Beiträge: 870
Themen: 59
Registriert seit: Dec 2002
Bewertung:
5
weiss eigentlich mittlerweile jemand ob man die masblast.exe aus dem system32 verzeichnis und aus dem task manager loeschen kann/soll?
Aus der registry hab ich sie schon rausgeschmisse, kommt allerdings nach dem booten immer wieder rein
Beiträge: 1.929
Themen: 58
Registriert seit: Dec 2002
Bewertung:
6
Kann man loeschen, die gehoert da nicht hin.
Zitat:Offenbar gab es heute eine grosse Attacke auf Windows-Rechner. Dabei nutzen die Angreifer (es ist noch nicht definitiv geklaert, ob es sich dabei um eine Attacke handelt) ein seit dem 16. Juli 2003 bekanntes Sicherheitsloch in den Windows-Versionen XP, 2000 und NT4. Wichtigtes Merkmal ist eine Meldung, dass der Rechner durch NT-Autoritaet in 60 Sekunden heruntergefahren wird. Der Bug, ein so genannter Buffer Overrun, steckt im Dienst Remoteprozeduraufruf. Im schlimmsten Fall kann ein Angreifer aus dem Internet die komplette Festplatte loeschen. Laden Sich unbedingt den passenden Microsoft-Patch herunter und installieren Sie ihn, auch wenn Sie bisher kein merkwuerdiges Verhalten Ihres PCs feststellen konnten.
Update: Nach der Installation des Patches und einem PC-Neustart sollten Sie die Datei msblast.exe suchen und loeschen. Entfernen Sie auch alle passenden Eintrage aus der Registry. oeffnen Sie diese ueber Start, Ausfuehren, regedit und suchen Sie nach dem Dateinamen und loeschen Sie Eintraege, achten Sie aber darauf, wirklich nur diese Eintraege zu markieren.
quelle:gamestar.de
sogar auf diablo 2 seiten wird darueber berichtet; hab zwar auch win xp - aber zum glueck den fehler bis jetzt noch nicht!
<a href='http://safeurl.de/?http://safeurl.de/?http://diablo2.ingame.de/kommentare.php?&newsid=204434' target='_blank'>http://diablo2.ingame.de/kommentare.php?&newsid=204434</a>
<a href='http://safeurl.de/?http://safeurl.de/?http://d2nforum.gamigo.de/showthread.php?threadid=149765' target='_blank'>http://d2nforum.gamigo.de/showthread.php?t...threadid=149765</a>
Beiträge: 240
Themen: 21
Registriert seit: Dec 2002
Bewertung:
0
Micht hat's gestern auch erwischt, hab' mir die ganze Nacht um die Ohren geschlagen deswegen ! SEUCHE!!!!!!!!!!!
Beiträge: 390
Themen: 28
Registriert seit: Dec 2002
Bewertung:
0
Aktuelle News-Meldung von Heise.de
Zitat:Alle Schotten dicht -- W32.Blaster greift an
Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundeasamt fuer Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.
Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf den Ports UDP-Ports 135, 137 und 138, sowie den TCP-Ports 135, 445 und 593 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgefuehrt, der auf System B eine Shell auf Port 4444 oeffnet. System A veranlasst System B mittels TFTP (tftp <host a> get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir% System32 nachzuladen und zu starten. Anschliessend installiert sich der Wurm auf System B, schliesst Port 4444, startet einen TFTP-Server und greift weitere Systeme an.
Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzufuehren. Als Zeitraum dafuer ist der 15. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Eintraege erzeugt:
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darueberhinaus oeffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geoeffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geoeffnet werden, also auf eingehende Verbindungen warten.
Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen.
Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitsluecke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermoeglicht, nicht beseitigt, sollten zusaetzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden. (dab/c't)
<a href='http://safeurl.de/?http://www.heise.de/newsticker/data/dab-12.08.03-000/' target='_blank'>Heise.de</a>
meine buerorechner hat das BoeSE auch grad alle lahmgelegt
und in meinem freundeskreis ging die seuche heute morgen
massig auch schon um - teufelszeug diese computer
Beiträge: 390
Themen: 28
Registriert seit: Dec 2002
Bewertung:
0
Beiträge: 1.756
Themen: 138
Registriert seit: Dec 2002
Bewertung:
0
hab das Prob auch seit so ner woche und dachte schon sonstwas...
--maniac+ QUOTE (maniac) schrieb:Skynet ... kommt wer mit nach Crystal Peak?
Beiträge: 1.303
Themen: 44
Registriert seit: Dec 2002
Bewertung:
2
Bin ich hier wohl der einzige der verschont geblieben ist...
Beiträge: 1.191
Themen: 37
Registriert seit: Dec 2002
Bewertung:
0
hab auch von bekannten gehoert die das problem haben... ich (bis jetzt) noch nicht...
hab nu den patch... wollte bei der gelegenheit auch gleich mal servicepack 1 installn da kriegte ich die meldung "die zum starten de computers verwendete systemdatei (kernel) ist keine microsoft-windows datei. Das servicepack wird nicht installiert. weitere informationen bla bla blubb...." kein weiterer kommentar.....
Beiträge: 1.756
Themen: 138
Registriert seit: Dec 2002
Bewertung:
0
<span style='font-family:Impact'><span style='color:red'> <span style='font-size:21pt;line-height:100%'>ACHTUNG!</span></span></span>
Symantec hat jetzt ein kleines tool online gestellt das den wurm entfernt
<a href='http://safeurl.de/?http://securityresponse.symantec.com/avcenter/FixBlast.exe' target='_blank'>http://securityresponse.symantec.com/avcen...er/FixBlast.exe</a>
Beiträge: 870
Themen: 59
Registriert seit: Dec 2002
Bewertung:
5
Hab gestern abend automatisches rebooten ausgeschaltet, habe msblast.exe aus dem system32 verzeichnis, aus der registry und aus dem taskmanager entfernt, habe meine Firewall angemacht und habe adaware drueber laufen lassen.... seitdem keine Probleme mehr
Aber ich saug mir jetzt noch dieses teil von symantec, falls dieser kleine teufelswurm sich noch irgendwo festgesetzt hat :shot:
Beiträge: 1.436
Themen: 109
Registriert seit: Dec 2002
Bewertung:
0
zum glueck bin ich (bisher) verschont geblieben, aber einige meiner kumpels ham sich gestern auch die nacht mit neuinstallieren um die ohren geschlagen... (erfolglos wie sich rausstellen sollte)
Beiträge: 381
Themen: 6
Registriert seit: Dec 2002
Bewertung:
0
ich hab zum glueck vor dem versuch der neuinstall hier nochmal ins board geguckt und den thread hier gefunden
|