MastersForum

Gut dass ich den MS Patch schon vor ein paar Wochen installiert habe

Zitat

Original von SenF_EsoX

mein comp fährt zwar nicht mehr runter, aber zu löschen ist dieses ding einfach nicht, wie in der anleitung beschrieben.

welches problem hast du?
geht es um die exe-datei?
die kriegst du weg, indem du das schreibgeschützthäkchen weg machst und die datei löschst.sollte sie nicht verschwinden, oder ein problem angezeigt werden, dann ist sie beim nächsten hochfahren weg.

und wie du deinen pc ausmachst das weißt du ja.

ganz wichtig: die schritte vor dem löschen ausführen

Also ich habe Zone Alarm und absolut kein Problem.

Wie HKD_Shotgun, bereits erwähnt hat ist Rooter bzw. Firewall nur ein temporärer Schutz, die Sicherheitslücke besteht denoch. Ohne die Installation des Patchs kann es nach dem 16/08/2003 ein böses Erwachen geben.

Nur wer permanent die Firewall aktiviert hat ist geschützt, was aber wenn die Firewall mal kurz für Testzwecke abgestellt wird , desweiteren ist anzunehmen das dies nicht der letzte Angriff war.

Angst und Bange kann einem werden wenn ein Wurm/Virus wirklich die Formatierung der HD bewirkt, dann gute Nacht.

Zitat

Original von SenF_EsoX
bei mri und ryu hat er sich noch weiter ausgebreitet. er ist in ziemlich vielen .exe dirn. zb cs

dann haste noch nen anderen, dieser virus geht in keine exe dateien, ist für mich kein virus in dem sinne, eher ein trojaner

falls du noch probs hast kannste mich ja mal anrufen

gruß Jens

Shi*....
Ich hab' das Update jetzt auch runtergeladen, aber wenn ich das ausführen will kommt folgende Meldung:

"xpsp1hfm.exe ist keine zulässige Win32 Anwendung"

Welche Version des Updates habt ihr geladen? Die 32 Bit oder die 64 Bit?

EDIT: Ich abe jetzt gerade die Version gezogen die auf der ersten Seite verlinkt ist, jetzt hat's geklappt.
BiGTHX

Ich gehe mal davon aus das du das Thema ihr gelesen hast

Den habe ich drauf gemacht:

Blaster Worm: Critical Security Patch for Windows XP - Deutsch

Dateiname:
WindowsXP-KB823980-x86-DEU.exe

Downloadgröße:
1265 KB

Veröffentlichungsdatum:
16.07.2003

Version:
823980

http://www.microsoft.com/downloads/detai…&displaylang=de



MFG.MARIO

Ich habe das Update eben schon gezogen, bevor ich den Thread hier gelesen habe... *gg*

Zitat

Original von Hummi
diese anleitung ist für das "ihr pc fährt sich in 60 sek runter" problem bzw systemabstürze wegen msblast.exe
eine anleitung für das problem unter win2k findet ihr unter der winxp anleitung



WinXP Anleitung von XX5|Deadi

1. start --> ausführen --> msconfig eingeben dann enter

2. unter dienste und unter systemstart nachschauen ob da noch irgendwo "msblast.exe" steht

3. wenn ja deaktivieren

4. NOCH NICHT NEU STARTEN

5. strg + alt + entf

6. im taskmanager unter prozesse nach "msblast.exe" suchen

7. wenn dieser prozess gerade läuft rechte maustaste drauf und diesen beenden

8. start --> suchen --> dateien und ordner

9. nach "msblast" suchen

10. wenn ihr die datei findet löschen (wenn ihr 2 dateien findet beide löschen)

11. reboot

12. microsoft sicherheitspatch runterladen und installieren

---> WinXP:
http://www.microsoft.com/downloads/detai…&displaylang=de

und

---> Win2K:
http://www.microsoft.com/downloads/detai…&displaylang=de


13. dannach sollte alles wieder gehen viel erfolg :/



__________________________________________________________________________________________



win2k anleitung by aD|MacKenzie:

1. start --> ausführen --> regedit eingeben dann enter

2. dann klickt ihr euch folgendermaßen durch die verzeichnisse: HKEY_LOCAL_MACHINE --> SOFTWARE --> Microsoft --> Window --> CurrentVersion --> Run

3. dann rechts den msblast.exe ausm autostart löschen

4. reboot

5. nach msblast.exe suchen und löschen

6. falls datei nicht gelöscht werden kann, unter Task-Manager (strg + alt + entf) --> Prozesse --> msblast.exe beenden und nochmal versuchen zu löschen

5. dannach sollte alles wieder gehen viel erfolg :/



euer XX5|Deadi

you can find me @ #vampirchen or #XX5 :>

mtw: http://www.mymtw.de/mtw2/users/showuser.aspx?user_id=42705




ps. um das "ihr pc fährt sich in 60 sek runter" fenster vorläufig zu beenden macht einfach:
start --> ausführen --> "shutdown -a" eingeben
dann enter somit wird das fenster vorläufig geschlossen und ihr könnt ih ruhe die schritte durchgehen (thx to Bass)

So machen dann müßte es wieder gehen

Auch danke von mir

lang lebe mein win98se

Zitat

Original von MMC_Bismarck
Also ich habe Zone Alarm und absolut kein Problem.

Na, wenn das kein Problem ist. Der letzte Virus (glaube Bugbear hieß er) konnte ZA einfach abschalten. Deshalb nie Firewalls auf den zu schützenden PC installieren, da Sicherheitsrisiko! Durch ein Sicherheitsleck der Norten Firewall konnte man sogar auf PCs eindringen auf denen dieser Müll lief.
Ein Hardware-Router mit integrierter Firewalll oder ein alter PC mit Linux (z.B. FLI4L oder IPCop) ist deshalb besser und kostet auch nicht mehr. Ausserdem ist man noch zusätzlich gegen 0190-Dialern geschützt.

hmmm bei routern kann der wurm doch net eindringen da man alle ports selber öffnen muss und ich sowiso durch ne firewallim router geschütz bin besteht trotzdem das risiko einen zu bekommen

argh mein pc is irgendwie komplett im eimer (bin hier am alten win98 ) ... hab erst msblast irgendwie gelöscht, dann bei (voreilig?) unter verwaltung-dienste-rpc das neustarten deaktiviert und dann den ms-patch drüberinstalliert.
erst funktionierte alles problemlos, doch als ich den pc gestern abend nochmal hochfuhr, dauerte es erstens ewig, zweitens kam ich nichmehr ins inet (und andere macken) und drittens konnte ich dieses rpczeugs nich mehr aufrufen ("fehler 1058 usw.")...
hat jemand ein ähnliches problem bzw. kann mir wer weiterhelfen??

eieiei, hab ich grad eben im chipforum folgende beiträge gelesen:

"ACHTUNG:
die Deaktivierung des "Remoteprozeduraufruf (RPC )" in den Diensten kann fatale Folgen haben !!
Es ist anschliessend nicht mehr möglich in den Diensten einen Dienst auszuwählen. Auch die Eigenschaften eines Dienstes sind nicht mehr aufzurufen. Selbst drag & drop und copy & paste ist nicht mehr möglich. "

"Diesen Dienst darf man nicht deaktivieren. Der ist im Prinzip für jede Funktion des Systems verantwortlich. "

lalelu, sry für den tip, hat erst so schön funktioniert und jetz is alles im eimer; kein wunder dass mein pc nich mehr funzt...
wer mehr zu diesem problem weiß bidde POSTEN!

bin ich dann richtig, dass windows me nicht betroffen ist?

Mach eine Reperaturinstallation und die Dienste werden wieder gesetzt.

nur xp und 2000!!!!!!!!! [EDIT] und nt [/EDIT]


@GEC_Bats

zum glück habe ich bei mario das rpc nur auf "dienst neu starten" gestellt um das problem des absturzes zu vermeiden

Und was lernen wir daraus?? ---> Scheiß Microsoft!

Zitat

Original von GEC|Milchshake
Und was lernen wir daraus?? ---> Scheiß Microsoft!

wieso......gab doch einen sicherheitspatch

meine schwester hat ein kleines problem:

ihr pc wurde über RPC-Meldung runtergefahren

dachte direkt an den virus, aber sie hat weder im autostart was von msblast, noch die dateien auf der platte................ich vermute, es gibt noch einen schlimmeren virus, dessen dateien anders heißen, oder hat jemand ne andere lösung



EDIT: meinte natürlich unter prozesse

Du musst mit dem Taskmanger nachschauen ob die Msblast.exe als aktiver Prozess vorhanden ist nicht in autostart.

zitat:
--------------------------------------------------------------------------------
RPC/DCOM-Wurm W32.Blaster mutiert

Nach dem Auftauchen der ersten Variante WORM_RPCSDBOT über die bereits gestern berichtet wurde, sind weitere Mutationen von W32.Blaster alias Lovesan gesichtet worden. W32.Blaster.B und Blaster.C unterscheiden sich vom Ursprungsschädling nur durch die Umbenennung der Wurmdatei "msblast.exe" in "penis.exe" und "teekids.exe" sowie den entsprechend geänderten Einträgen in der Registry (HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run) unter "windows auto update" beziehungsweise ”Microsoft Inet xp..". Die Hersteller von Antivirensoftware haben ihre Signaturen auf den neuesten Stand gebracht und zum Download bereitgestellt.

Neben WORM_RPCSDBOT wird der Wurm auch als Transportmittel für weitere Trojaner mißbraucht. TROJ_MSBLAST.DRP ist eine Kombination aus W32.Blaster.C und dem Backdoor-Programm BKDR_LITH.103.A, das sich als ROOT32.EXE im Windows-Systemverzeichnis breit macht. Damit sind nun auch PCs von Heimanwendern direkt bedroht, da die Backdoor den Zugriff für jedermann auf das System ermöglicht. Bisher benutzte der Wurm die PCs nur als Verbreitungsplattform und hatte keine Schadfunktion.

