comp-wurm-hilfe

Öffentliches Forum für alle Diskussionen die in kein anderes Forum passen

comp-wurm-hilfe

Beitragvon Hel » Mi 12 Nov, 2003 09:29

Hab letztens meinen Computer neu aufgesetzt und bevor ich noch irgendein virusprogramm, firewall oder sonstiges installieren konnte hatte ich schon den netten W32.blaster.worm drauf. Der fährt nach einer gewissen Zeit den Computer herunter. Hab mir infos und tool bei symantec geholt aber irgendwie will der wurm nicht weg.

Hab tool normal ausgeführt > nix
Hab das tool im abgesicherten modus gestartet > nix.
Hab über den Befehl "SERVICES.MSC /S" in RPC "First failure, Second failure, and Subsequent failures" geändert auf "Restart the service (Dienst neu starten)" > nix
Hab auch die Systemwiederherstellungsfunktion zeitweilig deaktiviert

Hat da wer Erfahrung bzw kann da wer helfen?

lg Hels

Bild
╔════════╗
║.:ºSIGYNº:. ║, 60 Priest aka oaargaa Ferdl
╚════════╝
Benutzeravatar
Hel
Inaktiv
Knight
 
Beiträge: 345
Registriert: Mo 07 Apr, 2003 14:03
Wohnort: Wien

Beitragvon chorshais dreadbrood » Mi 12 Nov, 2003 09:45

w32blast? lass mich raten... t-online kunde? Naja... whatever... windowsupdate hilft auf jeden fall 8)
Trust will always end in betrayal... while trust hurts, betrayal kills!
chorshais dreadbrood
Inaktiv
Knight
 
Beiträge: 378
Registriert: Do 31 Jul, 2003 18:08

Beitragvon Dunkelzahn » Mi 12 Nov, 2003 09:48

Hehe ..

also:

1. Nicht der Wurm faehrt den Rechner runter - der Angriff schiesst Dir einen Prozess ab, welcher dann zur Folge hat, dass der Rechner runterfaehrt.

Was Du machen musst:

1. Vom Internet weg
2. Neu booten
3. MSBLAST.EXE oder aehnlichen Prozess abschiessen - Taskmanager
4. Systemwiederherstellung aus
5. MSBLAST.EXE (Oder Abart davon) löschen
6. AUTOSTART Eintrag in Registry entfernen
7. Rebooten
8. Systemwiderherstellung anmachen
9. Patch einspielen
10. Rechner wieder ans Netz ...

Bedeutet na klar den Patch davor auf die Platte zu kopieren oder auf CD zu haben.

Gruß
[size=9:352c57c880].,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,.
:guns: WOW: Blues (Hunter, Skinning / Leatherworking) ( 59 ) / Babsi (Priest, Mining / Blacksmith) ( 60 )
:onfire: EQ: Shadowblues (BRD) + Guggu (2ti) (WIZ) - in Rente
:angel: RL: Roger[/size:352c57c880]
Benutzeravatar
Dunkelzahn
Inaktiv
Commander
 
Alter: 53
Beiträge: 1129
Registriert: Mo 17 Mär, 2003 23:05
Wohnort: Aspach b. Stuttgart

Beitragvon Hel » Mi 12 Nov, 2003 09:48

nein chello und

Hab windows update gemacht allerdings installiert er die datein nicht. Also ich lade update runter und wenn fertig, schließt sich das Fenster und es passiert nix. *shrug*
╔════════╗
║.:ºSIGYNº:. ║, 60 Priest aka oaargaa Ferdl
╚════════╝
Benutzeravatar
Hel
Inaktiv
Knight
 
Beiträge: 345
Registriert: Mo 07 Apr, 2003 14:03
Wohnort: Wien

Beitragvon Naglafarn » Mi 12 Nov, 2003 09:52

Zwar scheinst du schon so weit zu sein, aber just for info:
Den Shutdown-Prozess kann man mittels Start -> Ausführen "shutdown -a" unterbinden.

