Login

Promille · 12.08.2003, 05:32

Hi, habe auf einmal ein total übles Problem...Jedesmal, wenn ich jetzt im I-Net bin...kommt nach ca 10 Minuten eine Fehlermeldung, die ungefähr so aussieht: Herunterfahren wurden hervorgerufen von NT-Autorität/System...Windows muss heruntergefahren werden, da der Dienst Remoteprozeduraufruf unerwartet beendet wurde...und dann habe ich 60 Sec Zeit alles zu speichern, da der Rechner dann, ohne es abzustellen neustartet...Benutze WInXP!!! Bitte helft mir...das ist total shit...

ThE_nEwBiE · 12.08.2003, 06:15

0

Altaaa!!!! Die selbe kacke hatte ich grad eben auch!!!
Du musst auf Start -> Ausführen
Dann "msconfig" eingeben
Kartei Systemstart
Dann das Kreuz vor Msblast wegmachen.
Ist n scheiß Virus! Hoffe das hilft

Promille · 12.08.2003, 09:06

0

Puhhh...vielen Dank!!! Habe mir schon sowas gedacht...Wie bist du dann den Virus losgeworden??? Reicht es denn die exe Datei im Windows/system32 Verzeichnis zu löschen und das mit "msconfig" zu machen?

0 · 12.08.2003, 09:27

0

is beiu mir grad noch 5 sek

0 · 12.08.2003, 09:33

0

scheiße mann
wo is ms blast??????????????
die scheiße macht mich echt fertig

das is n nuke programm ich denk ma das irgentein mitglied hier lustig ist und spaß hat uns alle zu nuken
wer das proggi haben will soll ma bei mir achfragen ich hab das auf irgentner diskette

Promille · 12.08.2003, 09:39

0

AntiVir hat es bei mir erkannt...Mal schauen, ob er es auch erfolgreich löschen kann...

ThE_nEwBiE · 12.08.2003, 09:48

0

Bei mir ist es wieder da Cry

Sag mal welches antivir prog und wo ich es saugen kann bitte!

0 · 12.08.2003, 10:02

0

ich werd das auch nich los!!!!!!!!! Teufel

man kann das auch nich löschen und mein antivir sagt das das kein virus is!!!!!!! Angry

ich kolabier gleich

das is viellecht ganz hilfreich:
wenn ihr vorher ne fehlermaldung bekommt einfach nich draufklicken dann hat man mehr zeit

weazle · 12.08.2003, 10:31

0

Installiert euch ne Firewall (ich habe Zone Alarm Pro nach der ersten DOS Attacke durch MS Blast installiert). Klappt prima, die Firewall zeigt dass MS Blast bei mir online gehen will (nach dem online gehen wird man dann immer genuked), ich klicke einfach auf nein und werde nicht mehr genuked Big Grin

Promille · 12.08.2003, 10:31

0

Vielleicht kann uns das hier helfen...Folgt dem Link HIER

ThE_nEwBiE · 12.08.2003, 11:18

0

bis jetzt hab ich den scheiß nich wieder gehabt. Hab mal Antivir scannen lassen. Der hat einiges gefunden was NAV 2003 nicht gefunden hat!
Ich hoffe es bleibt jetzt so :-/

ThE_nEwBiE · 12.08.2003, 12:26

0

Das teufelsteil ist trotzdem noch aktiv!
Ich hab mir Zone alarm gesaugt und jetzt geht es einwandfrei. Smile

)

weazle · 12.08.2003, 12:44

0

@ Newbie
Es kann sein das jetzt Programme leichter abstürzen, da Zone Alarm damit wohl ganz schön damit zu kämpfen hat. War bei mir zumindest so Sad

0 · 12.08.2003, 13:07

0

also ich bin den so losgeworden:

1. abgesicherter modus als admin angemeldet.
2. msblast einfach gelöscht
3. papirkorb geleert
4. unter start - ausführen "regedit" eingegeben
in den ordner "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows
\\CurrentVersion\\Run" gegangen
5-. die datei "windows auto update" gelöscht (die wo msblast.exe hinter steht.
6. neu gestartet
7. virenscan
8.die sorftware "Microsoft Security Bulletin MS03-026"
bei microsoft gezogen
9. ordentlcih gefreut

hoffe euch damit geholfen zu haben
mfg
de crowley

ThE_nEwBiE · 12.08.2003, 13:52

0

joa wenn ich wenigstens wüsste wo sich das scheiß teil befindet!
Bis jetzt laufen alle Progs noch reibungslos ohne Absturz.