Microsoft hat am 12. August, also dem Tag des Ausbruchs des Wurms, einen Artikel des Kolumnisten Tony Northrup auf seinen Seiten veröffentlicht, der den Einsatz von Firewalls empfiehlt. Darin werden sowohl Hardware-Firewalls als auch Personal-Firewalls beschrieben, mit denen Angriffe aus dem Internet abgeblockt werden können. Windows XP hat eine Software-Firewall bereits fest installiert, die bei vielen aber deaktiviert ist. Standardmäßig sollte sie auf DFÜ-Verbindungen aktiviert sein, einige ISDN-Karten benutzen aber proprietäre Schnittstellen, bei denen dies nicht der Fall ist.

Weitere Informationen zum Schutz:

Schutz vor RPC/DCOM-Wurm W32.Blaster

Weitere Informationen zu W32.Blaster:

W32.Blaster attackiert auch Nicht-Windows-Systeme
Weitere Details zum Wurm W32.Blaster
W32.Blaster befällt Hunderttausende von PCs
Alle Schotten dicht -- W32.Blaster greift an
(dab/c't)

Mir drängen sich ein paar Fragen auf:

1. Ich habe Norton Firewall und immer an - das Ding war trotzdem innerhalb von Sekunden auf meinem Rechner.

2. Wie kommt das Ding auf meinen Rechner? Muss da nicht irgendwie eine Art Zuweisung stattfinden, also wenn es eine Attacke von Außen ist, muss doch zumindest meine IP bekannt sein, oder? Ich war aber gerade erst online gegangen, also meine IP wusste höchstens mein Provider...

3. Wie verbreitet sich dieses Ding? Normalerweise kommen Null Daten auf meinen Rechner ohne meine Erlaubnis, dafür gibt es doch Firewalls---

4. Eher aus Interesse, kann man MS dafür verklagen? Schließlich dürfte enormer Schaden entstanden sein, vor allem auf Firmenrechnern. So ein derber Schnitzer muss doch einklagbar sein...

Zitat

Original von uNiQuE
Mir drängen sich ein paar Fragen auf:

4. Eher aus Interesse, kann man MS dafür verklagen? Schließlich dürfte enormer Schaden entstanden sein, vor allem auf Firmenrechnern. So ein derber Schnitzer muss doch einklagbar sein...

hi,

hier gibt's die Antwort:

IN KEINEM FALL KÖNNEN MSP, MICROSOFT UND/ODER DEREN LIEFERANTEN HAFTBAR GEMACHT WERDEN FÜR BESONDERE ODER INDIREKTE SCHÄDEN, FOLGESCHÄDEN ODER SONSTIGE SCHÄDEN, DIE AUS NUTZUNGSAUSFALL, VERLUST VON DATEN ODER ENTGANGENEM GEWINN RESULTIEREN - SEI ES BEI VERTRAGSGEMÄßER NUTZUNG ODER DURCH NACHLÄSSIGKEIT ODER SONSTIGE UNERLAUBTE HANDLUNG - UND DURCH DIE ODER IM ZUSAMMENHANG MIT DER VERWENDUNG VON AUF DIESEM SERVER VERFÜGBAREN SOFTWAREDOKUMENTEN ODER INFORMATIONEN ENTSTANDEN SIND.

ich weiß nicht, ob es im Lizenzvertrag, der zu jeder Software gehört, auch so drinsteht, vermute es aber..

Quelle:

http://www.microsoft.com/germany/siteser…m/copyright.htm

gruß
rosigu

@zitteraal: stylischer tip mit der reperaturinstallation, mittendrin wird die installation immer mit Fehler 426 (Signatur für winXPprof ungültig, dienst wurde nicht gestartet, produktkataloge konnten nicht intialisiert werden) abgebrochen...
davor bin ich wenigstens noch in winxp reingekommen; da hätt ich auch gleich formatieren können.

Noch ne blöde Frage:

Wieso kriege ich immernoch Meldungen über dieses Sicherheitsloch, nachdem ich gepatcht habe, die blaster-datei gar nicht auf dem Rechner hatte und mein Firewall aktiv ist?

Zitat

Original von S_MacLeod
meine schwester hat ein kleines problem:

ihr pc wurde über RPC-Meldung runtergefahren

dachte direkt an den virus, aber sie hat weder im autostart was von msblast, noch die dateien auf der platte................ich vermute, es gibt noch einen schlimmeren virus, dessen dateien anders heißen, oder hat jemand ne andere lösung

War bei mir auch so...

...hab dennoch mal den Patch installiert, mal sehen....

Mittlerweile sind auch einige "Mutationen" in Umlauf:

Bericht auf heise.de

fuck ich fürchte ich hab was anderes drauf - den blaster kann ich nicht finden und die Meldungen häufen sich

*help*