Seite 1 von 1
Fehlermeldung seit dem Morgen des 12. August 2003
Verfasst: Di 12 Aug, 2003 2:35 pm
von dragonfire
Hy, Ihr
Bekomme seit heute morgen immer eine Fehlermeldung auf den Tisch gelegt, dass der Rechner sich in (ab) 60 Sekunden abschaltet.
Hängt mit der Remotefunktion (RPC) zusammen.
Nun habe ich es hingekriegt diese wieder abzustellen, kann also länger als 2-3 Minuten online sein, aber sie hat mir alles durcheinander gebracht.
Normalerweise habe ich T-online für alles (mail, browser etc.) aber jetzt verlangt Windows XP von mir, dass ich Outlook und den Internet-Explorer benutzen soll.
Hat jemand sonst noch diese Meldung bekommen, und kann mir evtl. verraten, wie ich die alten Konfigurationen wieder hinbekomme?
PS: Kann ich hier gar keine Anhänge beifügen????
Verfasst: Di 12 Aug, 2003 2:42 pm
von Soltano
Das hier hab ich im Warcraft Guide geschrieben (als News) sollte auch dir helfen
Einige von euch haben es sicher schon gehört oder gar am eigenen Leibe gespürt: Plötzlich kommt ein Fenster in dem steht Windows müsse neugestartet werden, dann ist da noch der Countdown und innerhalb einer Minute macht der PC einen neustart.
Ursprung ist eine schwachstelle im Win XP System, welche ein paar Hacker genutzt haben um kleine attacken los zu lassen (nuken).
Also das müsst ihr tun damit dem neustarten ein Ende gesetzt wird:
Im Menü "Start" unter Ausführen den Befehl "shutdown -a" eingeben, anschließend habt ihr 30min Zeit um diesen Windows Patch hier zu dlen:
http://download.microsoft.com/download/ ... 86-DEU.exe
Diesen installiert ihr und danach sollte wieder alles normal laufen
Es ist ein kleiner Trojaner der die Datei msblast.exe im System32 braucht
Verfasst: Di 12 Aug, 2003 4:27 pm
von vyper
Soltano hat geschrieben:
Es ist ein kleiner Trojaner der die Datei msblast.exe im System32 braucht
Bei dem kleinen Programm handelt es sich nicht um einen Trojaner sondern um einen Wurm - W32/Blaster (der hat mich heute den ganzen Tag gekostet, da bei uns über 10 rechner infiziert waren).
Nähere Informationen gibt es unter
http://www.cert.org/advisories/CA-2003-20.html
Tot ziens
Vyper
Verfasst: Di 12 Aug, 2003 7:11 pm
von Heckler & Kochen
Und wie bekommt man ihn wieder los?
Verfasst: Di 12 Aug, 2003 7:20 pm
von Thies
Rhizinusöl - das vernichtet alle Würmer im Magen
Scherz beiseite, die neueste Virendateien Deines hoffentlich vorhandenen Virenscanners herunterladen und Festplatten checken lassen. Oder hier klicken:
http://www.trendmicro.com/vinfo/virusen ... _MSBLAST.A
und wenn das nicht hilft:
http://www.diabolo666-board.com/showthr ... adid=14642
Auch Symantec der Hersteller von Norton Anti-Virus stellt bereits ein Tool zur Beseitigung des W32.blaster unter
http://www.symantec.com/avcenter/venc/d ... .tool.html
CU
Frank-Andre
Verfasst: Di 12 Aug, 2003 7:32 pm
von Thies
Das habe ich gerade eben noch gefunden, was man machen muss, wenn man sich den Wurm eingefangen hat:
Also falls ihr den Wurm habt:
Patch von Microsoft saugen.
Durch Strg + Alt + Tab die Wurmdatei schließen.
Inet Verbindung kappen.
Patch installieren.
Neustart.
Frank-Andre
Verfasst: Mi 13 Aug, 2003 8:45 am
von dragonfire
Hy, Ihr
So, habe jetzt den Patch von Mircrosoft runtergeladen, gleich meinen Norton Virusscanner auf den neusten Stand gebracht, und T-online wieder eingestellt.
Jetzt läuft (noch) alles wieder so, wie es soll, bis zum nächsten Mal
War aber eine Arbeit von fast 1 1/2 Tagen. Toll, habe eigentlich Besseres zu tun.
Danke für Eure Hilfe
Verfasst: Mi 13 Aug, 2003 2:28 pm
von dragonfire
Hy,
Ich habe jetzt nochmal in aller Ruhe geguckt, weil ich immernoch die Meldung bekomme, dass sich auf meinem Rechner der Virus doch noch befinden soll.
Habe eine Datei gefunden, die sich so schimpft:
MSBLAST.EXE-09FF84F2.pf
Im Ordner c:\WINDOWS\Prefetch
11 KB
PF-Datei
FRAGE:
Kann ich die so einfach löschen, oder passiert mir dabei etwas????
Verfasst: Mi 13 Aug, 2003 2:42 pm
von Soltano
Kannst du löschen aber es gibt schon wieder eine neue Meldung der direkte Nachfolger von unserem Freund ist aufm Weg...
Verfasst: Mi 13 Aug, 2003 3:38 pm
von Heckler & Kochen
Sind auch die anderen Windos benutzer gefährdet?
Verfasst: Mi 13 Aug, 2003 7:42 pm
von dragonfire
Hy, Soltano
Gut, dann kann ich das also beruhigt löschen, DANKE
Aber mach mich nicht schwach, dann geh ich nicht mehr online
Wollen die uns ärgern????
