You are not logged in.

  • Login

61

Tuesday, August 12th 2003, 11:24am

12.08.2003 - 10:18 von HKD_FunBeatle

Virushelp


HTB, hat in einem Forum diesen Link gepostet der den Wurm beseitigt.
Die kritische Datei heisst MSblast.exe !
Wer diese Datei hat sollte die in dem Link angegebenen Massnahmen durchführen.




For our english speaking members: If you have some probs with the worm called msblast.exe, just follow the instructions from the link above. Additional check for some trojans, deactivate MSblast.exe in task manager and reboot your system.



Es sieht so aus als ob unser ganzer Clan befallen ist, hoffe der Link hilft euch weiter.

Hummi

Sage

Posts: 6,330

Location: Magdeburg

Occupation: GER

  • Send private message

62

Tuesday, August 12th 2003, 12:01pm

diese anleitung ist für das "ihr pc fährt sich in 60 sek runter" problem bzw systemabstürze wegen msblast.exe
eine anleitung für das problem unter win2k findet ihr unter der winxp anleitung :)



WinXP Anleitung von XX5|Deadi

1. start --> ausführen --> msconfig eingeben dann enter

2. unter dienste und unter systemstart nachschauen ob da noch irgendwo "msblast.exe" steht

3. wenn ja deaktivieren

4. NOCH NICHT NEU STARTEN

5. strg + alt + entf

6. im taskmanager unter prozesse nach "msblast.exe" suchen

7. wenn dieser prozess gerade läuft rechte maustaste drauf und diesen beenden

8. start --> suchen --> dateien und ordner

9. nach "msblast" suchen

10. wenn ihr die datei findet löschen (wenn ihr 2 dateien findet beide löschen)

11. reboot

12. microsoft sicherheitspatch runterladen und installieren

---> WinXP:
http://www.microsoft.com/downloads/detai…&displaylang=de

und

---> Win2K:
http://www.microsoft.com/downloads/detai…&displaylang=de


13. dannach sollte alles wieder gehen viel erfolg :/



__________________________________________________________________________________________



win2k anleitung by aD|MacKenzie:

1. start --> ausführen --> regedit eingeben dann enter

2. dann klickt ihr euch folgendermaßen durch die verzeichnisse: HKEY_LOCAL_MACHINE --> SOFTWARE --> Microsoft --> Window --> CurrentVersion --> Run

3. dann rechts den msblast.exe ausm autostart löschen

4. reboot

5. nach msblast.exe suchen und löschen

6. falls datei nicht gelöscht werden kann, unter Task-Manager (strg + alt + entf) --> Prozesse --> msblast.exe beenden und nochmal versuchen zu löschen

5. dannach sollte alles wieder gehen viel erfolg :/



euer XX5|Deadi

you can find me @ #vampirchen or #XX5 :>

mtw: http://www.mymtw.de/mtw2/users/showuser.aspx?user_id=42705




ps. um das "ihr pc fährt sich in 60 sek runter" fenster vorläufig zu beenden macht einfach:
start --> ausführen --> "shutdown -a" eingeben
dann enter somit wird das fenster vorläufig geschlossen und ihr könnt ih ruhe die schritte durchgehen (thx to Bass)

SenF_Ratbo

Professional

Posts: 1,634

Occupation: GER

  • Send private message

63

Tuesday, August 12th 2003, 12:14pm

hmmm... Terminator 3 fing doch genauso an...
Ich werd zur Sicherheit mal nen Bunker aufsuchen :D

DRDK_Sickboy

Intermediate

Posts: 251

Location: Salzburg, Österreich

Occupation: AUT

  • Send private message

64

Tuesday, August 12th 2003, 12:34pm

lol :bounce: :bounce: :bounce: :bounce: :bounce:

CheRusK

Intermediate

Posts: 450

Occupation: GER

  • Send private message

65

Tuesday, August 12th 2003, 12:38pm

lol zu geil hatte ich gestern auch und jetzt das beste:
ich hatte sofort die idee das es mit der sicherheitslücke zusammenhängt und hab sofort gepacht:)
war ja auch von ms als kritisch eingestuft.
boah bin ich schlau :D

SenF_Monster_

Intermediate

Posts: 273

Location: Kaufungen (Kassel)

Occupation: GER

  • Send private message

66

Tuesday, August 12th 2003, 12:52pm

hatte das acuh, scheint mir sich sehr verbreitet zu haben unser würmchen....

