|
|
|
|
|
|
Autor |
Nachricht |
 |
|
|
|
Di 12.08.03 17:23 Wurm: W32.Blaster - Lovsan.A - svchost/rpc/remoteprozedur...
|
|
zuerst sorgen wir mal dafür dass der rechner nicht immer neustartet wenn der prozess beendet wird.
dafür brauchen wir das menü verwaltung im startmenü:
start - einstellungen - taskleiste und startmenü - startmenü - anpassen
und einen haken bei "verwaltung anzeigen" setzen. mit ok bestätigen.
(falls ihr "verwaltung anzeigen" nicht sofort findet kann es sein dass ihr erst auf erweitert klicken müsst)
nun gehen wir in die verwaltung:
start - programme - verwaltung - dienste
jetz rechts auf "remoteprozeduraufruf" doppelklicken, dann auf wiederherstellen, und jeweils bei "erster fehlschlag", "zweiter fehlschlag" und "weitere fehlschläge" den eintrag "dienst neustarten" auswählen. haben wir das bei allen dreien gemacht kanns weitergehen. also auf ok klicken und die anderen fenster schliessen.
jetzt wird dafür gesorgt dass der pc nichtmehr angegriffen werden kann. dafür brauchen wir eine firewall. die laden wir uns hier runter: http://www.kerio.com/dwn/kpf2-en-win.exe
wenn die datei heruntergeladen ist starten wir diese und installieren das programm. nach der installation muss der pc neugestartet werden.
nach dem neustart haben wir unten rechts auf der taskleiste ein neues symbol welches aussieht wie ein blaues schild. darauf machen wir einen doppelklick. ein fenster öffnet sich, in diesem klicken wir erst auf file, dann auf admin...
es öffnet sich wieder ein fenster, hier klicken wir auf die schaltfläche advanced.
im nächsten fenster klicken wir auf add... und wieder öffnet sich ein neues.
das wird nun so eingestellt dass alles aussieht wie auf dem folgenden bild:
wenn wirklich alles genau so eingestellt ist klicken wir auf ok und schliessen alle anderen fenster.
nun ist sichergestellt dass wir nicht mehr angegriffen werden.
da wir aber wahrscheinlich schon infiziert sind wollen wir ja nicht nur nichtmehr angegriffen werden sondern auchnoch den virus loswerden.
dafür laden wir uns folgende datei herunter:
http://pool.download.t-online.de/download/dl/73W72IfhhdrSc/shareware/u tilities/antiviren-software/viren_entfernen/fixblast.exe
diese führen wir aus und klicken dann auf die schaltfläche start.
jetzt durchsucht das programm den pc nach dem virus und löscht ihn.
ausserdem sollten wir noch diesen patch von microsoft installieren:
http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0 df4982040ae/WindowsXP-KB823980-x86-DEU.exe
haben wir dies alles gemacht kann uns nichts mehr passieren.
die firewall wird sich nun hin und wieder melden wenn ein programm (wie z.b. der internet explorer oder icq) versucht auf das internet zuzugreifen. in diesem fall setzt man einfach im aufpoppenden fenster den haken und klickt auf permit.
(text und bilder copyright 2003 screeny^^)
ergänzung:
hat zwar nich direkt was mit dem befall zu tun und ist für den einzelnen user auch nich gefährlich, aber es hat sich rausgestellt das am 18. august (bin mir jetz nich ganz sicher) um ne bestimmte uhrzeit jeder infizierte rechner ne DoS (Denial of Service) attacke auf www.windowsupdate.com schicken soll.
das heisst es werden sinnlose pakete an die o.g. adresse geschickt um den server in die knie zu zwingen. aber ich geh einfach mal davon aus dass bis dahin nur noch ein kleiner bruchteil infiziert ist.
Zuletzt bearbeitet von cake am Mi 13.08.03 23:32, insgesamt 4-mal bearbeitet
|
|
|
|
|
 |
|
|
|
Di 12.08.03 17:41
|
|
also mir hat's nicht gebracht 
Ich habs schon vor deiner Beschreibung so gemacht  *angib*
Aber ich finds gut dass du dich so engagierst und auch den unwissenden-Pc Usern mal erklärst wie sowas geht/funktioniert. 