Verfasst: Mi 13 Aug, 2003 8:50 pm
von Heckler & Kochen
Die wollen Bill Gates argern hab ich gehört!
Warum wieß ich nicht.
Verfasst: Do 14 Aug, 2003 9:12 am
von -Skulmar-
Heckler & Kochen hat geschrieben:Sind auch die anderen Windos benutzer gefährdet?
Meldung vom 26.07.2003 18:16 HEISE NEWS
Der Fehler betrifft alle Windows-Versionen ab Windows NT -- einschließlich des neuen Windows Server 2003. Außerdem hat sich herausgestellt, dass er entgegen Microsofts ursprünglicher Analyse nicht nur über den TCP-Port 135 ausgenutzt werden kann; dies ist auch über den UDP-Port 135 und die TCP-Ports 139 beziehungsweise 445 möglich. Microsoft hat sein englisches Advisory bereits entsprechend ergänzt. Dort weist Microsoft auch darauf hin, dass zusätzliche Dienste, die RPC nutzen, auch auf anderen Ports aktiv sein können -- verrät aber nicht, welche das sein könnten. Auf Mailinglisten ist zu lesen, dass über den Dienst ncacn_http prinzipiell auch ein Exploit über dessen Port 593 möglich sei. Sind auf einem Server zusätzlich auch noch COM Internet Services aktiviert (nicht per default), könne ein Angreifer den verwundbaren RPC-Dienst eventuell sogar über Port 80 erreichen.
meinst wohl ältere Versionen
also mit ME.98...95 bist du auf der sicheren Seite
Ich habe ihn nicht und kann Ihn auch nicht kriegen.
Es tut gut einer von " Gestern" zu sein.
naja wenn doch alle rechner im Haus die älteren Versionen hätten.....
Verfasst: Do 14 Aug, 2003 9:23 am
von -Skulmar-
ach ja der sinn des Virus
Blaster will etwas, und zwar von Microsoft.
Microsoft hingegen will, dass die User das Sicherheitspatch gegen die RPC-Sicherheitslücke installieren, so lange das noch geht. Denn Blaster will das gern unterbinden: Das Virus schließt einige Ports der befallenen PCs, öffnet etliche andere und bereitet eine Denial-of-Service-Attacke vor, die sich gewaschen hätte, wenn sie gelingt. Vom 15. August bis zum 31. Dezember planen die Blaster-Autoren, Microsoft unter Dauerfeuer zu nehmen. Zielpunkt der Attacke: Die Update-Seiten, über die man unter anderem die Sicherheitsloch-Flicken beziehen kann, die die Attacke vielleicht noch verhindern könnten.
Botschaft im Code des Blaster-Wurmes:
"Billy Gates why do you make this possible? Stop making money and fix your software!"
Verfasst: Do 14 Aug, 2003 9:36 am
von dragonfire
Hy, Ihr (kein ganz so fröhliches
mehr
)
Jetzt habe ich alles so gemacht, wie Ihr mir das gesagt habt, und heute morgen kam ein Auto-Update vom Norton. Alles artig installiert etc. .
Eben grad bekomm ich die Meldung, dass Norton schon wieder diesen Wurm gefunden hat.
Was habe ich denn jetzt noch vergessen? Oder ist das schon der Nachfolger
Ich glaube, ich leide schon unter Verfolgungswahn
Verfasst: Do 14 Aug, 2003 9:53 am
von Heckler & Kochen
Nein das glaub ich nicht das das der nächste Blasterwurm ist!
Wenn doch dann würde ich nicht bei Windows updaten bis grünes licht gegben ist.
Und dafür Norton updaten wenn du es weißt das es ein zweiten gibt.
Verfasst: Do 14 Aug, 2003 10:01 am
von -Skulmar-
ja wenn Northon denn warum gefunden hat kannste ihn ja löschen (durch Northo) oder net ?
naja was für ein OS haste denn....Xp oder ?
Der wurm versendet sich selbstständig an x-beliebige pcs weiter indem er einfach ip-adressen sucht die noch nicht den security patch von windows drauf haben. ja .
hier ist die software um den wurm zu entfernen. Aber vorher den security patch draufladen, sonst ist der wurm gleich wieder da!
Security-Patch
wahrscheinlich ist das bei dir passiert...du hast den einen Wurm gekillt...aber hast ihn jetzt wieder durchs INet bekommen...du brauchst nicht nur den Virus killer sonder auch denn Wurm schutz !
Verfasst: Do 14 Aug, 2003 11:39 am
von vyper
dragonfire hat geschrieben:
Eben grad bekomm ich die Meldung, dass Norton schon wieder diesen Wurm gefunden hat.
Hi Dragonfire,
besorg Dir von SOPHOS
http://www.sophos.com/misc/blastsfx.exe
die blastsfx.exe. Dieses Programm entfernt den Wurm zuverlässig. Anschließend undedigt den Patch aufspielen (wenn nicht bereits geschehen).
Übrigens bist Du auch mit einer Firewall auf der sicheren Seite (meinem Rechner ist z.B. dank Zonealarm nichts passiert).
Tot ziens
Vyper
Verfasst: Do 14 Aug, 2003 8:52 pm
von dragonfire
Verfasst: Mo 09 Feb, 2004 8:48 am
von DerOS2Prof
Du must mit rechter Taste auf Arbeitsplatz den Verwaltung aufrufen
nachher Auf Dienste und Anwendungen den auf Dienste den dort drin
Remoteprozedureaufruf suchen und auf den Dienst auf eigenschaften.
Den auf Widerherstellen und in allen 3 Fenster "Keine Aktion Ausführen"
nachher kannst den Zonealarm abstellen weil der ist Nervig.