Posts: 1,611

Location: Mainz

Occupation: GER

  • Send private message

67

Tuesday, August 12th 2003, 1:14pm

8. start --> suchen --> dateien und ordner

Klasse das suchen Fenster geht ja nicht mal auf X(

  • "_JoD_Dragon" started this thread

Posts: 4,750

Location: Krefeld

Occupation: GER

  • Send private message

68

Tuesday, August 12th 2003, 1:48pm

Manchmal frag ich mich einfach ob manche leute überhaupt den thread LESEN oder nur überfliegen :rolleyes:

Da oben iss nen link mit nem symantec tool was ie MSBlast*exe und die regestry einträge automatisch löscht

danach booten
dann den Shutdown Patch ERNEUT AUFSPIELEN !! und nochmal booten dann haste null probs mehr :)

Frau EDIT

Damit du den Thread nicht nochmal lesen ääähh überfliegen musst ^^ hier der direkte Download von maddy :)

This post has been edited 1 times, last edit by "_JoD_Dragon" (Aug 12th 2003, 1:50pm)


_Nightmare_

Professional

Posts: 634

Location: Magdeburg

Occupation: GER

  • Send private message

69

Tuesday, August 12th 2003, 2:31pm

Quoted

Original von SIM_MARIO
8. start --> suchen --> dateien und ordner

Klasse das suchen Fenster geht ja nicht mal auf X(


ja ich musste da schon rebooten
und danach weiter machen wie oben beschrieben

hat bei mir auch gefunzt

Hummi

Sage

Posts: 6,330

Location: Magdeburg

Occupation: GER

  • Send private message

70

Tuesday, August 12th 2003, 3:04pm

Dieser Wurm kommt doch erst durch die ganzen scheis Patches von MS

Mein Windows is das std XP und es läuft super
Ich hab kein fuckin Wurm und keine Probs also wozu patchen?

  • "_JoD_Dragon" started this thread

Posts: 4,750

Location: Krefeld

Occupation: GER

  • Send private message

71

Tuesday, August 12th 2003, 3:19pm

Wenn du nix hast brauchste auch nix Patchen

Nur funzt mein ICS nur mit SP1 richtig
und durch SP1 bekommste halt die sicherheitslücke

Shit Happens iss halt M$ ^^

72

Tuesday, August 12th 2003, 3:29pm

Hm. Bei mir fing das ne h vor Clanwar an. Zuerst kam ein Update von ICQ das der ohne irgendwei nachzufragen und OHNE Bestätigung einfach gezogen hat. Ich dachte es hackt. Dann kam der Scheiss mit dem rebooten. Ich hab dann erstmal den Laptop genommen und bin mit dem über den Router ins Inet gegangen, in der Hoffnung das es dann gehen würde. Kurze Zeit später hatte ich dort den Fehler auch. Dann kam der Link zu dem MS-Patch den ich auch ausgeführt hatte (cw war scho vorbei). Seit dem ging im Inet nix mehr. Zuerst dachte ich es liegt an AoM, denn immer nachdem ich versuchte ins ESUxX zu kommen ging danach nix mehr mit Inet. Dann habe ich festgestellt das Inet schon funzt, nur leider so langsam das ich es nicht mal schaffte auf die OredE-Seite zu kommen und die is winzig. Jetzt schau mer mal ob das funzt.

hl_Mad_Dog

Intermediate

Posts: 345

Occupation: GER

  • Send private message

73

Tuesday, August 12th 2003, 4:08pm

ich muß dragon zustimmen!

ich dachte eigentlich immer, wer schreiben kann, der kann auch zwangsläufig lesen.
das scheint aber hier nicht auf enige user zuzutreffen.

also, nochmal was ihr machen müßt!

so werdet ihr den virus/worm los:
1. diesen patch downloaden und ausfüren + neustart.
http://download.microsoft.com/download/9…980-x86-DEU.exe

2. dieses tool (entfernt worm) downloaden und ausführen + neustart.
http://securityresponse.symantec.com/avcenter/FixBlast.exe

3. xp wieder geniessen...