Danke für deine Mühe 
|
|
|
|
|
|
|
Beiträge: 2635
Wohnort: Bonn
Geburtstag: 6.12.1988
|
|
|
Di 12.08.03 17:47
|
|
ich hab die kiste einmal zurückgesetzt und es läuft wieder 
hat genervt wie sau... kaum angefangen zu chatten per icq "nur noch 60 sec." erst dachte ich, da wär überhitzung... egal läuft ja wieder
|
|
|
|
|
|
|
|
|
|
Di 12.08.03 18:10
|
|
|
|
|
|
|
|
Beiträge: 7154
Wohnort: Jena
Geburtstag: 11.11.1985
|
|
|
Di 12.08.03 18:23
|
|
die einfachste lösung is ne einfach ne firewall zubesitzen dann bekommt man das ding erst gar net
|
|
|
|
|
|
|
|
|
|
Di 12.08.03 19:04
|
|
Hab auch das Problem gehabt - übel!!! Habe irgendwo gelesen, dass es erst der Anfang von noch böseren Angriffen sein soll.
|
|
|
|
|
|
|
|
|
|
Di 12.08.03 19:09
|
|
Kenn einige die davon betroffen sind. Ich allerdings nicht. Wofür hat man denn ne Firewall 
|
|
|
|
|
|
|
Beiträge: 1002
Wohnort: rüsselsheim (30km südlich frankfurt/main)
Geburtstag: 27.11.85
|
|
|
Di 12.08.03 19:14
|
|
microsoft hat nen patch dagegen, und bei symantec gibts ein programm kostenlos was den wurm entfernt... (bei mir aht schon der patch geholfen.. danach npchmal das scanprogramm und der wurm sit weg und ksite läuft) ... wenn er sagt das er sich rutnerfarhn will geht start-ausüfhren und tippt da shutdown -a ein... dann fährt er sich nicht runter
|
|
|
|
|
|
|
|
|
|
Di 12.08.03 19:18
|
|
Wo bekommt man denn eine Firewall (mgl. deutsch) her? Ich habe Norton Antivirus drauf - meldete sich aber zu spät.
|
|
|
|
|
|
|
Beiträge: 92
Wohnort: Herford
|
|
|
Di 12.08.03 19:19
|
|
seit kurzem wird die sicherheitslücke im remote procedure call (kurz rpc) von windows angegriffen. die leute die davon betroffen sind bekommen die nachricht das sich der rechner in 60 sekunden neu startet.
Microsoft hat seit ca 2 monaten einen patch draussen den ihr
"hier xp"
und
"hier 2000"
runterladen könnt. ebenfalls bekommt ihr den patch über das windows update.
text: Nach der Installation des Patches und einem PC-Neustart sollten Sie die Datei msblast.exe suchen und löschen. Entfernen Sie auch alle passenden Eintrage aus der Registry. Öffnen Sie diese über Start, Ausführen, regedit und suchen Sie nach dem Dateinamen und löschen Sie Einträge, achten Sie aber darauf, wirklich nur diese Einträge zu markieren.
symantec removal tool für worm.blaster32
mfg max^payne.mimic|t.cs
Is von meinem cheffe!! vielleicht hilfts dem einem oder anderem!!!
gruss nordi
|
|
|
|
|
|
|
Beiträge: 2635
Wohnort: Bonn
Geburtstag: 6.12.1988
|
|
|
Di 12.08.03 20:08
|
|
| Screeny hat Folgendes geschrieben | |
zurückgesetzt?
|
auf ein früheres datum. da war auch noch die win fw aktiviert, die ich für icq dl's deaktiviert hab 
seitdem läft die kiste wie früher: teilweise zu langsam, dafür zuverläßisg
@nordi: dein post liest sich wie die news auf cstrike.de
|
|
|
|
|
|
|
Beiträge: 100
Geburtstag: 04.05.1980
|
|
|
Di 12.08.03 20:30
|
|
Ich habe das symantec removal tool für worm.blaster32 durchlaufen lassen! Jetzt bin ich erstmal beruhigt.
|
|
|
|
|
|
|
|
|
|
Di 12.08.03 20:35
|
|
ey kinners, macht euch doch ma die mühe den text oben zu lesen!
da steht genau drin was man machen muss, vom windows patch über die firewall bis zum removal tool.
ker wofür hab ich mir bitte die arbeit gemacht?
|
|
|
|
|
|
|
Beiträge: 26
Wohnort: Thüringen
|
|
|
Di 12.08.03 21:07
|
|
Ja sehr schööön hastes geschrieben Screeny, aber warum kompliziert, wenns auch einfach geht.
1. Norton Antivirus mit automatischer Aktualisierung --> und es geht
2. Tool von der Symantec Seite --> und es geht
3. Regelmäßige Sicherheitsupdates von Microsoft
das Problem ist altbekannt und es war nur eine Frage der Zeit bis ein Spinner die Sicherheitslücke ausgenutzt hat. Man hätte auf diese Weise auch lcoker ne Festplattenlöschung initieren können.
