unerklärliche Fehöermeldung?
 

Hi,

Seit ich das oleco, Einwahlprogramm, installiert habe, erhalte ich, wenn ich Online bin, regelmäßig folgende Meldung - siehe Anhang. Diese Meldung tritt unregelmäßig auf und führt dazu, dass der PC runterfährt.
Auf "heißen" Seiten war ich nicht und ich öffne keine Mails von Fremden. Downloaden erfolgt auch nur bei sauberen Sachen. Kann es dennoch ein Virus sein? Oleco habe ich deinstall - die Macke bleibt...

http://windowsupdate.microsoft.com/ hilft dagegen.
Unter dem Stichwort 'Blaster' erfährst du mehr.

Ja, das musst du auf jeden Fall machen. Des weiteren gibts auf http://www.symantec.com/avcenter/ven...oval.tool.html ein Tool (FixBlast.exe). Lad dir das runter und lass den Virus damit entfernen.

Falls du deinen PC neu aufsetzt, spiel das MS-Sicherheitsupdate weider rauf, sonst hast den Wurm sofort wieder im System.

Blaster
 

Wenn diese Fehlermeldung kommt gehst auf Start -> Ausführen und gibst in die Zeile shutdown -a und Return ein. Damit ist einmal der PC vom Niederfahren gestoppt. Dann kannst alle Antivierenprogramme darauf ausführen.
gg

Erstmal recht vielen Dank für die Hilfe. Da mein Englisch eingeschlafen ist, habe ich Angst was falsch zu verstehen. Was mache ich mit dem FixBlast.exe?

Achja, habe XP und da steht ja irgendwas besonderes zu.

Gruß Marcus

Ich habe es jetzt einfach mal gestartet. Das Resultat:
The process "enbiei.exe" is viral. It is terminated.

Deleted the value "www.hidro.4t.com " from the registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run".

The tool has deleted the viral file "G:\WINDOWS\system32\enbiei.exe".

W32.Blaster.Worm has been successfully removed
from your computer!

Here is the report:

The total number of the scanned files: 75011
The number of deleted files: 1
The number of repaired files: 0
The number of viral processes terminated: 1
The number of registry entries fixed: 1

Mit der "The process "Deleted the value "www.hidro.4t.com " from the registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run"."
kann ich nix anfangen. In der Registry Key findet er keine Einträge der Art, wenn ich suche.

Gruß Marcus

boote im abgesicherten modus. OHNE NETZWERKTREIBER
dann löscht du die infizierte datei. suchs SELBST nach dem key in der registry. dann nimmst du das modem vom strom bzw vom compi. dann bootest du normal und aktivierst du die XP eigene Firewall. dannn modem wieder anstecken. dann spielst du alle Microsoft patches mittels Windowsupdate ein. und schließlich kannst du noch eine Personal FIrewall installieren um so was in zukunft zu verhindern. zb Zonealarm oder Outpost.

Wozu? Laut Fixblastausgabe wurden die Datei und der Registry-Key entfernt und der Prozess beendet.

ups hab ich überlesen ;) :shy:

Vor der Entfernung des Virus MUSST !!!! Du die Systemwiederherstellung deaktivieren, sonst installiert sich der Virus immer wieder neu!! Wenn Du ihn dann mit dem Tool gekillt hast die Systemwiederherstellung wieder aktivieren und UNBEDINGT!!! den Microsoft Patch aufspielen!!! Sonst wirst Du ihn nie los!!!

Gruß brisen :cool:

Es reicht, den Blaster-Patch aufzuspielen, die Systemwiederherstellung braucht nicht deaktiviert werden (wozu auch - der Wurm ist ja schon weg).

grml :mad: :eek:
http://securityresponse.symantec.com...oval.tool.html

Hi,

Wo finde ich die Systemwiederherstellung um sie zu deaktivieren bzw. aktivieren?
Ist das Sicherheitsupdate WindowsXP-KB823980-x86-DEU dasjenige, welches MS momentan über die Medien als unverzichtbar anpreist und welches ich install muss?

Gruß Marcus

ja.

da gibt es auch noch die kb824146, ist glaub ich die ältere version des patches, habs aber auch überall drauf wos noch nötig ist.

Systemsteuerung --> System --> Systemwiederherstellung --> Hakerl bei ‘Systemwiederherstellung auf allen Laufwerken deaktivieren’

Genau, ist gegen den Blaster-Virus.

Name: W32.Blaster.Worm
Alias: W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]
Art: Wurm
Größe des Anhangs: 6.176 Bytes (UPX gepackt)
Betriebssystem: Windows NT/2000/XP/2003
nicht betroffen: Windows 95, 98 und Me
Art der Verbreitung: Netzwerk
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: unkontrollierter Rechnerabsturz
Rechnersuche über Port 135
DDoS-Angriff auf Microsoft-Server
Spezielle Entfernung: Tool
bekannt seit: 11. August 2003

Beschreibung:

W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk vorzugsweise über das Internet verbreitet. Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP und Windows 2003 Server-Systemen. Informationen zu dieser Schwäche finden Sie im deutschen Microsoft Security Bulletin MS03-026 . Hier gelangen Sie zum Download der Sicherheits-Patches für die unterschiedlichen Betriebssysteme.

Der W32.Blaster.Worm legt sich im Systemverzeichnis (Standard: C:\Windows\System32 bzw. C:\Winnt\System32) unter dem Namen MSBLAST.EXE ab. Durch Änderungen in der Registrierung wird diese Datei bei jedem Neustart des Rechners aufgerufen und ausgeführt.

Der Wurm verbreitet sich weiter und führt eine sog. DDoS-Attacke (Distributed Denial of Service) gegen einen Microsoft-Server (windowsupdate.com) durch ; dabei wird versucht, diesen Server mit so vielen Anfragen zu überfluten, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt.

Auch Rechner von Privatanwendern sind gefährdet! Windows 95, Windows 98 und Windows Me sind von dem Wurm nicht betroffen!

Weitere Informationen zur Funktionsweise und Hinweise für Administratoren finden Sie auf folgender Seite des BSI.

Hinweise zur Entfernung des Wurms


Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen.



Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen.


Unter Windows 2000 kann es zu anderen Fehlern, die den Zugriff auf das Internet verhindern kommen. Eine der dabei immer wiederkehrenden Fehlermeldungen lautet:

"Der Prozeß svchost.exe hat einen Fehler gemeldet".

Wie Sie diesen Fehler verhindern können, finden Sie in folgender Anleitung . Beachten Sie, dass durch das Verhindern des Fehlers die Sicherheitslücke noch nicht geschlossen ist und auch der Wurm sich noch eventuell auf Ihrem Rechner befindet. Führen Sie auf jeden Fall die nachfolgenden Schritte durch.

Vorgehensweise bei (möglichem) Befall:
Falls Ihr Betriebssystem Windows XP ist, müssen Sie vor den folgenden Punkten, die Systemwiederherstellung
deaktivieren.

1. Schließen der Sicherheitslücke des Betriebssystems
Microsoft stellt einen Hotfix (Sicherheits-Patch) für die Sicherheitslücke bereit. Informationen dazu finden Sie bei Microsoft


Ob der Hotfix auf Ihrem Rechner installiert ist können Sie in:
Start - Systemsteuerung - Software kontrollieren.
Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist der Hotfix installiert.

2. Suchen und Entfernen des Wurms über kostenlose Entfernungstools u.a. von

Symantec: Laden Sie von den Symantec-Seiten die Datei FixBlast.exe (Direkt-Download , mit Download mit Informationen )
NAI : Laden Sie von den NAI-Seiten die Datei stinger.exe (Direkt-Download oder Download mit Informationen ).
Microsoft: Laden Sie von den Microsoft-Seiten die Datei KB833330 ( Download mit Informationen )

Mit diesen Programmen können Sie den Rechner nach dem Wurm durchsuchen und mögliche Infektionen entfernen.

3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein. Die aktuellen Viren-Signaturen der Schutzsoftware erkennen die Datei MSBLAST.EXE schon während des Downloads.

4. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert. Eine Firewall wird nur erfahrenen Anwendern empfohlen, da die Konfiguration Netzwerk-Kenntnisse erfordert. Eine schlecht konfigurierte Firewall liefert keinen Schutz!

--------------------------------------------------------------------------------
© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved.© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved.


Gruß brisen :) :) :)

Mich kotzt die ganze Sch... an. Warum machen Menschen so eine Blödsinn? Können die diese Energie nicht sinnvoll Bündeln und Geld damit verdienen? Sch... Welt, als gebe es nicht schon genug Probleme.




Danke. Super - hat alles geklappt.

Ich habe aber den Stinger noch nicht benutzt, soll ich das noch tun?

der stinger is nicht übel, wenn was gefunden wurde oder du den patch ned rauf hast, dann wirst iirc autoamtische die richtige microsoft seite zum download geöffnet...

Habe den Stinger benutzt. Hat nix gefunden. Scheint alles nun sauber zu sein - bis zu nächsten Winleck.

Danke euch.