Promille · 12.08.2003, 14:08

0

Bei mir ist der Fehler auch nur aufgetreten, wenn ich ins I-Net gegangen bin...Habe mir vorhin auch den Patch von Microsoft runnergeladen...Vielleicht funzt es jetzt...PS: Vom Virus ist überall in den Nachrichten zu lesen/hören/sehen...Krass!!!!

ldevil · 12.08.2003, 14:24

0

ich hatte die gleichen sympthome schon vor ca 9 Monaten, hab dann formatiert...

im Moment ärgere ich mich über das nichtvorhandensein des Patches für Win2k....

Promille · 12.08.2003, 14:47

0

Seit meinem letzten Eintrag hier im Forum sind ca 40 Minuten vergangen, wo ich ständig online war und sich der Wurm nicht gemeldet hat...Scheint so, als ob der Patch von Microsoft wirklich funzt...Den findet ihr übrigens hier ...AntiVir hat den Wurm zwar immer wieder erkannt und auch gelöscht...Dieser kam aber nach jedem Neustart wieder, nachdem man eine Zeitlang im Netz war...

Einen Patch für Win2000 gibbet auch...und zwar hier

ldevil · 12.08.2003, 15:14

0

Kannst du den für mich saugen? Mein Computer findet die Seite nicht... wenns bei euch geht, muss ich Port 135 wohl wieder frei geben Wink

0 · 12.08.2003, 15:28

0

dieser port 135 den idevil benannt hat is das eigentlich problem.
wenn man die datei msblast.exe löscht is man die los aber wenn man dann wieder ins netz geht wird das wieder installiert. und das geht meines wissen über port135. (wenn ich ma wieder stuss rede irgnoriert das).
genuked wid der pc über irgentwas anderes das steht in der contdown meldung. mit dem patch für windows wird dieses problem behoben aber der virus is immer noch da.
Hier is ma ne beschreibung vvon dem ding:

Allgemeine Beschreibung:

Worm/Lovsan.A nutzt den sogenannten RPC DCOM Buffer Overflow aus.

Durch diese Sicherheitslücke wird dem Angreifer den Vollzugriff auf ein Windows NT/2000/XP System erlaubt.

Der Computerwurm scannt zufällig ausgewählte IP Adressen und übermittelt seine Daten auf entsprechende Systeme im Netzwerk bzw. Internet über Port 135.

Der Wurm führt an bestimmten Tagen im Monat DDoS-Attacken gegen die Webseite windowsupdate.com aus.

Symptome:
Eine Datei mit dem Namen MSBLAST.EXE steht im Windows System32 Verzeichnis

Infektionsweg:
Der Wurm nützt eine Sicherheitslücke des RPC DCOM aus und erlangt so den Vollzugriff auf das Windows System. Der Infektionsweg ist das Netzwerk, sowie das Internet.

Technische Details:

Der mit dem Laufzeitkomprimierungsprogramm UPX gepackte Wurm versucht eine Verbindung über den Port 135 aufzubauen. Er scannt hierzu wahllos IP Adressbereiche ab und sollte er ein verwundbares System gefunden haben, sendet er spezielle Kommandos zu dem Programm TFTP (Trivial File Tranfere Protocol).
Dieses Programm startet den Download des Wurmprogrammes und führt ihn führt ihn aus.

Er kopiert sich in das Windows System32 Verzeichnis (meist C:\\Windows\\System32\\ oder C:\\WINNT\\System32\\) unter dem Dateinamen MSBLAST.EXE.

Damit der Wurm beim nächsten Systemstart erneut ausgeführt wird, erstellt er folgenden Registry Eintrag:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows
\\CurrentVersion\\Run]
"windows auto update"="msblast.exe"
Entpackt man die Wurmdatei, ist folgender ASCII Text ist in der Datei sichtbar:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Auf der Microsoft Homepage ist ein Update verfügbar um die Sicherheitslücke zu schließen. Technische Details zur Sicherheitslücke und das Update finden Sie hier:

Microsoft Security Bulletin MS03-026

Windows 9x/ME sind von der Sicherheitslücke nicht betroffen können jedoch diesen Wurm auch weiterverbreiten sofern er manuell ausgeführt wird.

An folgenden Tagen führt Worm/Lovsan.A DDoS-Attacken gegen windowsupdate.com aus:

Am 16. bis 31. der Monate Januar, Februar, März, April, Mai, Juni, Juli und August. Ebenfalls wird an jedem Tag in den Monaten September, November, Oktober und Dezember DDOS-Angriffe durchgeführt.

@newbie:
der is bei xp unter C:/windows/system32/msblast.exe zu finden

Login
Benutzername:
Passwort:	Passwort vergessen?
	Merken
ACHTUNG: Bereits registrierte user vom alten Forum müssen zwingend einmalig ein neues Passwort mit der Funktion "Passwort vergessen" anfordern! Wisst ihr eure hinterlegte E-Mail-Adresse nicht mehr oder benötigt ihr Unterstützung? Schreibt uns hier!