Gruss
|
|
|
|
|
|
|
Beiträge: 2635
Wohnort: Bonn
Geburtstag: 6.12.1988
|
|
|
Di 12.08.03 21:08
|
|
ich glaub ich sprech im namen von vielen: es ist zu warm um sich mühe zu machen etwas zu lesen
UND
zu verstehen. da platzt einem der kopf.
wofür: k.a. damit du ein gutes gefühl hast anderen zu helfen? um gelobt zu werden?
da kann ich dir wirklich nicht weiterhelfen...
|
|
|
|
|
|
|
|
|
|
Di 12.08.03 21:09
|
|
1. und 2. ist aber keine dauerhafte Lösung, man braucht schon ne Firewall oder das Sicherheitsupdate, um das Problem für immer aus der Welt zu schaffen.
|
|
|
|
|
|
|
Beiträge: 26
Wohnort: Thüringen
|
|
|
Di 12.08.03 21:11
|
|
|
|
|
|
|
|
Beiträge: 16
Wohnort: Melle
|
|
|
Di 12.08.03 21:42
|
|
[quote="nordi"]seit kurzem wird die sicherheitslücke im remote procedure call (kurz rpc) von windows angegriffen. die leute die davon betroffen sind bekommen die nachricht das sich der rechner in 60 sekunden neu startet.
Microsoft hat seit ca 2 monaten einen patch draussen den ihr
"hier xp"
und
"hier 2000"
runterladen könnt. ebenfalls bekommt ihr den patch über das windows update.
...
Mensch Nordi,
hättest mir ja wohl auch heute schon in firma sagen können. Hatte das Prob auch seit gestern abend. Seit wir miteinander gechattet hatten. 
NEIN....
Du warst nicht schuld!
Habe es aber auch selbst in den Griff bekommen.
Gruß
Ravenclaw
|
|
|
|
|
|
|
Beiträge: 92
Wohnort: Herford
|
|
|
Di 12.08.03 21:57
|
|
@ ravenclaw ...... > PAH
@ suave jau kannst recht haben
@Screeny hast jut jemacht
@ REST ...> ich hab euch alle lieb!!!
|
|
|
|
|
|
|
Beiträge: 2635
Wohnort: Bonn
Geburtstag: 6.12.1988
|
|
|
Di 12.08.03 21:57
|
|
| Bullet hat Folgendes geschrieben | |
1. und 2. ist aber keine dauerhafte Lösung, man braucht schon ne Firewall oder das Sicherheitsupdate, um das Problem für immer aus der Welt zu schaffen.
|
geht da auch die windoof xp interne firewall?
weil kaufen wege eines wurms will ich keine und warez mag ch nicht so dolle
|
|
|
|
|
|
|
|
|
|
Di 12.08.03 22:09
|
|
| domian hat Folgendes geschrieben | |
deshalb ja auch 3.
|
wollte mit meinem posting nur klar stellen, dass es doch nich ganz so einfach ist, das ding für immer loszuwerden.
| suave hat Folgendes geschrieben |
geht da auch die windoof xp interne firewall?
weil kaufen wege eines wurms will ich keine und warez mag ch nicht so dolle
|
Die wininterne Firewall tuts zur Not auch auch, aber wozu gibts
Kerio
? Das ist eine sehr schlanke, sehr einfach zu bedienende und dennoch sichere Software-Firewall, die für Privatanwender kostenlos ist.
|
|
|
|
|
|
|
|
|
|
Di 12.08.03 22:34
|
|
ZoneAlarm gibs auch als Freeware ! Und tut auch seine Dienste.
|
|
|
|
|
|
|
Beiträge: 5355
Wohnort: Kronberg i. Ts.
Geburtstag: 04.08.1976
|
|
|
Di 12.08.03 22:36
|
|
Ich sach ja immer: Linux-router, und die Welt ist in Ordnung...
|
|
|
|
|
|
|
|
|
|
Di 12.08.03 22:41
|
|
| Getzy hat Folgendes geschrieben | |
ZoneAlarm gibs auch als Freeware ! Und tut auch seine Dienste.
|
zonealarm musste bei mir für kerio platz machen. ist viel zu cpu-lastig und ich find kerio viel angenehmer zu bedienen.
|
|
|
|
|
|
|
|
|
|
Di 12.08.03 22:41
|
|
Aber wofür ein Router wenn man sowieso nur allein die Internetverbindung nutzt? Da is eine firewall sinnvoller. Besonders, da der Router auch noch Storm verbraucht.
|
|
|
|
|
|
|
|
|
|
|
