Wurm W32.Blaster befällt PC -> System Shutdown

    1. Start -> Ausführen -> "msconfig" eingeben und dann mit Enter besätigen
    2. Unter "Dienste und unter "Systemstart" schaut ihr nach, ob sich eine Datei namens "msblast.exe" dort befindet, falls ja, deaktiviert sie
    3. Drückt nun die Tastenkombination Strg + Alt + Entf
    4. Sucht nun im Ttaskmanager unter "Prozesse nach "msblast.exe"
    5. Wenn dieser Prozess gerade läuft, führt eure Maus darauf und beendet mit der rechten Maustaste den Prozess.
    6. Start -> Suchen -> Dateien und Ordner, dort wiederum nach der Datei ""msblast" suchen
    7. Wenn ihr die Datei findet, löscht sie und rebootet euren PC
    8. Dann noch patchen mit den patches die hier auch schon verlinkt wurden.



    Fertig.


    P.S.: Bin mal gespannt wie weit sich der Wurm verbreitet hat.

    Ohje, jetzt muss ich hier dochmal wieder posten:
    Mir stellen sich beim lesen der Beiträge hier die Haare zu Berge, die betreffende Sicherheitslücke ist schon seit mehr als 7 Tagen bekannt und es wurde ausdrücklich davor gewarnt (siehe: http://www.heise.de/security/news/meldung/39129 und http://www.heise.de/security/news/meldung/39139 ). Wie man nach dieser Zeit noch immer mit einem ungepatchten System im Internet sein kann verstehe ich echt nicht, so viel Unvorsichtigkeit grenzt schon an purer Dummheit (klingt hart, ist aber nunmal so).


    Das was sich die meisten von euch wahrscheinlich neben dem doch recht harmlosen msblast eingefangen haben nennt sich "IRC Bot" und ist ein kleines unscheinbares Programm das gemütlich im Hintergrund läuft und sich in einen IRC Channel einloggt, dort wartet es dann so lange bis jemand ihm ein Commando gibt, das kann dann einen DOS Angriff, das nachinstallieren eines Trojaners usw. bedeuten. Was solche Bots anrichten könnt ihr mal unter: http://grc.com/dos/grcdos.htm nachlesen, dort gibt es auch Tipps um zu schauen ob ein Wurm aktiv ist (Bitte tut das und entfernt den Bot falls vorhanden).


    Genau das ist übrigends auch der Grund warum private Rechner für Cracker oft interessanter sind als Firmenrechner, nicht wegen irgendwelcher Daten auf dem Rechner, sondern wegem dem DDOS Potential das man mit genug Rechnern erlangen kann.


    MFG The_Master, der es für immer wichtiger erachtet das Leute für den Schaden, den ihr Rechner durch Viren-/Trojanerbefall anrichtet, haftbar gemacht werden können.

    www.mnies.dewww.pdaboard.dewww.v3info.de
    Lieber ein Pinguin der läuft, als ein Fenster das hängt...
    Merke: Wer nicht nachdenkt regt sich auch über nichts auf
    Der der nicht in Foren mit vertikaler Zappelwerbung postet.

    Danke, Microsoft für diesen Text wenn man sich einen Security Patch ziehen will...


    The Master


    Die Sicherheitslücke gibt es schon seit dem 16 oder 18.07.


    Ich glaube nicht das der MSBLAST so harmlos ist. Der hat glaubich nichts mit diesem IRC Bot zu tun. Nach den Informationen von Symantec her kann der schon einiges anrichten, und schließlich steht er bei den auch erst seit gestern Nachmittag in der Liste.
    http://securityresponse.symant…ata/w32.blaster.worm.html


    Ich habe auch schon länger diesen Patch auf meinem Rechner, nur leider hat es nichts genutzt:confused:


    Michael Lindner


    ich könnte dir die Datei zukommen lassen, wenn Du sie noch benötigen solltest.

    Zitat

    Original geschrieben von kunterbund1503
      The Master


    Die Sicherheitslücke gibt es schon seit dem 16 oder 18.07.


    Ich weis, aber am 2.8. wurden die ersten offiziellen Warnungen über Exploits herausgegeben. spätestens zu diesem Zeitpunkt hätte man Aufmerksam werden und den Patch installieren bzw. den Zugriff auf die entsprechenden Ports unterbinden müssen.


    Zitat

    Ich glaube nicht das der MSBLAST so harmlos ist. Der hat glaubich nichts mit diesem IRC Bot zu tun. Nach den Informationen von Symantec her kann der schon einiges anrichten, und schließlich steht er bei den auch erst seit gestern Nachmittag in der Liste.


