Descentforum.DE

[Thieyoshin]

die tage geht ein virus um, nähere infos dazu später. erstmal alle xp user installieren:

link zur microsoft patch page

--PATCH--

direkter download-link

2 bilder:

auftretender virus:



datei in der machine registry - msblast.exe



dann noch (falls vorhanden), folgende datei löschen: c:windowssystem32msblast.exe

alles klar?

edge ende.

[Do_Checkor]

hier die liste der betroffenen systeme.
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition
Microsoft Windows NT Workstation 4.0

---

why walk when I can run? why run when I can drive? why drive when I can fly? why just fly when I can descent?

[Thieyoshin]

weitere informationen:

wie checkor schon gepostet hat, scheint dieser virus auf allen windows-betriebsystemen, die NT-basiert/neuer als 9X/ME sind´, zu ziehen!

zitat teccentral.de

quote:

---

Anscheinend gibt es einen findigen Tüftler, der eine Lücke im System gefunden hat, über eine Remoteverbindung via Telnet kann man so Befehle auf dem System ausführen. Dabei hält sich ein Shutdown nach 60 Sekunden wirklich in Grenzen und gilt wohl wirklich nur als Schuss vor den Bug, schlimmeres wäre denkbar.

Folgender Befehl unterbricht den Countdown allerdings : "shutdown -a".

---

hier ein link zur generellen infopage von microsoft:

klick mich

edit: so, habe mir mal den virus zuschicken lassen und ihn ausgeführt. .

- und ausser diesen eintrag hier:



passierte bei windows 2000 SP4 nichts.

Bearbeitet von - the_edge am 12 Aug 2003 16:44:10

[Coolchris]

hehe ... das fenster hatte ich auch ohne diesen virus des öffteren *g

extra fuer ecke nochmal ... dieses fenster


-------------------------
Wer die Hände in den Schoß legt, muss noch lange nicht untätig sein

Bearbeitet von - coolchris am 12 Aug 2003 19:15:43

[Do_Fuchs]

Und für ganz faule hat Symantec auch schon ein remove tool gebaut:
http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html



*************PLATZ ZU VERMIETEN*************
bei interesse Mail an: regelschmerzen@ewetel.net

[Tiekiller]

Shitfuck! Ich hab das Ding!

Kann mir mal einer diesen Satz erklären bitte:

quote:

---

If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details.

---

Wo deaktiviere ich da was? Was meinen die mit System Restore?

Woran erkennt ein Blinder, daß er mit Hinternabputzen fertig ist???

[Ben]

Ich denke mal System Restore = Systemwiederherstellung

In der Systemsteuerung unter System/Systemwiederherstellung kannst Du die selbige deaktivieren, was Du nach Aussage des Textes auch tun sollst.

Was dann da mehr stehn soll, weiss ich auch nicht

VTC-Ben



Bearbeitet von - VTC-Ben am 13 Aug 2003 09:14:16

[DigiJo]

hast du ein removetool benutzt das diese meldung ausgibt? ich schätze mal es geht darum:

neuere windowsversionen machen ein backup von allen wichtigen systemfiles in einem versteckten ordner, und holen sich diese files zurück wenn eines beschädigt oder verändert wird.
wenn du dir einen virus einfängst kann es gut sein das der sich auch in dem system-restore ordner ablegt.
wenn ein tool den virus dann entfernt kann es passieren das windows sich den aus dem system restore ordner herrausholt und von selbst wieder neu installiert oder aber das entfernen verhindert.
schöne neue bill-gates-welt. leider hab ich kein xp und weiß nicht wie man das restore da abstellt aber ich mach mich mal schlau.

p.s. gestern abend war das inet sowas von langsam, ich schätze mal da haben 1000de von infizierten rechner nette kleine päckchen durch das net gejagt, wäre nicht das erste mal.

[Tiekiller]

Danke Jungs! Hatte ihn schon wieder los ohne es zu wissen! Scheinbar macht der Patch nix anderes, als das was Checki und ich in einer Telefonkonferenz schon durchgezogen hatten. War übrigends auch das gleiche was Egge vorgeschlagen hatte!

Woran erkennt ein Blinder, daß er mit Hinternabputzen fertig ist???

[Vengeance]

Patch installiert, aktuellen Virenscanner (antiVir) installiert und Festplatten überprüft, die entsprechenden Ports per Firewall deaktiviert.

Alles klar, kein Wurm drauf.

Die Wege einen Pyros sind unergründlich. Amen!

