So, das dürftet ihr auch die Tage bekommen haben. Ein kleines Fenster das euren PC nach 60 Sekunden abstürzen lässt.

Schuld ist ein kleiner Wurm, der in der Datei msblast.exe steckt.

-Schliesst erstmal die Internetverbindung

-Öffnet euren Taskmanager (STRG+ALT+ENTF) und schliesst den Prozess, danach könnt ihr ihn auch direkt von der Platte entfernen, er liegt bei c:\windows\system32\.

-Danach gehts auf zur MS-Seite, wo ihr einen Patch laden müsst.

Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. Verfügbarkeit des Patches
Dort sucht ihr euer Windows (XP = 32) aus, und klickt druff. Sprache ist dann auch wichtig, sonst klappts net.

Falls das Fenster vor dem Patchinstall auftaucht, geht auf "Start/Ausführen" und gebt dort

shutdown -a

ein.

Berichtet ALLEN die ihr kennt davon, ich habe schon Mails rausgeschickt, aber ich kenne nicht alle Mailadressen. Es ist jeder betroffen der ins Internet geht, und nicht diesen Patch hat. Wer keine Firewall/Virenscanner hat, der wird davon 100% befallen werden.
Wenn jemand eurer Bekannten anruft und verzweifelt, dann habt ihr jetzt die Lösung.
Hauptproblem ist nämlich, dass nach frühestens einer Minute der Effekt des Herunterfahrens auftritt, so dass man überhaupt keine Möglichkeit hat, nach Emails oder Hilfe zu suchen.

quelle: http://ilbforum.maxsyncron.de/ilbforum/

Thanx für den Hinweis, die meisten werden davon profitieren. (Offtopic: Ich benutze zuhause überwiegend OpenBSD und Gentoo Linux als Betriebssysteme, die sind wesentlich resistenter gegen Würmer, Viren und sonstiges Gesocks.)

8-)

mann vielen dank das war mir ne große hilfe :respekt: ich wusste echt nicht mehr weiter!!! hast was gut bei mir! :lol:

so jetzt trink ich einen AUF MUSKELBODY

:bier:

Wenn ich das Problem richtig verstanden habe, betrifft der Exploit nur nicht-getarnte RPC-Ports (typischerweise 135, 139, 445) von direkt mit dem Internet verbundenen Rechnern. Ein LAN aus Windows Clients, das durch die Network Address Translation (NAT) eines Routers versteckt wird, dürfte auch ohne den Patch unangreifbar sein.

Hä? Ich versteh das nicht! Bei mir is da gar nix. Und komisch noch, dass ich dieselbe Nachricht auch von nem anderen Board bekommen habe! :?: :?:

Fuji

boah, vielen dank, hab mir schon gedacht was die scheiße soll, war am verrückt werden. werd ich jetzt mal gleich machen
nochmals vielen dank

Hä? Ich versteh das nicht! Bei mir is da gar nix. Und komisch noch, dass ich dieselbe Nachricht auch von nem anderen Board bekommen habe! :?: :?:

Fuji

H H H
was ein "Zufall".

@Muskelbody.
Wenne schon zitierst, dann bitte mit Quellenangabe.


"Alle Beiträge in diesem Forum sind urheberrechtlich geschützt, und dürfen nicht in andere Foren kopiert werden. Wenn, dann nur mit ausdrücklicher Genehmigung des Authors. Partnerforen sind davon nicht betroffen. "

Kann mich nicht erinnern, dass ihr ein Partnerforum seid, kannst dich solange ja mit dem Recht beschäftigen -> Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. Werke wie Bilder, Töne, Artikel, Diskussionsbeiträge und ähnliche Inhalte dürfen nicht unerlaubt kopiert und verbreitet werden. Wer dagegen verstößt, der riskiert Unterlassungs- und Schadensersatz-Ansprüche, unter Umständen sogar Freiheitsstrafen.

danke, danke, danke!!

thx ;)

@semchen

bist wohl ein ziemlicher klugscheisser.

normalerweise tue ich das nicht, aber ich hatte gestern genau dieses problem und habe mich heute sehr darüber gefreut, dass jemand die lösung dazu hat.

soweit ich mich erinnern kann stand unter dem beitrag "erzählt es allen".

edit: kompletter beitrag mit quellenangabe.

Die Warnung dazu habe ich gestern allein auf 5 verschiedenen Seiten schon gelesen gehabt, also Semchen jetzt piss dich mal nicht an.

Hey yo !

Sollte er immer wieder auftauchen, empfiehlt sich, auf
Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. zu gucken und dort das removal-tool fixblast.exe zu laden.
Killt ihn auch recht problemlos.
Des weiteren gibts noch das Teil stinger.exe von NAI, welches ihn auch killt. Glaube, es gibt ihn nicht nur als w32.blaster sondern auch als w32.lovesan.
Wie DareDevil oben schon erwähnte, sind das einige der Ports, über welche er sich verbreitet. Gibt noch mehrere .. genaue Liste gibts auf den oben angeführten Seiten.

*winke*
'dara

hatte ihn selber drauf.. und hab ihn wieder runter bekommen. :lol:
da er ja nach spätestens 60sec wieder ausgeht müßt ihr ihn im abgesicherten modus hoch fahren euer online programm install und ein update bei ms machen.
dann das entfernungs tool von irgendeiner site saugen und den wurm entfernen.
den rest wie mb schon beschrieben!
also bei mir war er dann weg und ich konnte ihn ganz normal wieder starten! :lol:


@semchem

du mußt grad was wegen rechten erzählen :roll:
warum war den deine site gesperrt? ;)

bei mir kommt der immer wieder, trotz MB´s-Anleitung. Wo kann der Fehler liegen? Falschen patch geladen?

derzeit umgehe ich das problem mit "shutdown -a" . .

danke

gab

hast du ein security prog drauf? zufällig norton?

yep, hab ich!

dann geh auf die homepage von symantec und zieh dir das tool zum entfernen runter dann mßte er weg sein

Gegen diesen Wurm habt ihr jetzt also eure PCs immunisiert. Aber der nächste Wurm mit ähnlicher Angriffstaktik kommt bestimmt. Also seht zu, daß ihr alle die Remote Procedure Call Schnittstelle betreffenden Ports so abdichtet, daß nicht einmal ein ICMP Request den TCP/IP-und UDP-Stack eures Betriebssystems zu einer Antwort nötigt.

daredevil die wahrscheinlichkeit dass das jemand verstanden hat und
dann noch ausführen kann ist minimal

Okay. Einfach gesagt: Benutzt einen Router mit NAT (oder eine Desktop-Firewall, wenn der Windows-Rechner direkt mit dem Internet verbunden ist) und blockiert alle Ports unter 1024; wenn ihr einen Dienst innerhalb dieses Portranges laufen habt und deshalb zwangsläufig den entsprechenden Port offen lassen müsst, lasst einen tcpwrapper (der genau klärt, welcher Host von wo auf welchen Client zugreifen darf) laufen und verhindert durch geeignete Regelketten das IP-Spoofing. Mit anderen Worten: Achtet darauf, daß eure Firewall die o. a. Ports außerhalb des LANs tarnt und daß aus dem LAN heraus keine Requests ins Internet gehen, die ihr nicht vorher definitiv freigegeben habt.

noch einfacher gesagt : hohlt euch ein vernünftiges security prog (z.b norton oder panda) das sperrt von vorne rein die offenen ports die zum angriff geeignet sind und ihr habt die probleme nicht! mit nem router sowieso net! ;)

@ dare devil

ich denke mal das hier ungefär 2% verstanden haben was du geschrieben hast! erkläre es doch bitte das nächste mal in einer form wo alles es verstehen!
nicht böse sein es sind bestimmt nicht alle computer freaks hier im forum!
bestimmt nur ein ganz ganz kleiner teil!

Mein PC hat diesen Wurm nicht obwohl permanent online. Also BIN ICH NICHT wirklich existent :) Bzw. Mein PC :)

Es wundert mich ehrlich. Ich nutze Windows 2000 und habe keine Firewall laufen. Die einzigste die ich ab und an mal zuschalte wenn ich durch Minenfelder gehe ist AT-Guard. Klein fein und sehr resourcenschonend. Diese Freeware Firewall wurde dann von Symantec gekauft und ist Hauptbestandteil der Norton Internet Security Suite.

Allerdings was die daraus gemacht haben kann einem das blanke Entsetzen beibringen. Aufgebläht bis zum Get NO und resourcenhungrig.

So wenig wie ich mit einer Kugelsicheren Weste unter die Dusche oder ins Bett gehe, brauche ich weder online Virenscanner die permanent im Hintergrund jedes Byte umdrehen und mein System slow downen, noch brauche ich eine ständig auf dem Sprung sitzende Firewall. Beide lasse ich laufen wenn ich mich mal in gefährliche Fahrwasser im Netz begebe.

Wer mich jetzt für trottelig oder gar leichtfertig hält der irrt sich jedoch gewaltig. So lasse ich meinen Rechner 1 mal die Woche von 3 verschiedenen Antivirenscannern beschnüffeln und natürlich auch jede neue Datei bevor ich sie öffne. Die Scanner sind : NOD32 ( mein absoluter Favorit) Norton Antivirus 2003 und F-Prot. Spybot, Adaware 6 und auch trojanhunter gehören natürlich ebenso zur Standardausrüstung auf meinem Rechner. Derart aufmunitioniert bin ich jederzeit zu einem Waffengang bereit :)

WinXP User die mir jetzt was von der Recovery Funktion ihres Betriebssystem erzählen wollen wie toll die ist und wie sicher man sich damit fühlen kann, die kann ich nur müde belächeln. Wie so oft ist dies ein sehr trügerisches Feature von Mickysoft. Habe in den letzten 9 Wochenh in 4 verscheidenen Fällen bei Freunden erlebt wo sie trotz dieser Wiederherstellungsoption bis zu dem Zeitpukt X dennoch nicht mal mehr pieps sagen konnten auf ihrem System. Ein Image hätte ihnen den Verlust der Arbeit und Installationen der letzten Wochen und Monate erspart.

Dazu erstelle ich noch monatlich mit Acronis Trueimage im laufenden Betrieb meines Systems ein Image der C:\ Partition und bin somit jederzeit in der Lage mein System vollständig wiederherzustellen wenn es mal doch zu einem Gau kommen sollte z.B. durch den Verlust der HD die ja auch mal kaputtgehen . Mittels erstellter Bootcd kann ich dann jederzeit dieses Image 1:1 wieder aufzuspielen. Selbst wenn nichts mehr drauf sein sollte auf der Festplatte oder ein BootSector Virus sie völlig ins Jenseits katapultiert haben sollte. Mit einem Image können einem solche Porbleme wirklich in die Tasche hopsen :)

Da ich keine persönlichen Daten auf diesem Rechner habe, können alle an meinen Ports rumpingen bis ihnen schwindlig wird. Im Vergleich zur Schädlichkeit und Gefährlichkeit von Trojanern nehmen sich alle Würmer dieser Welt als recht harmloss aus. Lästig aber dennoch harmlos, denn deren Existenz stellt man schnell fest was bei einem Trojaner leider nicht so gegeben ist.

Wie man sieht macht es einen Unterschied ob man einen Porsche einfach so fährt oder ob man ihn panzert und mit Racketen zum Selbstschutz beladet. Hängt man dann noch 500 Liter Tanks mit Tränengas in die Seitentüren und versieht dieses Auto mit kugelsicheren Scheiben incl. der dafür notwendigen Rahmen , dann wird man sehr schnell erkennen das der Wagen zwar sicher ist aber extrem langsam , wenn er überhaupt noch fahren kann bevor ihn ein Achsbruch einholt *grins* Will damit nur sagen man kann es auch übertreiben mit der Sicherheit.

Ich kenne Anwender, deren Herz höher schlägt wenn Zonealarm einen Intruder Alert ausgibt nur weil jemand irgendeinen Port angepingt hat. Derjenige läuft dann zur Hochform auf um ca 10 minuten später ziemlich ernüchtert festzustellen das er nichts festgestellt hat ausser das jemand aus Hong Kong seine IP angepingt hat. Sehr prduktiv ist seine Kiste ohnehin nicht mehr da sich dort gegenseitig soviele Programme ausbremsen und überwachen so das fast nichts mehr auf seinem Rechner mehr geht.

Selbst mit DSL ist sein 2, 8 Ghz Rechner so schneckenlangsam das man heulen möchte wenn man nur raufschaut. Von Antivirenprogrammen , Trojanhunter [davon aber gleich 2], Trojanremover, Nortonsystemworks [ da wurde alles aktiviert was nur irgendmöglich ist] bis hin zu zusätzlichen Portwächtern wuseln auf seinem Rechner nur noch Porgramme die mit sich selbst beschäftig sind und sich gegenseitig zu keiner Nanosekunde aus den Augen lassen *lach*

Wer an acronis True image deluxe Interesse hat dem sende ich gerne einen Link via mail wo er es downloaden kann

mit netten Grüssen Surfer - der eigentlich garnicht so viel schreiben wollte :)

Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. Das NATO - Alphabet

A = Alpha B = Bravo C = Charley D = Delta E = Echeo F = Foxtrott G = Golf H = Hotel I = India J = Juliet K = Kilo L = Lima M = Mike N = November O = Oskar P = Papa Q = Quebec R = Romeo S = Sierra T = Tango U = Uniform V = Victor W = Whisky X = X-Ray Y = Yankee Z = Zulu

kann nur froh sein davon nicht betroffen zu sein, sonst wär ich echt hilflos, die ganze PC sache ist nicht so meins.

der eigentlich garnicht so viel schreiben wollte

warm hast du´s dann :?:

Ich hat noch nie Probleme mit Viren. Mein PC läuft und läuft und läuft...

Ich hat noch nie Probleme mit Viren. Mein PC läuft und läuft und läuft...

Wie Duracell Baterien! "Die Baterie läuft, und läuft, und läuft, und läuft..."
:lol: :lol:

Fuji

headchecker,

vielleicht weil ich mal einfach so einen Tip loswerden wollte, was wirklich der Bringer ist wenn man ernsthafte Probleme hat mit seinem Rechner.

Aber soll nicht mehr vorkommen, weil es ja auch off topic ist und von Boardies wie Dir offensichtlich nicht verstanden wird :)

Ich verneige mich vor deiner großen geistigen Leistung in Form dieser Frage. Boaaaahhh - Es werden eindeutig mehr Helden wie Du benötigt :)


mit netten Grüssen Surfer
p.s. nach Diktat verreist - zum Training *g*


http://www.danasoft.com/vipersig.jpg

ich hatte mir das update schon vor einiger zeit installiert,
als die sicherheitslücke bekannt wurde, deswegen bin ich verschont worden.

@ surfer

verstanden hast du es trotzdem net! ;)

Sorry for OFF Topic

Man glaubt es kaum !

X-Hd:
Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. Wed Aug 13 21:39:23 2003
Received:
from thomes ([80.184.135.183]) by fastrun.at ; Wed, 13 Aug 2003 21:40:16 +0200
From:
<Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. >
To:
<Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. >
Subject:
Re: Document
Date:
Wed, 3 Sep 2003 21:37:22 +0200
Importance:
Normal
X-Mailer:
Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority:
Normal
X-Priority:
3 (Normal)
MIME-Version:
1.0
Content-Type:
multipart/mixed; boundary="CSmtpMsgPart123X456_000_0012FB54"
X-Rcpt-To:
<Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. >
X-SpamDetect:
low: Suspect ref
Message-ID:
<Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. >
Return-Path:
<Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. >
X-DPOP:
Version number supressed
X-UIDL:
1060803770.461973
Status:
U



Gerade bekomme ich eine Mail [ von Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. Original Sender IP 80.184.135.183 [D87b7.pppool.de] Location: Düsseldorf und er nutzt
Outlook Express 6.00.2600.0000 ]

mit einer document003.pif Datei als Anhang die einen Virus enthält, die es in sich hat. Der Virus heißt W32.Sobig.A@mm und installiert einen Trojaner (der sich Backdoor.Lala nennt) wenn man ihn aufruft. Kann man nachlesen hier:

http://forum.digitalspy.co.uk/board/t/80115/1e64e315aafae5d06f8987aebb4a4c3dds.html

oder hier bei Symantec:

http://securityresponse.symantec.com/avcenter/venc/data/Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten.

Was dabei wirklich seltsam ist, ist die Tatsache das meine E-mail addy in diesem Board brandneu ist und nirgendwo anders veröffentlicht wurde.

So kann ich den Düsseldorfer bzw denjenigen der über einen Düsseldorfer Einwahlknoten ins Netz geht nur eindringlich bitten mal sehr intensiv sein System zu scannen. Denn wenn ich alles glaube, eines jedoch nicht das derjenige diesen Virus mit Absicht rausgelassen hat.

Vielmehr trawls der Virus wenn man die pif Datei anklickt nach e-mail Adressen um sich dann wieder weiter mit der gefakten E-mail addy Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. weiter durch das Internet zu pushen.

Das Böse ist immer und überall :) Aber das GUTE siegt dennoch.

Hier noch der Download Link von Symantec um diesen Palgegeist loszu werden:

http://securityresponse.symantec.com/avcenter/FixSobig.exe

Nicht vergessen, einer von diesem Board hat einen Rechner der mit diesem Virus konterminiert ist. Es scheint nur eine Frage der Zeit zu sein wann viele andere damit durchseucht sein werden

Der Spiegel hat dieses Thema auch schon aufgegriffen:
Links und Bilder sind den registrierten Mitgliedern des Muskelbody Bodybuilding Forums vorbehalten. mit netten Grüssen Surfer

http://www.danasoft.com/vipersig.jpg