    Ich habe nirgends beschrieben das MSBLAST keinen Schaden anrichtet, allerdings ist das Schadenspotential von IRC Bots wesentlich höher, da diese (im Gegensatz zu MSBLAST das auch das lokale System angreift) dem User erst dann auffallen wenn es zu spät ist (also der Rechner schon an einem DDOS Angriff beteiligt ist). Das MSBLAST erst seit gestern bei Symantec auf der Liste steht hat nur zu sagen das es eben durch die lokale Beinträchtigung des Systems schneller Aufmerksamkeit auf sich zieht, und das es ein Nachzügler im Bezug auf diese Sicherheitslücke ist.


    Zitat

    Ich habe auch schon länger diesen Patch auf meinem Rechner, nur leider hat es nichts genutzt:confused:


    In der von mir verlinkten Warnung von Heise Security steht ja auch eindeutig drin das Win2k Systeme trotz des Patches noch angreifbar sind (bitte solche Artikel immer komplett lesen und nicht nur die Einleitung) und das man auf diesen Systemen Zugriffe auf den Port 135 unterbinden soll. Das geht entweder durch eine externe Firewall oder dur eine personal Firewall die Portfiltering/Blocking beherrscht (das ist eine der wenigen Ausnahmen wo eine P-Firewall Sinn macht). Zudem ist es Grundsätzlich empfehlenswert eingehende Verbindungen an Ports < 1055 auf Windowsrechnern, die keine Serverdienste bieten, nach außen hin zu sperren.

    www.mnies.dewww.pdaboard.dewww.v3info.de
    Lieber ein Pinguin der läuft, als ein Fenster das hängt...
    Merke: Wer nicht nachdenkt regt sich auch über nichts auf
    Der der nicht in Foren mit vertikaler Zappelwerbung postet.

    Ich habe es dank der vielen nützlichen Tips geschafft, mein System auf den neuesten Stand zu bringen.


    Doch seitdem ist ein Problem dazugekommen:


    Ich habe plötzlich einen neuen Benutzer "ASP.NET Machine A..."
    Dieses ist ein eingeschränktes, kennwortgeschütztes Konto.


    Woher kommt das jetzt, bzw. wer oder was hat es angelegt?


    Kann man diesen Benutzer bedenkenlos löschen, bzw. läßt er sich löschen (Kennwort), oder wird er vom System gebraucht?

    Handys: SonyEricsson W890i, K750i, Samsung SM-G920F Galaxy S6, SM-T805 Galaxy Tab S 10.5 LTE, P300, D880, E1080i, B100, Nokia 2610, Motorola V3i Dolce & Gabbana, C121, W156, Siemens SL55, SL45i, C55, Sagem My230x, LG KB770, KP100, GB102, Huawei U8600 (Telekom Move)

    Dieser Wurm scheint sich wirklich rasant zu verbreiten. Habe gerade zwei Telefonanrufe von aufgelösten XP-Usern erhalten, deren Rechner sich auch infiziert hatten. Wenige Minuten ohne Firewall im Internet haben genügt.

    Neustart abschalten!


    Man kann die Aktion des Systemneustarts auch ganz einfach abschalten, dann passiert auch nichts mehr:


    SYSTEMSTEUERUNG - VERWALTUNG- DIENSTE und dann dort aus der Liste REMOTEPROZEDURAUFRUF heraussuchen und in den Einstellungen einfach die AKTION von SYSTEM NEU STARTEN auf einen beliebigen anderen Eintrag ändern!


    Das wars!


    Aber einen Patch habe ich trotzdem mal draufgezogen!


    Gruß Kossy

    Telekom Magenta Mobil XL Premium
    -  iPhone 7 128 GB diamant-schwarz
    -⌚️42mm Edelstahl mit schwarzem Sportarmband
    -  iPad Pro 9,7" 128 GB WiFi + Cellular
    -  iPhone SE 64 GB silber
    - AirPods

    Re: Neustart abschalten!


    Zitat

    Original geschrieben von kossy
    SYSTEMSTEUERUNG - VERWALTUNG- DIENSTE und dann dort aus der Liste REMOTEPROZEDURAUFRUF heraussuchen und in den Einstellungen einfach die AKTION von SYSTEM NEU STARTEN auf einen beliebigen anderen Eintrag ändern!


    Das wars!


    Nicht ganz!


    Damit hast Du zwar die Folgen beseitigt (keine Neustarts mehr), der Wurm ist aber weiterhin aktiv.


    Wer aber die letzten Beiträge gelesen hat und die entsprechenden Massnahmen (Patch, msblast entfernen, Registry "säubern" und ggf. entsprechende Dienste deaktivieren) durchgeführt hat, der sollte auf der sicheren Seite sein.

    mfg supersiggi

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden