MastersForum

12.08.2003 - 10:18 von HKD_FunBeatle

Virushelp


HTB, hat in einem Forum diesen Link gepostet der den Wurm beseitigt.
Die kritische Datei heisst MSblast.exe !
Wer diese Datei hat sollte die in dem Link angegebenen Massnahmen durchführen.




For our english speaking members: If you have some probs with the worm called msblast.exe, just follow the instructions from the link above. Additional check for some trojans, deactivate MSblast.exe in task manager and reboot your system.



Es sieht so aus als ob unser ganzer Clan befallen ist, hoffe der Link hilft euch weiter.

diese anleitung ist für das "ihr pc fährt sich in 60 sek runter" problem bzw systemabstürze wegen msblast.exe
eine anleitung für das problem unter win2k findet ihr unter der winxp anleitung



WinXP Anleitung von XX5|Deadi

1. start --> ausführen --> msconfig eingeben dann enter

2. unter dienste und unter systemstart nachschauen ob da noch irgendwo "msblast.exe" steht

3. wenn ja deaktivieren

4. NOCH NICHT NEU STARTEN

5. strg + alt + entf

6. im taskmanager unter prozesse nach "msblast.exe" suchen

7. wenn dieser prozess gerade läuft rechte maustaste drauf und diesen beenden

8. start --> suchen --> dateien und ordner

9. nach "msblast" suchen

10. wenn ihr die datei findet löschen (wenn ihr 2 dateien findet beide löschen)

11. reboot

12. microsoft sicherheitspatch runterladen und installieren

---> WinXP:
http://www.microsoft.com/downloads/detai…&displaylang=de

und

---> Win2K:
http://www.microsoft.com/downloads/detai…&displaylang=de


13. dannach sollte alles wieder gehen viel erfolg :/



__________________________________________________________________________________________



win2k anleitung by aD|MacKenzie:

1. start --> ausführen --> regedit eingeben dann enter

2. dann klickt ihr euch folgendermaßen durch die verzeichnisse: HKEY_LOCAL_MACHINE --> SOFTWARE --> Microsoft --> Window --> CurrentVersion --> Run

3. dann rechts den msblast.exe ausm autostart löschen

4. reboot

5. nach msblast.exe suchen und löschen

6. falls datei nicht gelöscht werden kann, unter Task-Manager (strg + alt + entf) --> Prozesse --> msblast.exe beenden und nochmal versuchen zu löschen

5. dannach sollte alles wieder gehen viel erfolg :/



euer XX5|Deadi

you can find me @ #vampirchen or #XX5 :>

mtw: http://www.mymtw.de/mtw2/users/showuser.aspx?user_id=42705




ps. um das "ihr pc fährt sich in 60 sek runter" fenster vorläufig zu beenden macht einfach:
start --> ausführen --> "shutdown -a" eingeben
dann enter somit wird das fenster vorläufig geschlossen und ihr könnt ih ruhe die schritte durchgehen (thx to Bass)

hmmm... Terminator 3 fing doch genauso an...
Ich werd zur Sicherheit mal nen Bunker aufsuchen

lol

lol zu geil hatte ich gestern auch und jetzt das beste:
ich hatte sofort die idee das es mit der sicherheitslücke zusammenhängt und hab sofort gepacht
war ja auch von ms als kritisch eingestuft.
boah bin ich schlau

hatte das acuh, scheint mir sich sehr verbreitet zu haben unser würmchen....

8. start --> suchen --> dateien und ordner

Klasse das suchen Fenster geht ja nicht mal auf

Quoted

Original von SIM_MARIO
8. start --> suchen --> dateien und ordner

Klasse das suchen Fenster geht ja nicht mal auf

ja ich musste da schon rebooten
und danach weiter machen wie oben beschrieben

hat bei mir auch gefunzt

Dieser Wurm kommt doch erst durch die ganzen scheis Patches von MS

Mein Windows is das std XP und es läuft super
Ich hab kein fuckin Wurm und keine Probs also wozu patchen?

Hm. Bei mir fing das ne h vor Clanwar an. Zuerst kam ein Update von ICQ das der ohne irgendwei nachzufragen und OHNE Bestätigung einfach gezogen hat. Ich dachte es hackt. Dann kam der Scheiss mit dem rebooten. Ich hab dann erstmal den Laptop genommen und bin mit dem über den Router ins Inet gegangen, in der Hoffnung das es dann gehen würde. Kurze Zeit später hatte ich dort den Fehler auch. Dann kam der Link zu dem MS-Patch den ich auch ausgeführt hatte (cw war scho vorbei). Seit dem ging im Inet nix mehr. Zuerst dachte ich es liegt an AoM, denn immer nachdem ich versuchte ins ESUxX zu kommen ging danach nix mehr mit Inet. Dann habe ich festgestellt das Inet schon funzt, nur leider so langsam das ich es nicht mal schaffte auf die OredE-Seite zu kommen und die is winzig. Jetzt schau mer mal ob das funzt.

ich muß dragon zustimmen!

ich dachte eigentlich immer, wer schreiben kann, der kann auch zwangsläufig lesen.
das scheint aber hier nicht auf enige user zuzutreffen.

also, nochmal was ihr machen müßt!

so werdet ihr den virus/worm los:
1. diesen patch downloaden und ausfüren + neustart.
http://download.microsoft.com/download/9…980-x86-DEU.exe

2. dieses tool (entfernt worm) downloaden und ausführen + neustart.
http://securityresponse.symantec.com/avcenter/FixBlast.exe

3. xp wieder geniessen...

das krasse an dem wurm ist doch, wie schnell man ihn sich nach dem entfernen wieder einfängt. ich hatte erst nur entfernt, ohne den patch zu ziehen.

nach dem ins internet gehen hatte ich den wurm so schnell wieder eingefangen (nix gestartet, kein outlook, icq oder sonstiges), dass nicht mal genug zeit blieb, das update zu ziehen.

wenn es beim nächstem wurm keine möglichkeit mehr gibt, das herunterfahren (oder was dann auch immer passiert) zu blocken, dann viel spass beim patch/virenentferner/sonstiges saugen

das wird sicher noch lustig

gut dragon bei mir geht halt alles
hab auch kein shitty SP1 *vorurteil* ^_^

hab den wurm mir heute morgen auch eingefangen...

Nach langem hin und her hab ich mit dem Symantec tool den Wurm entfern, dann Win 2k SP3 draufgemacht und den neuen Sicherheistpatch von MS, jetzt scheint wieder alls zu gehen ( z.B. copy und paste)


Das blöde war, ich konnte keinen Link mehr besuchen, es tat sich nicht, copy und paste funzte net, aber ein kleine Tip :

rechter Mausklick, dann zu Favoriten hinzu, dann über Favoriten rein gehen....

Jo MSblast scheint nen Wurm zu sein, steht zumindest hier wo es auch ein Remove-Tool gibt.

MSBlast

Grüsse Cheffe

hab eben gerade wieder 2 Leuten aus der Patsche geholfen

Ich habs net
Mein Bruder hats net
Aber Kumpels mit dem selben XP habens aber
Naja vllt wirkt unser Router wunder

EDIT: und allein das kommt doch auch nur eit dem 1. Patch
also du kannst mir nix erzählen
Router mit ner FW und nem anti-viren programm reichen locker aus.blöde MS Patches brauch ich nicht

Ne Norton Firewall hilft wunder

Ne Linux-Firewall auch^^.

Und wenn ihr eure Firewall mal eben kurz abstellt, zu Testzwecken oder was auch immer, dann fährt gleich eure Kiste runter. Viel Spaß.

Ich frage mich überhaupt, was dieses Runterfahren mit dem Wurm zu tun hat. Passiert wohl bei einem Angriff, oder? Der Wurm selber, also msblast.exe richtet keinen Schaden auf dem Rechner an.

Man stelle sich mal vor, der Wurm hätte eine echte Schadensroutine, z.B. Platte formatieren.

Außerdem will ich noch anmerken, daß ich nicht glaube, daß der Wurm lange überlebt. Da offenbar bei jedem Verbreitungsversuch die Kiste runtergefahren werden muß, dürften alle Leute Gegenmaßnahmen ergreifen. Die Verbreitung ist einfach zu auffällig. Der große Angfriff am 16. wird wohl kaum gelingen, zumal er jetzt ja schon bekannt ist.

das der wurm nix kaputt macht, stimmt.....aber durch starten der msblast.exe konnte einfacher auf den rechner zugegriffen werden


thx für die hilfe, bei mir ist jetzt alles wieder ok und ich bin schon seit 18min. am stück online



MFG.Mario

Ach doch schon 18 Minuten ?
Super Mario! Super!

so, schon ganze 44.33'

danke für die ausführliche hilfe!!!



PS: war gestern zufällig bei Mario, weil er dieses problem mit dem reboot hatte.............als ich weg ging, konnte er wieder problemlos ins netz, weil ich den RPC-Dienst geändert hatte.............zuhause angekommen, starte ich den pc, gehe nichtsahnend on und nach ca. 4 min. kommt dieses dumme fenster und er rebootet.......habe ihn dann nach dem reboot sofort ausgeschaltet und bin schlafen gegangen (war ja schon 2.30h)

aus diesem grunde, danke für die ausführliche hilfe................jetzt läuft wieder alles stabil

btw. sollte man diesen task (msblast) nicht aus dem autostart löschen, oder doch lieber zum beweis aufheben

Den Wurm kannst dir nur durch nen Buffer Overflow im RPC Dienst einfangen, der hört auf nen Systemport (135). Normalerweise sind fast alle Systemports (1-1024) bei ner Firewall oder nem Router geschützt, deswegen hab ich ihn auch nicht bekommen

Aber eigentlich isses ne Frechheit von MS Systemdienste unsicher zu programmieren, dazu kommt noch dass des Ding ja schon ewig unsicher war(schon ab NT4.0), es nur niemand gewusst hat. Normal sollte sowas gar nicht die QS Abteilung von MS verlassen.

bei mri und ryu hat er sich noch weiter ausgebreitet. er ist in ziemlich vielen .exe dirn. zb cs

mein comp fährt zwar nicht mehr runter, aber zu löschen ist dieses ding einfach nicht, wie in der anleitung beschrieben.

und wenn der wurm dazu beitragen sollte, dass ms am 16.8. stillgelegt werden soll, wird er wohl nur ein vorreiter gewesen sein. durch die öffnung der ports durch den wurm, werden wir wohl jetzt den hauptvirus drauf haben....

In SAT.1 gibst gleich ein Bericht drüber . 23.++ ca

lol, der im code enthaltene text ist ja lustig:

"I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!"

Über die Sicherheitslücke werden sicherlich sehr bald noch ganz andere Sachen kommen, also sollte sich wirklich jeder den Patch installieren.

btw: Firewalls stoppen zwar die Ausführung dieses Wurms, aber die schließen die Sicherheitslücke auch nicht wirklich. Wer den Patch nicht installiert ist selber schuld