das Fachchinesich jedoch nicht ganz entwirren können.
|
Aus: Berlin | Registriert: Apr 2002
| IP: [logged]
| |
|
|
Flo van Hof
Usernummer # 5983
|
verfasst
So, Patch ist drauf...
jetzt erst mal abwarten...
THNX to all.
Scheint ja echt ein dicker Brummer zu sein!
|
Aus: Hagen | Registriert: May 2002
| IP: [logged]
| |
|
|
HandsOnWax
Funky Bratwurst
Usernummer # 64
|
verfasst
Bin gerade bei unserem Aussensdienst am fixen!
Folgende Vorgehensweise:
msblast.exe Prozess beenden
beide msblast.exe aus windows(winnt)\system32 und \prefetch löschen
passenden winodws patch downloaden ![[hand]](graemlins/hand.gif) click
Symantec Patch downloaden click
Danach den Windows-Patch drüber bügeln, dann im nur in XP / ME unter Eigeschaften von Arbeitsplatz die Systemwiederherstellung deaktivieren. Im Abgesicherten Modus starten und den Antivir drüberlaufen lassen ... Fertig!
|
Aus: Gießen | Registriert: Dec 1999
| IP: [logged]
| |
|
|
Thomas Broda
BassFiMass PhonkAggressor
Usernummer # 72
|
verfasst
Zitat:
Ursprünglich geschrieben von: HandsOnWax:
Bin gerade bei unserem Aussensdienst am fixen!
Viel Spaß! ![[smilesmile]](graemlins/smilesmile.gif)
|
Aus: Jux und Dollerei | Registriert: Dec 1999
| IP: [logged]
| |
|
|
HandsOnWax
Funky Bratwurst
Usernummer # 64
|
verfasst
Danke Thomas,sind nur etwa 100 Leute *örx*, gibt n langen Abend...
|
Aus: Gießen | Registriert: Dec 1999
| IP: [logged]
| |
|
|
PigFace
500
Usernummer # 4299
|
verfasst
Außendienstler die sich direkt ins Internet einwählen können (unter Umgehung einer Firmen-Firewall) sollten IMO zumindest durch eine Personal Firewall geschützt sein. Ist zwar auch nicht das Gelbe vom Ei aber besser als gar kein Schutz. Und gerade in diesem Fall hätte die PFW den Zugriff auf die Ports blockiert (korrekte Konfiguration vorausgesetzt).
![[piggy]](graemlins/piggy.gif)
|
Aus: Somewhere in the skeleton | Registriert: Nov 2001
| IP: [logged]
| |
|
|
kuazo
noch nicht registriert
|
verfasst
Oh, hab es schon unter Netzwelt geschrieben, gehört das nicht eigentlich dahin? lol
Ein neuer Wurm ist im Umlauf, er bedient sich einer Sicherheitslücke von Windows ( Puffer Overflow Bug), die man nur durch einen Patch beheben kann!!! Das gute Stück nennt sich W32.Blaster.Worm oder W32/Lovsan.worm ( msblast.exe ) und versteckt sich im system32 Ordner! Ein infizierter Rechner sendet zudem RPC Nukes an potentielle Opfer, was zum Systemabsturz führen kann oder auch zum Absturz der svchost.exe!!! Dies wiederum führt zum Ausfall einiger Windowsfunktionen (activx, drag and drop, copy paste, verbindungstrennung unmöglich)!!! Wenn dieser Fall eintritt, ist die Sicherheitslücke von Windows ausgenutzt wurden und der Wurm ist möglicherweise auf deinem Computer! Eine Firewall zur Sicherheit wäre daher ebenfalls angebracht, allein schon um Portscans zu unterbinden!
Diese Nachricht schick ich, weil es sich nicht um einen von vielen Würmern handelt! Jeder Windows 2000 und Windows XP User kann infiziert werden, denn der Wurm verbreitet sich weder über Emails noch muß man eine Datei ausführen, er wandert von Rechner zur Rechnen, mit anderen worten man muß blos online sein und das wars...
W32.Blaster.Worm Removal Tool: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
Windows Patch ( unten das Betriebsystem auswählen):
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
Forum Thread:
http://www.winhelpline.info/forum/showthread.php?s=cf0bb7b6771368a73e31c845c8b79d83&threadid=68890
|
|
|
|
diebeidenohnenamen
Usernummer # 6584
|
verfasst
jepp, mir hat das gute stück gestern abend
auch einige probleme bereitet. der windows patch hat bei mir dann geholfen
|
Aus: Köln | Registriert: Jul 2002
| IP: [logged]
| |
|
|
mantis
flp-User
Usernummer # 3606
|
verfasst
Ich hab nur in sofern was mitbekommen das alle meine ICQ-Member gestern abend über plötzliche und unvermittelte Reboots klagten. : )
|
Aus: . | Registriert: Aug 2001
| IP: [logged]
| |
|
|
Prototyp
Usernummer # 8273
|
verfasst
krasser wurm, noch nie erlebt das sich einer so schnell und effizient ausbreitet, daß irc und die foren sind voll mit leuten die sich den eingefangen haben
|
Aus: Berlin | Registriert: Jan 2003
| IP: [logged]
| |
|
|
DJ B-Side
Usernummer # 5926
|
verfasst
Das ist ne zimelich krasse Sache, ich hatte den Wurm auch auf der Platte sowas hab ich noch nie erlebt.
|
Aus: Detroit :D | Registriert: May 2002
| IP: [logged]
|  |
|
|
Octopus
2000
Usernummer # 628
|
verfasst
ok... ich hab jetzt den Viren Scanner durchgejagt und die von Microsoft empfohlene Software installiert mein antivirus programm kann den Wurm aber nicht reparieren... entfernen... WAS TUN?????
|
Aus: BW/NRW | Registriert: Jun 2000
| IP: [logged]
| |
|
|
|
|
heraldo
Usernummer # 1844
|
verfasst
das seltsame ist, stinger & das symantec tool haben den virus bzw. wurm nicht gefunden. hab den ms-patch mal drauf & besorg mir jetzt ne ordentliche firewall.
|
Aus: Augsburg City | Registriert: Jan 2001
| IP: [logged]
|   |
|
|
Octopus
2000
Usernummer # 628
|
verfasst
bohhh... ich fasse es nicht.. scheiß vieh endlich weg... ![[computah]](graemlins/computah.gif)
|
Aus: BW/NRW | Registriert: Jun 2000
| IP: [logged]
| |
|
|
diebeidenohnenamen
Usernummer # 6584
|
verfasst
The process "msblast.exe" is viral. It is terminated.
Deleted the value "windows auto update" from the registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".
![[erschiess]](graemlins/erschiess.gif)
HA! erwischt! habe auch noch keinen wurm erlebt. der sich so erschreckend effizient ausbreiten
konnte. es ist einerseits faszinierend aber
andrerseits erchreckend. da sieht man mal,
was windoof doch für riesige sicherheitslücken
aufweist.
|
Aus: Köln | Registriert: Jul 2002
| IP: [logged]
| |
|
|
Darrien
Usernummer # 6129
|
verfasst
Man stelle sich nur mal vor, was man damit alles hätte anstellen können.
|
Aus: und vorbei | Registriert: May 2002
| IP: [logged]
| |
|
|
Elias@Rafael
Soulseeker
Usernummer # 5404
|
verfasst
Boah, bin ich froh, dass er weg ist, hoffentlich kommt er nicht wieder!
|
Aus: Krefeld | Registriert: Mar 2002
| IP: [logged]
| |
|
|
H*P
VisioLab
Usernummer # 240
|
verfasst
Was ich nicht verstehe: seit nahezu 8 (!) Wochen wird auf die gefährliche Sicherheitslücke hingewiesen (und auf den Patch von MS).
Daheim hab ich den längst drauf gehabt - jedoch weis ich von 1000enden von betroffenen Usern ... pennen denn die SysAdmins???
|
Aus: Aus dem größten Dorf der Welt - München | Registriert: Feb 2000
| IP: [logged]
| |
|
|
Main Part Actor
Usernummer # 6901
|
verfasst
Zitat:
Ursprünglich geschrieben von: H*P:
Was ich nicht verstehe: seit nahezu 8 (!) Wochen wird auf die gefährliche Sicherheitslücke hingewiesen (und auf den Patch von MS).
Daheim hab ich den längst drauf gehabt - jedoch weis ich von 1000enden von betroffenen Usern ... pennen denn die SysAdmins???
Das ist das Problem - Erst wenn alles zu spät ist, wird laut um Hilfe gerufen, so das alle Anderen mit aufwachen und ebenfalls feststellen müssen, das sie es "erwischt" hat ;}
Ich habe selber 2 Tage mit dem Virus auf meinem Rechner gekämpft, der sich dort anscheinend schon ein paar Tage "eingenistet" hatte, und erst zum besagten "Großangriffstag" auf sich aufmerksam machte via XP Fehlermeldung "Remoteprozeduraufruf (RPC) unerwartet beendet..." Rechner wird in xx sec runtergefahren.
Ich will versuchen hier ein bischen die Tragweite des Viruses zu erklären und dazu ein paar Tips zu geben. Folgende Dateien werden oder sind befallen durch die Virusdatei "msblast.exe" die Gerüchten zufolge unmittelbar mit dem Backdoor Trojaner Virus "Backdoor.OptixPro.13" zusammenhängen soll.
rcimlby.exe
Windows XP Remoteunterstützung, steht in unmittelbarem Zusammenhang mit der RPC Fehlermeldung verursacht durch den Virus.
dhcpcsvc.dll
Mit verantwortlich für DHCP Client in Windows XP.
svchost.exe
"svchost.exe" ist ein allgemeiner Hostprozessname für Dienste, die mithilfe von Dynamic-Link Libraries (DLLs) ausgeführt werden.
Beim Start überprüft "sSvchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können mehrere Instanzen von "Svchost.exe" gleichzeitig ausgeführt werden. Jede "svchost.exe"-Sitzung kann eine eigene Gruppe von Diensten enthalten, sodass in Abhängigkeit davon, wie und wo "Svchost.exe" gestartet wird, verschiedene Dienste ausgeführt werden können. Dies sorgt für eine bessere Kontrolle und ein einfacheres Debuggen.
userenv.dll
In dieser Datei steht so ziemlich alles über den Benutzer drin, der die akutelle Sitzung betreibt.
Bie den meisten XP Heiminstallationen ist der normal Benutzer auch gleich der Admin, das heißt in der Datei ist so ziemlich alles an Zugriffen erlaubt was geht, und dementprechend kann auch alles hier problemlos von Aussen, in diesem Fall durch Virus infizierung, umgeschrieben e.g. eingeschränkt werden. Der User/Admin hat dann keine Eingriffsmöglichkeit mehr, und das ist so ziemlich das schlimmste was passieren kann.
Vorgehensweise :
Das Hauptproblem ist erst einmal das ständige runterfahren, verursacht durch den Virus, abzustellen, sodas man die Möglichkeit hat seine Virensoftware bzw. die nötige an Dateien aus dem Internet downzuloaden. Das automatisches herunterfahren kann durch Eingabe im
Ausführen Menupunkt (Start Menu > Ausführen)
von : "shutdown -a" unterbunden werden !
Dann sollte die Win XP Fehlermeldung inkl. des späteren Runterfahrens nicht mehr kommen.
Weitere Reihenfolge :
Unbedingt als aller erstes das Programm "Spy Bot -Search & Destroy" runterladen, und installieren !