[Maulwurf]

LOL, jetz kommt kurz meine Geschichte dazu:
(wenn ich soweit komm)

vorgestern: win2k (+sp3) geschrottet.
gestern: Image aufgespielt, ohne Firewall
gerade: firewall an, gleich das erste fenster: outgoing connection alert! von wem? msblast.exe auf port 135

soso, werd ich das image gleich nochmal drauf machen und die firewall dann vor dem ersten internetbesuch.
dass sich der rechner nach 60s ausschaltet hatte ich aber nicht. nach ner zeit gibts irgend nen anderen fehler, der den IE lahm legt, es funzt dann kein link etc mehr. nur noch das aktuelle IE-Fenster. (IE6)

Bild:


Trinker alt, Trinker alt, wenns da steht dann trinka mas halt!

[Floyd]

dsl ohne firewall -> seeeehr mutig

[Maulwurf]

2000 hab i gsagt

los wird man das teil aber sehr leicht.

im system32 ordner (zeigt ja scho der screeni) die datei löschen, in der registry ist noch ein Eintrag im Ordner Run, den weg und gut is.
hab die regel für den msblast ausm firewall gelöscht, bis jetz hat er keinen alarm geschlagen.


Bearbeitet von - Maulwurf am 13 Aug 2003 16:36:35

[Thieyoshin]

quote:

---

dsl ohne firewall -> seeeehr mutig

---

LOL! eben.

warum haste noch kein SP4 seeka? ich hab das teil bei mir "freiwillig" installiert (weil ich wusste, dass nicht viel passieren kann) und nix passierte except einem autostarteintrag - nix inner registry, keine laufende msblast.exe inner prozessliste, keine msblast.exe unter c:windowssystem32...

SuSE linux router rulez.

---

Unter VerDAUung versteht man die völlige Verblödung eines PC- und/oder Onlineusers.

[Skorpion]

solche viren sollte es öfters geben
beschert mir im moment jede menge arbeit =p
das lustigste kam gerade auf heise dazu
http://www.heise.de/newsticker/data/dab-13.08.03-002/
auch linux rechner sind betroffen ... lol
wenn man denn dce laufen hat
ansonsten lässt der wurm mich persönlich ziemlich kalt =)

--------------------------
Skorpion

Es gibt 10 Arten von Menschen die Binär verstehen, diejenigen die es tun, und diejenigen die es nicht tun.

[Thieyoshin]

mich lässt er auch kalt - ausser dass ich ne menge leuten im inet geholfen habe, das teil zu killen -


aber@seeka's kerioFW: "wants to connect to 217.2.80.2:135" ah hah... wem is dem?

getraced? oder ist das nur ein weiterer "peer" im "virennetzwerk", dass das teil spinnt?

---

Unter VerDAUung versteht man die völlige Verblödung eines PC- und/oder Onlineusers.

[Munk]

Selbst das SP4 beinhaltet den Patch noch nicht, da die Sicherheitslücke erst seit ein paar Tagen bekannt wurde.
Wer keine Firewall hat, handelt in meinen Augen schon fahrlässig - wie ohne Gurt Auto fahren.
Virenscanner bringen da kaum was, da sie erst aktiv werden, nachdem der Befall da ist, und sich schon längst verbreitet hat. Außerdem dürfte kaum jemand die nötige Disziplin und Ausdauer haben, das Dingen jeden Tag aktuell zu halten.

--

Du hast keine Chance, also nutze sie!

[Aga]

Na, dagegen hat man doch einen DSL Router mit FW. Da kommt das Ding nicht durch.
Naja, für alle Fälle ist dieses der allererste Sicherheitspatch von M-Soft, den ich seit 10 Monaten einspiele.
Und wie man liest, ist das Problem schon seit Ende 07 bekannt, und nur ein worm wurde noch nicht im realen Netz entdeckt.
Na, nun geht halt die Post deswegen los

Aga

Betet, das ich es auch noch schaffe. Doch ich bin dran.

[Do_Checkor]

quote:

---

"wants to connect to 217.2.80.2:135" ah hah... wem is dem?

---

das war wohl seine eigene IP...

[Maulwurf]

ne war net meine ip. der wurm versucht rechner anzupingen, deren IP von meiner aktuellen an, aufsteigend sind. ich hatte vielleicht .1 oder sowas. wer weiß wie viele er scho gepingt hat.

der MS-update kommt erst in SP5 rein, also nix mit SP4. mit isdn will ich mir das eh net laden, weils net lebenswichtig ist.

Trinker alt, Trinker alt, wenns da steht dann trinka mas halt!