This post has been edited 1 times, last edit by "hl_Mad_Dog" (Aug 12th 2003, 4:09pm)


curse

Professional

Posts: 892

Occupation: GER

  • Send private message

74

Tuesday, August 12th 2003, 4:17pm

das krasse an dem wurm ist doch, wie schnell man ihn sich nach dem entfernen wieder einfängt. ich hatte erst nur entfernt, ohne den patch zu ziehen.

nach dem ins internet gehen hatte ich den wurm so schnell wieder eingefangen (nix gestartet, kein outlook, icq oder sonstiges), dass nicht mal genug zeit blieb, das update zu ziehen.

wenn es beim nächstem wurm keine möglichkeit mehr gibt, das herunterfahren (oder was dann auch immer passiert) zu blocken, dann viel spass beim patch/virenentferner/sonstiges saugen ?(

das wird sicher noch lustig :D

Hummi

Sage

Posts: 6,330

Location: Magdeburg

Occupation: GER

  • Send private message

75

Tuesday, August 12th 2003, 4:42pm

gut dragon bei mir geht halt alles :)
hab auch kein shitty SP1 *vorurteil* ^_^

76

Tuesday, August 12th 2003, 4:47pm

hab den wurm mir heute morgen auch eingefangen...

Nach langem hin und her hab ich mit dem Symantec tool den Wurm entfern, dann Win 2k SP3 draufgemacht und den neuen Sicherheistpatch von MS, jetzt scheint wieder alls zu gehen ( z.B. copy und paste)


Das blöde war, ich konnte keinen Link mehr besuchen, es tat sich nicht, copy und paste funzte net, aber ein kleine Tip :

rechter Mausklick, dann zu Favoriten hinzu, dann über Favoriten rein gehen....

DS_El_Chef

Intermediate

Posts: 292

Location: Niedersachsen

Occupation: GER

  • Send private message

77

Tuesday, August 12th 2003, 5:41pm

Jo MSblast scheint nen Wurm zu sein, steht zumindest hier wo es auch ein Remove-Tool gibt.

MSBlast

Grüsse Cheffe

BitteLöschen!

Unregistered

78

Tuesday, August 12th 2003, 5:45pm

Quoted

Original von Hummi
Dieser Wurm kommt doch erst durch die ganzen scheis Patches von MS

Mein Windows is das std XP und es läuft super
Ich hab kein fuckin Wurm und keine Probs also wozu patchen?


Naja, weil dann vielleicht eine Inet seite anfangen kann deine festplatte zu formatieren?
Weil eine Inet Seite deine System dateien löschen kann?
Gibt viele Gründe zu patchen.

Achja, bei uns kam das gerade mit dem virus, denke mal, dass er das ist im Radio, am 16. soll er wohl irgendwie anfangen desturktiv zu werden, wenn die nicht von nem anderen geredet haben...

PS: Ich hab den verdammten wurm nicht:)

edit: Nicht destruktiv, DoS auf windowsupdate.com :)
der Heise link ist interrewssant

This post has been edited 1 times, last edit by "Edicius Tsaf" (Aug 12th 2003, 5:47pm)


Hummi

Sage

Posts: 6,330

Location: Magdeburg

Occupation: GER

  • Send private message

79

Tuesday, August 12th 2003, 5:45pm

hab eben gerade wieder 2 Leuten aus der Patsche geholfen

Ich habs net
Mein Bruder hats net
Aber Kumpels mit dem selben XP habens aber
Naja vllt wirkt unser Router wunder :)

EDIT: und allein das kommt doch auch nur eit dem 1. Patch
also du kannst mir nix erzählen
Router mit ner FW und nem anti-viren programm reichen locker aus.blöde MS Patches brauch ich nicht

This post has been edited 1 times, last edit by "Hummi" (Aug 12th 2003, 5:47pm)


80

Tuesday, August 12th 2003, 5:47pm

Ne Norton Firewall hilft wunder :)

81

Tuesday, August 12th 2003, 6:01pm

Ne Linux-Firewall auch^^.

82

Tuesday, August 12th 2003, 6:29pm

Und wenn ihr eure Firewall mal eben kurz abstellt, zu Testzwecken oder was auch immer, dann fährt gleich eure Kiste runter. Viel Spaß.

Ich frage mich überhaupt, was dieses Runterfahren mit dem Wurm zu tun hat. Passiert wohl bei einem Angriff, oder? Der Wurm selber, also msblast.exe richtet keinen Schaden auf dem Rechner an.