Taugt das Symantec Tool nur bedingt viel.. ich bevorzuge die Stinger Variante von McAfee. Die findest du hier:
http://vil.nai.com/vil/stinger/

Ansonsten ist der Virus eigentlich nur genial weil er simpel gestrickt ist und System Resourcen nutzt die kein Virenscanner löscht, also wenn du dich traust:
1. Delete the msblast.exe file from your WINDOWS SYSTEM32 directory (typically c:\windows\system32 or c:\winnt\system32)

2. Delete the "windows auto update" value from
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

UND was gaaaaanz wichtig ist. Wenn du dir den Patch vom Microsoft nicht installiert hast, dann wirst du dir den Virus wieder geholt haben, bevor du ihn ganz removed hast. Also nutz die Windows Update Funktion,... und wenns schon nicht das SP1 sein darf (will gaaar nicht wissen warum), dann nehmt das hier:

Update Rollup 1 für Microsoft Windows XP (KB826939)
http://www.microsoft.com/downloads/deta ... 1602bd72c2
RL: Andreas + Warhammer: Nagul
EQ: Nagul (retired) + EQ2: Naglafarn (retired) + WoW: Naglafarn (retired)
Benutzeravatar
Naglafarn
Protector (WoW)
Marshal
 
Alter: 48
Beiträge: 1787
Registriert: Mi 15 Aug, 2001 14:17
Wohnort: Weilheim / Teck

Beitragvon Dunkelzahn » Mi 12 Nov, 2003 09:55

@Nagul:

Der Virus ist noch netter und nistet sich als Systemkomponente ein und wird vom System selber geschützt. D.h. löschst Du ihn ohne die Systemwiderherstellung zu deaktivieren, stellt die Dir den Virus ganz sauber wieder her :-)

Gruß
[size=9:352c57c880].,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,.
:guns: WOW: Blues (Hunter, Skinning / Leatherworking) ( 59 ) / Babsi (Priest, Mining / Blacksmith) ( 60 )
:onfire: EQ: Shadowblues (BRD) + Guggu (2ti) (WIZ) - in Rente
:angel: RL: Roger[/size:352c57c880]
Benutzeravatar
Dunkelzahn
Inaktiv
Commander
 
Alter: 53
Beiträge: 1129
Registriert: Mo 17 Mär, 2003 23:05
Wohnort: Aspach b. Stuttgart

Beitragvon Hel » Mi 12 Nov, 2003 10:00

danke für die infos :D finds toll, daß ich so nen genialen virus hab, vielleicht sollt ich ihn doch nicht löschen :lol:
╔════════╗
║.:ºSIGYNº:. ║, 60 Priest aka oaargaa Ferdl
╚════════╝
Benutzeravatar
Hel
Inaktiv
Knight
 
Beiträge: 345
Registriert: Mo 07 Apr, 2003 14:03
Wohnort: Wien

Beitragvon Naglafarn » Mi 12 Nov, 2003 10:22

Das macht nur der TFTP Prozess Schatten. :) War aber beliebte Solutions von Firmen die nicht schnell (oder wegen tollen Anwendungen durften) das Service Pack installieren wollten, bzw. den Patch. Der MSBlaster Patch macht nämlich nette probleme in Kombination mit W2K und Roaming profiles.

Also welche Lösungen macht man?
1. RPC Dienst deaktivieren (wenn man kann und darf, was in MS Netzen meist nicht geht).

2. Die TFTP.exe löschen. Diese sorgt nämlich für die Verteilung des Viruses und ist der Ursprung allen Übels. Leider installiert die sich jeder im /system32/ directory und wer die Systemwiederherstellung an hat (wer das in Firmennetzen macht gehört gewürgt und Privat sollte man lieber Images machen), der bekommt die Datein nach dem löschen gleich wiederhergestellt.


Wie habt ihr es dann bei euch eigentlich gelöst? Jeden Server einzeln gemacht?
RL: Andreas + Warhammer: Nagul
EQ: Nagul (retired) + EQ2: Naglafarn (retired) + WoW: Naglafarn (retired)
Benutzeravatar
Naglafarn
Protector (WoW)
Marshal
 
Alter: 48
Beiträge: 1787
Registriert: Mi 15 Aug, 2001 14:17
Wohnort: Weilheim / Teck

Beitragvon Dunkelzahn » Mi 12 Nov, 2003 10:34

Das schreib ich hier lieber nicht .. siehe PN :-)
[size=9:352c57c880].,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,.
:guns: WOW: Blues (Hunter, Skinning / Leatherworking) ( 59 ) / Babsi (Priest, Mining / Blacksmith) ( 60 )
:onfire: EQ: Shadowblues (BRD) + Guggu (2ti) (WIZ) - in Rente
:angel: RL: Roger[/size:352c57c880]
Benutzeravatar
Dunkelzahn
Inaktiv
Commander
 
Alter: 53
Beiträge: 1129
Registriert: Mo 17 Mär, 2003 23:05
Wohnort: Aspach b. Stuttgart

Beitragvon Fanorn » Mi 12 Nov, 2003 11:18

Naglafarn hat geschrieben:Taugt das Symantec Tool nur bedingt viel.. ich bevorzuge die Stinger Variante von McAfee.


Nuja, darüber kann man auch geteilter Meinung sein. Ich trau dem Mac Affen nicht weiter als ich ihn werfen kann ...

http://www.heise.de/security/artikel/41908/1
Fandorin - retired
Fanonia - Witch Elf - MIA
Fanorn Covenant, Rear Admiral, Joined Trill, USS Moonglow-E - lost in a Wormhole
Fanorn of Rivendell - Elf Hunter
Benutzeravatar
Fanorn
Vereinsmitglied
Marshal
 
Alter: 57
Beiträge: 1596
Registriert: Mi 15 Aug, 2001 12:50
Wohnort: Wien

Beitragvon Dunkelzahn » Mi 12 Nov, 2003 11:21

Ich bevorzuge Handarbeit *g*
[size=9:352c57c880].,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,.
:guns: WOW: Blues (Hunter, Skinning / Leatherworking) ( 59 ) / Babsi (Priest, Mining / Blacksmith) ( 60 )
:onfire: EQ: Shadowblues (BRD) + Guggu (2ti) (WIZ) - in Rente
:angel: RL: Roger[/size:352c57c880]
Benutzeravatar
Dunkelzahn
Inaktiv
Commander
 
Alter: 53
Beiträge: 1129
Registriert: Mo 17 Mär, 2003 23:05
Wohnort: Aspach b. Stuttgart

Beitragvon Pullox » Mi 12 Nov, 2003 11:59

Ist dieses Outing jetzt nicht ein bisschen Off-topic Schatten? ;)

MfG
this simple answer is never what it seems
Benutzeravatar
Pullox
Vereinsvorstand
Field Marshal
 
Alter: 41
Beiträge: 2036
Registriert: Sa 05 Jan, 2002 12:35
Wohnort: Wien

Beitragvon Dunkelzahn » Mi 12 Nov, 2003 12:58

Was Du gleich wieder denkst .. tststs .. wie kann man nur *g*
[size=9:352c57c880].,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,..,+*'*+,.
:guns: WOW: Blues (Hunter, Skinning / Leatherworking) ( 59 ) / Babsi (Priest, Mining / Blacksmith) ( 60 )
:onfire: EQ: Shadowblues (BRD) + Guggu (2ti) (WIZ) - in Rente
:angel: RL: Roger[/size:352c57c880]
Benutzeravatar
Dunkelzahn
Inaktiv
Commander
 
Alter: 53
Beiträge: 1129
Registriert: Mo 17 Mär, 2003 23:05
Wohnort: Aspach b. Stuttgart


Zurück zu Dies und Das

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 37 Gäste

cron