Den Download findet ihr hier :
http://download.com.com/3001-2144-10194058.html
Da wie oben erwähnt vermutet wird, das der W32.Blastr Virus in unmittelbarem Zusammenhang mit einem Trojaner steht ist es ratsam vorher SpyBot zu installieren, und auszuführen. Alles was Spybot findet kann normalerweise bedenkenlos gelöscht werden.
Danach sollte man sich das W32.Blaster Remove Tool von Symantec holen. Den Download findet Ihr unter :
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
WICHTIG !
Bitte unbedingt die Beschreibung auf der Symantec Seite beachten. :
"If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details.
Solltet Ihr das nicht machen, dann habt Ihr bei der nächsten Systemwiederherstellung den gleichen Salat wie vorher.
Anmerkung :
Bei mir z.B. waren alle o.g. Dateien infiziert, über die "userenv.dll" wurden sämtliche Virenprogramme beim scannen im normalen Win XP Modus spätestens beim erreichen des Win System32 Ordners (vorzugsweise der Ort wo sich msblast.exe nierderlässt) gekillt ! Erst mehrmaliges rebooten in den Abgesicherten Modus (hochbooten F8 drücken) brachte den erhofften Erfolg.
Ein anderes Beispiel war, das plötzlich die Zugriffsrechte so eingeschränkt waren, das der Nutzer keinerlei Möglichkeiten mehr hatte auf seine 2. Festplatte zu zugreifen, um eine Datensicherung zu machen (!!)
Erst nachdem der Symantec Scan den Erfolg gebracht hat das Windows XP Update installieren !
Die jeweiligen Downloads findet Ihr unter :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Ihr solltet auch aber zur Sicherheit den Patch irgendwo aufbewahren, weil es wird davon ausgegangen das der Virus/Wurm spätestens am 16. August sämtliche MS Netze und Server/Systeme lahmgelegt hat, und somit keinerlei Möglichkeit mehr besteht an diesen Sicherheits Patch zu gelangen.
Noch was zum Schluss :
In sämtlichen PC Foren, wo dieses Problem hier zur Zeit natürlich Thema Nr.1 ist, ist mit Bestürzung festzustellen, das es der Großteil nicht für nötig hält, konstrukive und sinvolle Hilfestellug zu geben an Betroffne. es wird lieber vogezogen, sich lustig zu machen, oder absolut hirnrissige Comments abzulassen, die niemadem helfen. Diese traurige Tatsache usste ich leider auf meiner intensiven Hilfesuche im Internet feststellen.
mfG mPa
|
Aus: Out in the Wild | Registriert: Aug 2002
| IP: [logged]
| |
|
|
Stratos
Usernummer # 2080
|
verfasst
@ Main Part Actor
danke für die ausführliche hilfe! werde das ganze heute abend zuhause mal ausführen!
das krasse ist, dass ich selbst nach installieren des updates und des removel tools immer noch dasselbe problem hatte! ging ich dann online, entdeckte das antivirus programm den wurm und löschte ihn...kurze zeit später kam es wieder zum systemstart (RPC)!!
in anderen foren war anscheinend auch zu lesen, dass die hd neu formatiert werden müsse, wenn der patch wirkungslos ist..?? kann sowas sein??
|
Aus: Zentralschweiz | Registriert: Mar 2001
| IP: [logged]
| |
|
|
Stratos
Usernummer # 2080
|
verfasst
![[help]](graemlins/help.gif)
vor lauter nervosität musste ich das ganze jetzt schon ausprobieren...leider ist das virus immer noch auf dem rechner!!¨
hab zuerst spy bot installiert und ausgeführt...
danach das remove tool gestartet...fand aber den wurm nicht!!!
dann hab ich nochmals den patch installiert...
und jetzt ging ich wieder online...2 minuten später, wieder die RPC meldung!!!
nach shutdown -a kam ne meldung vom virenscanner, dass das virus entfernt wurde... !!!
was soll ich nun machen? ich werd das ding nicht merh los...
|
Aus: Zentralschweiz | Registriert: Mar 2001
| IP: [logged]
| |
|
|
H*P
VisioLab
Usernummer # 240
|
verfasst
Aus der CHIP (ACHTUNG unter Vorbehalt, bitte beachten das ich das nicht näher überprüft habe):
Falls ihr Rechner herunterfährt, können Sie dieses folgendermasen verhindern: Gehen Sie über "Start" auf "Ausführen ...", geben Sie "cmd" ein und bestätigen Sie mit "OK". In dem geöffneten DOS-Fenster geben sie jetzt "shutdown -a" ein und führen den Befehl aus. Jetzt fährt ihr Rechner nicht mehr automatisch herunter.
Registry-Editor: Zum entfernen des Wurms müssen Sie auch den passenden Eintrag in der Registry löschen.
Wurm-Entfernung leicht gemacht
Den Wurm werden Sie unter Windows XP los, indem Sie sich zuerst den von Microsoft angebotene Patch installieren. Unter Windows 2000 verwenden Sie den entsprechenden Win2000-Patch.
Entfernen Sie nun noch den Aufruf der Datei "MsBlast.EXE" aus dem Autostart. Gehen Sie dazu auf »Start | Ausführen…«, geben Sie "msconfig" ein und bestätigen Sie mit "OK". Im Fenster "Systemkonfigurationsprogramm" wählen sie den Reiter "Systemstart". Suchen Sie den Eintrag der Datei "Msblast.EXE" und entfernen Sie den Haken.
Als nächstes löschen Sie den Registry-Eintrag. Geben Sie dazu unter »Start | Ausführen … | regedit« ein, und bestätigen Sie mit "OK". Klicken Sie in dem Registry-Tool auf "Arbeitsplatz", und suchen Sie unter "HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run" nach "windows auto update". Der gefundenen Eintrag muss gelöscht und der Rechner neu gestartet werden. Anschließend lässt sich die Datei "blaster.exe" aus dem Systemverzeichnis löschen.
|
Aus: Aus dem größten Dorf der Welt - München | Registriert: Feb 2000
| IP: [logged]
| |
|
|
psychosonic
laberbacke
Usernummer # 417
|
verfasst
@h*p
...hmmm... vielleicht vorher den thread mal lesen?
|
Aus: köln | Registriert: Apr 2000
| IP: [logged]
| |
|
|
Main Part Actor
Usernummer # 6901
|
verfasst
Zitat:
Ursprünglich geschrieben von: Stratos:
in anderen foren war anscheinend auch zu lesen, dass die hd neu formatiert werden müsse, wenn der patch wirkungslos ist..?? kann sowas sein??
Definitive Aussage : Ja !
Allerdings gibt es ein Trostpflaster, mit der Eingabe von "Format C:" sind nicht gleich alle Daten weg ! Windows XP erkennt kurz daruf in der Folgeinstallation, das vorher eine Windows System drauf war, und fragt ob es repariert werden soll !
Ich kann mit guten Gewissen sagen das dise Option unbedingt zu wählen ist. Nach erneuter Freischaltung sind schwupps die wupps wieder alle (!!!) Datein und alten Verzeichnisstrukturen da - ohne Virus wohlgemerkt. Sollte das Symantec Remove Tool nicht wirken, ruhig mehrmals laufen lassen, irgedwann klapps. Ggf. auch mal den Abgesichrten Modus versuchen, und da das Tool laufen lassen.
Ein paar nützliche Tips zur Win XP Wiederherstellungskonsole + Bootmenu findet Ihr hier :
http://itmanager.zdnet.de/story/0,,t419-s2103811-p2,00.html
http://www.winreport.info/PagEd-page_id-148.html
|
Aus: Out in the Wild | Registriert: Aug 2002
| IP: [logged]
| |
|
|
kuazo
noch nicht registriert
|
verfasst
ein format c: ist zwecklos!!! somal der wurm mit ziemlicher sicherheit auch im boot sector sitzt... mich würde mal interessieren wie oft man euch noch erzählen muß das der windows patch und das removal tool vollkommen ausreichen!?
*kopfschüttel*
|
|
Main Part Actor
Usernummer # 6901
|
verfasst
Zitat:
Ursprünglich geschrieben von: Stratos:
vor lauter nervosität musste ich das ganze jetzt schon ausprobieren...leider ist das virus immer noch auf dem rechner!!¨
hab zuerst spy bot installiert und ausgeführt...
danach das remove tool gestartet...fand aber den wurm nicht!!!
dann hab ich nochmals den patch installiert...
und jetzt ging ich wieder online...2 minuten später, wieder die RPC meldung!!!
nach shutdown -a kam ne meldung vom virenscanner, dass das virus entfernt wurde... !!!
was soll ich nun machen? ich werd das ding nicht merh los...
Wenn ich richtig gelesen habe, vermisse ich den Schritt des Windows XP Sicherheits Updates !
Den sollte man natürlich nach entfernen des Viruses gleich installieren, so hatte ich es aber in einzel Schritten oben erklärt. Wenn man das natürlich nicht macht, und gleich nach entfernen des Wurm wieder online geht, hat man das was Du beschreiben hast, nämlich den gleichen Mist wie vorher ;}
Unabhängig davon ist unbedingt eine Firewall zu installieren und umgehend auf den neusten Stand zu bringen. Meines erachtens bringt ein Freeware Progge wie Zonealar meistens schon dengewünschten Erfolg. Vorausgesetzt, wie erwähnt, frisch upgedated.
|
Aus: Out in the Wild | Registriert: Aug 2002
| IP: [logged]
| |
|
|
Ferris
Symmetriaden
Usernummer # 2530
|
verfasst
Zitat:
Ursprünglich geschrieben von: kuazo:
ein format c: ist zwecklos!!! somal der wurm mit ziemlicher sicherheit auch im boot sector sitzt... mich würde mal interessieren wie oft man euch noch erzählen muß das der windows patch und das removal tool vollkommen ausreichen!?
*kopfschüttel*
Ich glaub das reicht nur bei Win2000. Bei XP sieht die Sache was komplizierter aus.
|
Aus: Bonn | Registriert: Apr 2001
| IP: [logged]
| |
|
|
Main Part Actor
Usernummer # 6901
|
verfasst
Zitat:
Ursprünglich geschrieben von: kuazo:
ein format c: ist zwecklos!!! somal der wurm mit ziemlicher sicherheit auch im boot sector sitzt... mich würde mal interessieren wie oft man euch noch erzählen muß das der windows patch und das removal tool vollkommen ausreichen!?
*kopfschüttel*
2x Nein !
Der Wurm ist eingetlich ein Trojaner oder kommt in Zusammenhang mit einem Trojaner der wie oben beschrieben wichtige Systemdateien umgräbt, die Windows unter Umständen nicht vollständig repariert bzw. nicht ersetzen tut.
Wenn garnix mehr geht ist der sicherste Weg
die Platte zu Formatieren. Dazu sollte man aber um ganz sicher zu gehen mit Norten arbeiten.
Nicht umsonst weist Symantec ausrücklich darauf hin das komplette Systemrestore in Windows auszuschalten :
"If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details."
Sollte sich was in Deinem Bootsector festgesetzt haben, dann ist das eine der wenigen Ausnahmen, da sich anscheinend der Wurm/Virus von Computer zu Comuter oder besser von Installation zu Installation untersschiedlich verhält. Oder Du hast zusätzlich noch einen weiteren Virus auf Deinem Rechner, wobei der eine mit dem Anderen nix zu tun hat, ist auch möglich...
|
Aus: Out in the Wild | Registriert: Aug 2002
| IP: [logged]
| |
|
|
kuazo
noch nicht registriert
|
verfasst
Erkläre mir bitte warum ein Neuaufsetzen des Systems nötig ist? Detailiert bitte, ich halte das für den größten Schwachsinn überhautp! Stütze deine Behauptungen mal mit Fakten!!!
Das es ein Wurm ist steht ja woh außer Frage!!!
Informiere dich doch mal was Trojan bedeutet, okay?
![[lach]](graemlins/lach.gif)
|
|
Striker
100
Usernummer # 3664
|
verfasst
wer glaubt, er hat was fieses im masterboot-sector drücke mal [windows]+[r], gebe "cmd" ein, und im consolenfenster dann "fdisk /mbr" . neuer masterboot, erledigt.
...wer keinen firewall hat, ist selbst schuld. und ein wurm, der seinen prozess nicht tarnt, is nich so wild oder?
|
Aus: Berlin/Frankfurt | Registriert: Aug 2001
| IP: [logged]
| |
|
|
meisterlein
217cup 2oo4
Usernummer # 5940
|
verfasst
puh, scheint so als ob ich den scheiss los bin....
@mpa: danke, habe genau deine anweisungen befolgt und bis jetzt( 1h online) sieht es gut aus.
ihr "profis" könnt euch kaum vorstellen, wie eine durchschnittliche computerpfeife wie ich schwitzt(ok, das tun wir gerade alle), wenn auf einmal nix mehr geht und man nicht die leiseste spur einer ahnung hat was nun zu tun ist...
also, nochmal thx@mpa für die idiotensichere anleitung!
|
Aus: heidelberg south central | Registriert: May 2002
| IP: [logged]
| |
|
|
suki
Usernummer # 1724
|
verfasst
@mpa:
auch schon bevor du deine sehr ausführliche anleitung gepostet hast, gab es in drei verschiedenen threads tipps wie man vorgehen sollte und zudem mehrmals links auf entsprechende heise-artikel, die symantec-seite mit dem removal-tool und die microsoft-seite mit dem patch, wo auch noch mal erklärt wird, was los ist.
ist es verständlich, daß man über leute abgenervt ist, die, anstatt auch nur mal einen von den threads oder den links richtig durchzulesen, einfach nochmal rumquäken, daß sie nicht wissen, was sie machen sollen?
|
Aus: berlin | Registriert: Jan 2001
| IP: [logged]
| |
|
|
Stratos
Usernummer # 2080
|
verfasst
![[confused]](graemlins/confused.gif)
also an alle, die behaupten die vorgehensweise wird mit 100% sicherheit zum erfolg führen: bei mir funzt's nicht!!!!!!!!!!!!!!!
ich hab den patch installiert!! das problem ist, dass das remove tool findet den verdammten virus nicht!!!!!!!!!!!!!!!!!!!!!!!!!!!¨
benötige dringend hiiiiiiiiiiiiiiiiiiiiiiilfe......
bitte bitte bitte bitte!
|
Aus: Zentralschweiz | Registriert: Mar 2001
| IP: [logged]
| |
|
|
Stratos
Usernummer # 2080
|
verfasst
also den virus den ich nich rief...werd ich nun auch nich los.... ![[mad]](graemlins/mad.gif)
ich hab mir jetzt zone alarm besorgt, und ich krieg die ganze zeit meldungen von "blocks" vom TCT Port 135! sicherlich 50 alle halbe stunde!!
also, ich hab zuerst in panik nur den patch installiert, dies brachte keinen erfolg.
dann ging ich nach der anleitung von mpa vor. ich deaktivierte norton antivirus, weil dieses den wurm löschte und es somit nicht mehr möglich war, den wurm mittels remove tool zu entfernen.
jedenfalls startete ich das remove tool, welches dann auch den wurm entfernte. (system restore hab ich deaktiviert). danach installierte ich den update von microsoft. neustart...
aber: der sh!t nervt immer noch!
liegts vielleicht daran, dass ich system restore wieder aktiviert habe, nachdem ich den wurm entfernte und den patch installierte?
kann mir wirklich niemand helfen? oder bin ich einfach ne zu grosse pfeiffe um so einem wurm zu killen?
gruss stratos
|
Aus: Zentralschweiz | Registriert: Mar 2001
| IP: [logged]
| |
|
|
Druckversion