Man stelle sich mal vor, der Wurm hätte eine echte Schadensroutine, z.B. Platte formatieren.

Außerdem will ich noch anmerken, daß ich nicht glaube, daß der Wurm lange überlebt. Da offenbar bei jedem Verbreitungsversuch die Kiste runtergefahren werden muß, dürften alle Leute Gegenmaßnahmen ergreifen. Die Verbreitung ist einfach zu auffällig. Der große Angfriff am 16. wird wohl kaum gelingen, zumal er jetzt ja schon bekannt ist.

Posts: 1,611

Location: Mainz

Occupation: GER

  • Send private message

83

Tuesday, August 12th 2003, 6:35pm

das der wurm nix kaputt macht, stimmt.....aber durch starten der msblast.exe konnte einfacher auf den rechner zugegriffen werden


thx für die hilfe, bei mir ist jetzt alles wieder ok und ich bin schon seit 18min. am stück online :D



MFG.Mario :)

Hummi

Sage

Posts: 6,330

Location: Magdeburg

Occupation: GER

  • Send private message

84

Tuesday, August 12th 2003, 7:11pm

Ach doch schon 18 Minuten ?
Super Mario! Super! ;)

85

Tuesday, August 12th 2003, 9:37pm

so, schon ganze 44.33'

danke für die ausführliche hilfe!!!



PS: war gestern zufällig bei Mario, weil er dieses problem mit dem reboot hatte.............als ich weg ging, konnte er wieder problemlos ins netz, weil ich den RPC-Dienst geändert hatte.............zuhause angekommen, starte ich den pc, gehe nichtsahnend on und nach ca. 4 min. kommt dieses dumme fenster und er rebootet.......habe ihn dann nach dem reboot sofort ausgeschaltet und bin schlafen gegangen (war ja schon 2.30h)

aus diesem grunde, danke für die ausführliche hilfe................jetzt läuft wieder alles stabil

btw. sollte man diesen task (msblast) nicht aus dem autostart löschen, oder doch lieber zum beweis aufheben ?(

Imp_Vmax_

Professional

Posts: 766

Occupation: GER

  • Send private message

86

Tuesday, August 12th 2003, 10:08pm

Den Wurm kannst dir nur durch nen Buffer Overflow im RPC Dienst einfangen, der hört auf nen Systemport (135). Normalerweise sind fast alle Systemports (1-1024) bei ner Firewall oder nem Router geschützt, deswegen hab ich ihn auch nicht bekommen :)

Aber eigentlich isses ne Frechheit von MS Systemdienste unsicher zu programmieren, dazu kommt noch dass des Ding ja schon ewig unsicher war(schon ab NT4.0), es nur niemand gewusst hat. Normal sollte sowas gar nicht die QS Abteilung von MS verlassen.

Posts: 1,873

Location: GÖ

Occupation: GER

  • Send private message

87

Tuesday, August 12th 2003, 11:00pm

bei mri und ryu hat er sich noch weiter ausgebreitet. er ist in ziemlich vielen .exe dirn. zb cs

mein comp fährt zwar nicht mehr runter, aber zu löschen ist dieses ding einfach nicht, wie in der anleitung beschrieben.

und wenn der wurm dazu beitragen sollte, dass ms am 16.8. stillgelegt werden soll, wird er wohl nur ein vorreiter gewesen sein. durch die öffnung der ports durch den wurm, werden wir wohl jetzt den hauptvirus drauf haben.... ;(

Posts: 1,611

Location: Mainz

Occupation: GER

  • Send private message

88

Tuesday, August 12th 2003, 11:17pm

In SAT.1 gibst gleich ein Bericht drüber . 23.++ ca

Posts: 1,873

Location: GÖ

Occupation: GER

  • Send private message

89

Tuesday, August 12th 2003, 11:17pm

lol, der im code enthaltene text ist ja lustig:

"I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!"
:respekt: :D

Mr_Shotgun

Intermediate

Posts: 170

Occupation: GER

  • Send private message

90

Tuesday, August 12th 2003, 11:27pm

Über die Sicherheitslücke werden sicherlich sehr bald noch ganz andere Sachen kommen, also sollte sich wirklich jeder den Patch installieren.

btw: Firewalls stoppen zwar die Ausführung dieses Wurms, aber die schließen die Sicherheitslücke auch nicht wirklich. Wer den Patch nicht installiert ist selber schuld :rolleyes: