unerklärliche Fehöermeldung? - Seite 2

brisen · 10.02.2004, 18:58

Vor der Entfernung des Virus MUSST !!!! Du die Systemwiederherstellung deaktivieren, sonst installiert sich der Virus immer wieder neu!! Wenn Du ihn dann mit dem Tool gekillt hast die Systemwiederherstellung wieder aktivieren und UNBEDINGT!!! den Microsoft Patch aufspielen!!! Sonst wirst Du ihn nie los!!!

Gruß brisen

FendiMan · 11.02.2004, 00:42

Es reicht, den Blaster-Patch aufzuspielen, die Systemwiederherstellung braucht nicht deaktiviert werden (wozu auch - der Wurm ist ja schon weg).

flinx · 11.02.2004, 06:08

Zitat:

Original geschrieben von FendiMan
Es reicht, den Blaster-Patch aufzuspielen, die Systemwiederherstellung braucht nicht deaktiviert werden (wozu auch - der Wurm ist ja schon weg).

grml

http://securityresponse.symantec.com...oval.tool.html

Zitat:

If you are running Windows XP, then disable System Restore. Refer to the section, "System Restore option in Windows Me/XP," for additional details.

Jim Phelps · 11.02.2004, 08:14

Zitat:

Original geschrieben von brisen
Vor der Entfernung des Virus MUSST !!!! Du die Systemwiederherstellung deaktivieren, sonst installiert sich der Virus immer wieder neu!! Wenn Du ihn dann mit dem Tool gekillt hast die Systemwiederherstellung wieder aktivieren und UNBEDINGT!!! den Microsoft Patch aufspielen!!! Sonst wirst Du ihn nie los!!!

Gruß brisen

Hi,

Wo finde ich die Systemwiederherstellung um sie zu deaktivieren bzw. aktivieren?
Ist das Sicherheitsupdate WindowsXP-KB823980-x86-DEU dasjenige, welches MS momentan über die Medien als unverzichtbar anpreist und welches ich install muss?

Gruß Marcus

valo · 11.02.2004, 08:49

Zitat:

Original geschrieben von Jim Phelps
Ist das Sicherheitsupdate WindowsXP-KB823980-x86-DEU dasjenige, welches MS momentan über die Medien als unverzichtbar anpreist und welches ich install muss?

ja.

da gibt es auch noch die kb824146, ist glaub ich die ältere version des patches, habs aber auch überall drauf wos noch nötig ist.

Kontokali · 11.02.2004, 08:51

Zitat:

Wo finde ich die Systemwiederherstellung um sie zu deaktivieren bzw. aktivieren?

Systemsteuerung --> System --> Systemwiederherstellung --> Hakerl bei ‘Systemwiederherstellung auf allen Laufwerken deaktivieren’

Zitat:

Ist das Sicherheitsupdate WindowsXP-KB823980-x86-DEU dasjenige, welches MS momentan über die Medien als unverzichtbar anpreist und welches ich install muss?

Genau, ist gegen den Blaster-Virus.

brisen · 11.02.2004, 16:06

Name: W32.Blaster.Worm
Alias: W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]
Art: Wurm
Größe des Anhangs: 6.176 Bytes (UPX gepackt)
Betriebssystem: Windows NT/2000/XP/2003
nicht betroffen: Windows 95, 98 und Me
Art der Verbreitung: Netzwerk
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: unkontrollierter Rechnerabsturz
Rechnersuche über Port 135
DDoS-Angriff auf Microsoft-Server
Spezielle Entfernung: Tool
bekannt seit: 11. August 2003

Beschreibung:

W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk vorzugsweise über das Internet verbreitet. Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP und Windows 2003 Server-Systemen. Informationen zu dieser Schwäche finden Sie im deutschen Microsoft Security Bulletin MS03-026 . Hier gelangen Sie zum Download der Sicherheits-Patches für die unterschiedlichen Betriebssysteme.

Der W32.Blaster.Worm legt sich im Systemverzeichnis (Standard: C:\Windows\System32 bzw. C:\Winnt\System32) unter dem Namen MSBLAST.EXE ab. Durch Änderungen in der Registrierung wird diese Datei bei jedem Neustart des Rechners aufgerufen und ausgeführt.

Der Wurm verbreitet sich weiter und führt eine sog. DDoS-Attacke (Distributed Denial of Service) gegen einen Microsoft-Server (windowsupdate.com) durch ; dabei wird versucht, diesen Server mit so vielen Anfragen zu überfluten, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt.

Auch Rechner von Privatanwendern sind gefährdet! Windows 95, Windows 98 und Windows Me sind von dem Wurm nicht betroffen!

Weitere Informationen zur Funktionsweise und Hinweise für Administratoren finden Sie auf folgender Seite des BSI.

Hinweise zur Entfernung des Wurms

Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen.

Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen.

Unter Windows 2000 kann es zu anderen Fehlern, die den Zugriff auf das Internet verhindern kommen. Eine der dabei immer wiederkehrenden Fehlermeldungen lautet:

"Der Prozeß svchost.exe hat einen Fehler gemeldet".

Wie Sie diesen Fehler verhindern können, finden Sie in folgender Anleitung . Beachten Sie, dass durch das Verhindern des Fehlers die Sicherheitslücke noch nicht geschlossen ist und auch der Wurm sich noch eventuell auf Ihrem Rechner befindet. Führen Sie auf jeden Fall die nachfolgenden Schritte durch.

Vorgehensweise bei (möglichem) Befall:
Falls Ihr Betriebssystem Windows XP ist, müssen Sie vor den folgenden Punkten, die Systemwiederherstellung
deaktivieren.

1. Schließen der Sicherheitslücke des Betriebssystems
Microsoft stellt einen Hotfix (Sicherheits-Patch) für die Sicherheitslücke bereit. Informationen dazu finden Sie bei Microsoft

Ob der Hotfix auf Ihrem Rechner installiert ist können Sie in:
Start - Systemsteuerung - Software kontrollieren.
Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist der Hotfix installiert.

2. Suchen und Entfernen des Wurms über kostenlose Entfernungstools u.a. von

Symantec: Laden Sie von den Symantec-Seiten die Datei FixBlast.exe (Direkt-Download , mit Download mit Informationen )
NAI : Laden Sie von den NAI-Seiten die Datei stinger.exe (Direkt-Download oder Download mit Informationen ).
Microsoft: Laden Sie von den Microsoft-Seiten die Datei KB833330 ( Download mit Informationen )

Mit diesen Programmen können Sie den Rechner nach dem Wurm durchsuchen und mögliche Infektionen entfernen.

3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein. Die aktuellen Viren-Signaturen der Schutzsoftware erkennen die Datei MSBLAST.EXE schon während des Downloads.

4. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert. Eine Firewall wird nur erfahrenen Anwendern empfohlen, da die Konfiguration Netzwerk-Kenntnisse erfordert. Eine schlecht konfigurierte Firewall liefert keinen Schutz!

--------------------------------------------------------------------------------
© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved.© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved.

Gruß brisen

Jim Phelps · 11.02.2004, 20:05

Mich kotzt die ganze Sch... an. Warum machen Menschen so eine Blödsinn? Können die diese Energie nicht sinnvoll Bündeln und Geld damit verdienen? Sch... Welt, als gebe es nicht schon genug Probleme.

Danke. Super - hat alles geklappt.

Ich habe aber den Stinger noch nicht benutzt, soll ich das noch tun?

valo · 12.02.2004, 10:34

der stinger is nicht übel, wenn was gefunden wurde oder du den patch ned rauf hast, dann wirst iirc autoamtische die richtige microsoft seite zum download geöffnet...

Jim Phelps · 14.02.2004, 20:33

Habe den Stinger benutzt. Hat nix gefunden. Scheint alles nun sauber zu sein - bis zu nächsten Winleck.

Danke euch.

10.02.2004, 18:58	#11
brisen Jr. Member Registriert seit: 27.05.2002 Beiträge: 54	Vor der Entfernung des Virus MUSST !!!! Du die Systemwiederherstellung deaktivieren, sonst installiert sich der Virus immer wieder neu!! Wenn Du ihn dann mit dem Tool gekillt hast die Systemwiederherstellung wieder aktivieren und UNBEDINGT!!! den Microsoft Patch aufspielen!!! Sonst wirst Du ihn nie los!!! Gruß brisen ____________________________________ Tu nix, was Du auch lassen kannst!

11.02.2004, 00:42	#12
FendiMan Hochauflösend Registriert seit: 03.04.2001 Ort: Wien 10 Alter: 63 Beiträge: 9.641	Es reicht, den Blaster-Patch aufzuspielen, die Systemwiederherstellung braucht nicht deaktiviert werden (wozu auch - der Wurm ist ja schon weg). ____________________________________ Gruß FendiMan Bitte keine unnötigen Direktzitate, der Antworten-Button genügt!

11.02.2004, 16:06	#17
brisen Jr. Member Registriert seit: 27.05.2002 Beiträge: 54	Name: W32.Blaster.Worm Alias: W32/Lovsan.worm [McAfee] WORM_MSBLAST.A [Trend] Art: Wurm Größe des Anhangs: 6.176 Bytes (UPX gepackt) Betriebssystem: Windows NT/2000/XP/2003 nicht betroffen: Windows 95, 98 und Me Art der Verbreitung: Netzwerk Verbreitung: hoch Risiko: mittel Schadensfunktion: unkontrollierter Rechnerabsturz Rechnersuche über Port 135 DDoS-Angriff auf Microsoft-Server Spezielle Entfernung: Tool bekannt seit: 11. August 2003 Beschreibung: W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk vorzugsweise über das Internet verbreitet. Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP und Windows 2003 Server-Systemen. Informationen zu dieser Schwäche finden Sie im deutschen Microsoft Security Bulletin MS03-026 . Hier gelangen Sie zum Download der Sicherheits-Patches für die unterschiedlichen Betriebssysteme. Der W32.Blaster.Worm legt sich im Systemverzeichnis (Standard: C:\Windows\System32 bzw. C:\Winnt\System32) unter dem Namen MSBLAST.EXE ab. Durch Änderungen in der Registrierung wird diese Datei bei jedem Neustart des Rechners aufgerufen und ausgeführt. Der Wurm verbreitet sich weiter und führt eine sog. DDoS-Attacke (Distributed Denial of Service) gegen einen Microsoft-Server (windowsupdate.com) durch ; dabei wird versucht, diesen Server mit so vielen Anfragen zu überfluten, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt. Auch Rechner von Privatanwendern sind gefährdet! Windows 95, Windows 98 und Windows Me sind von dem Wurm nicht betroffen! Weitere Informationen zur Funktionsweise und Hinweise für Administratoren finden Sie auf folgender Seite des BSI. Hinweise zur Entfernung des Wurms Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen. Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen. Unter Windows 2000 kann es zu anderen Fehlern, die den Zugriff auf das Internet verhindern kommen. Eine der dabei immer wiederkehrenden Fehlermeldungen lautet: "Der Prozeß svchost.exe hat einen Fehler gemeldet". Wie Sie diesen Fehler verhindern können, finden Sie in folgender Anleitung . Beachten Sie, dass durch das Verhindern des Fehlers die Sicherheitslücke noch nicht geschlossen ist und auch der Wurm sich noch eventuell auf Ihrem Rechner befindet. Führen Sie auf jeden Fall die nachfolgenden Schritte durch. Vorgehensweise bei (möglichem) Befall: Falls Ihr Betriebssystem Windows XP ist, müssen Sie vor den folgenden Punkten, die Systemwiederherstellung deaktivieren. 1. Schließen der Sicherheitslücke des Betriebssystems Microsoft stellt einen Hotfix (Sicherheits-Patch) für die Sicherheitslücke bereit. Informationen dazu finden Sie bei Microsoft Ob der Hotfix auf Ihrem Rechner installiert ist können Sie in: Start - Systemsteuerung - Software kontrollieren. Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist der Hotfix installiert. 2. Suchen und Entfernen des Wurms über kostenlose Entfernungstools u.a. von Symantec: Laden Sie von den Symantec-Seiten die Datei FixBlast.exe (Direkt-Download , mit Download mit Informationen ) NAI : Laden Sie von den NAI-Seiten die Datei stinger.exe (Direkt-Download oder Download mit Informationen ). Microsoft: Laden Sie von den Microsoft-Seiten die Datei KB833330 ( Download mit Informationen ) Mit diesen Programmen können Sie den Rechner nach dem Wurm durchsuchen und mögliche Infektionen entfernen. 3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein. Die aktuellen Viren-Signaturen der Schutzsoftware erkennen die Datei MSBLAST.EXE schon während des Downloads. 4. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert. Eine Firewall wird nur erfahrenen Anwendern empfohlen, da die Konfiguration Netzwerk-Kenntnisse erfordert. Eine schlecht konfigurierte Firewall liefert keinen Schutz! -------------------------------------------------------------------------------- © Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved.© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved. Gruß brisen ____________________________________ Tu nix, was Du auch lassen kannst!

11.02.2004, 20:05	#18
Jim Phelps Inventar Registriert seit: 17.01.2003 Alter: 48 Beiträge: 1.989	Mich kotzt die ganze Sch... an. Warum machen Menschen so eine Blödsinn? Können die diese Energie nicht sinnvoll Bündeln und Geld damit verdienen? Sch... Welt, als gebe es nicht schon genug Probleme. Danke. Super - hat alles geklappt. Ich habe aber den Stinger noch nicht benutzt, soll ich das noch tun? ____________________________________ Gruß Marcus

12.02.2004, 10:34	#19
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	der stinger is nicht übel, wenn was gefunden wurde oder du den patch ned rauf hast, dann wirst iirc autoamtische die richtige microsoft seite zum download geöffnet... ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

14.02.2004, 20:33	#20
Jim Phelps Inventar Registriert seit: 17.01.2003 Alter: 48 Beiträge: 1.989	Habe den Stinger benutzt. Hat nix gefunden. Scheint alles nun sauber zu sein - bis zu nächsten Winleck. Danke euch. ____________________________________ Gruß Marcus

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)