Entwickler-Ecke :: Thema anzeigen

Chris1308 - Mo 11.08.03 20:13
Titel: msblast-Virus?

Hi,
seit einigen Minuten (ca. 30 Minuten) kann ich mein Windows nicht mehr nutzen. Grund ist ein ständiges Herunterfahren.

Es ist das Fenster, wo man aufgefordert wird alles zu speichern und zu beenden, denn Windows würde gleich heruntergefahren.
Als Grund ist angegeben ein ungültiges Beenden des Dienstes Remoteprozeduraufruf.

Der Fehlerquelle bin ich bereits gefunden. Eine msblast.exe. Ich habe alles aus der Registry gelöscht und auch Dateien, die damit in Verbindung stehen sind gelöscht. Allerdings besteht das Problem weiterhin.

Nur im gesicherten Modus bin ich wirklich sicher, denn die Datei ist immer wieder da und immer wieder im Autostart.

Hat jemand Ideen? Denn ich bin eigentlich auf Windows angewiesen, auch wenn ich derzeit mit Linux ganz gut zurecht komme. ;)

Chris

kongreddgrass - Mo 11.08.03 20:42

Hi,
versuch mal bei http://www.pcwelt.de/downloads/utilities/virenprogramme/8861/
den AntiVir Virenscanner du downloaden. Falls es nicht geht, bau die Festplatte aus und geh zu einem Freund, wobei du deine Festplatte als Slave jumperst. (Stecker bei Master raus und bei slave rein, siehe Blatt auf der Festplatte) und lässt es bei deinem Freund nach Viren durchsuchen lassen(mit AntiVir) und kehre froh nach Hause. Vergesse nicht die Festplatte wieder als Master zu jumpern. :wink:
Mike

PS: Meine Mutter hatte mal einen Virus runtergeladen. HAb Festplatte durchsuchen lassen und dirfte 230 mal auf löschen(reparieren) klicken. Pffffff :oops:

kongreddgrass - Mo 11.08.03 20:56

Hi,
ich hab immer auf
Reparieren geklickt, weil ja alle harmlosen *.Exe dateien infiziert wurden.
Zum beispiel auch die Exe datei von Word oder Exel der T-Online. Nun ja, ich brauche nicht alle hinschreiben. Hab ja Antivir nur zum Notfall installiert (musste die Festplatte ausbauen und bei mir rein, dann gings).
Seitdem hab ich Antivir drauf.

An alle die ein perfektes System haben wollen, empfehle ich
als Firewall: Sygate Personal Firewall
als Virenscanner: AntiVir oder F-Secure

Mike :wink:

Phobeus - Di 12.08.03 10:21

Achtung! MSBlast scheint sich aggressiver zu verbreiten als man zunächst angenommen hat. Bin beruflich im IT-Bereich tätig und kann sagen, dass der Virus etliche PCs abgeschossen hat, die NICHT AUSREICHEND oder GAR NICHT geschützt ist... der beste Beweis dafür, dass Sicherheit für JEDEN wichtig ist...

Vorgehensweisen und nähere Informationen dazu findet ihr unter : [url]http://www.bsi.de[/url]
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
Bitte nicht gleich formatieren, technisch ist das Ding harmlos und läßt sich schnell fixieren! Betroffen sind alle WinNT_System Win9x scheint es nicht zu jucken. Wer nicht hinter einem Router/Proxy/Firewall hängt, sollte nochmal schleunigst die letzten Frist nutzen um etwas gegen dieses eklatante Sicherheitsleak zu unternehmen. Jeder IT-Mensch der davon betroffen ist, sollte ich was schämen...

neojones - Di 12.08.03 11:03

@Phobeus: In unserer Firma haben wir ganz schlicht und ergreifend die Ports 135 bis 139 und zwei weitere auf der Linux-Firewall gesperrt (Also: Eigentlich waren die ohnehin gesperrt, weil alles gesperrt ist, was nicht explizit freigegeben ist). Problem erledigt.

Zusätzlich haben wir noch auf allen PC's das Patch eingespielt. 120 PC's sind damit sicher :-)

Allerdings hats bereits heute früh 3 unserer Kunden erwischt, obwohl wir seit knapp 3 Wochen explizit warnen, dass das Patch eingespielt werden muss. Naja, was solls. Sind alles zusätzliche Aufträge *g*

Viele Grüße,

Matthias

Delete - Di 12.08.03 11:33

Wer gerade online ist, kann auch unter http://www.sygatetech.com/prequickscan.html gucken, ob sein System betroffen ist. Der alternative Komplettscan geht natürlich auch, dauert aber länger.

@neojones: Ja, hier ist das auch passiert. Eine Filiale ist bereits betroffen, soweit ich das mitbekommen habe.

Delete - Di 12.08.03 11:58

Was habt ihr eigentlich alles für komische Windows Systeme? Ich hatte noch nie einen Virus, Wurm oder Trojaner. Und ich bin nur wirklioch viel im Internet unterwegs mit dem IE und mit Outlook Express! Alles was ich laufen habe zusätzlich ist ein Firewall (Kerio). Alles was rauswill und ich nicht kenne, wird geblockt. Alles was rein will auf einen Port, der von einem anderen Programm genutzt wird, wird geblockt. Alle E-Mails mit Anhang von unbekannten Personen werden gleich gelöscht. lade ich hier ein Programm zum Testen runter, wird erstmal der Virenscanner (AntiVir)drübergejagt, den habe ich nämlich nicht ständig laufen. Und zu guterletzt habe ich noch ein sauberes Image als Backup. Mich hätte das ganze 7 Minuten aufgehalten (7 Minuten brauche ich, um das Image zurückzuspielen.)

Der test von Mathias hat ergeben, das alle Ports zu sind.

Hier noch ein paar Seiten:
http://grc.com/default.htm
http://security.symantec.com/ssc/home.asp?j=1&langid=ge&venid=sym&plfid=22&pkj=JVJBWYSHSFVIGMKIIPL
http://www.symantec.com/avcenter/

Phobeus - Di 12.08.03 13:06

Die "komischen Systeme" sind jene von Menschen, die eine Standard-Installation von Windows haben und denken, dass sei Sicherheit ausreichend... sagte ja, wer grundlegende Sicherheitsaspekte berücksichtigt ist nahezu sicher... aber Inkompetenz wird dadurch recht gut gezeigt...

Delete - Di 12.08.03 13:12

Nicht zu vergessen: die Leute, die zwar eine Firewall nutzen, die aber nicht richtig konfiguriert ist. Folge: man glaubt sich fälschlich in Sicherheit.

Z.T. liegt´s aber auch an der verwendeten Win-Version. Wer freiwillig XP-Home einsetzt, muss IMHO bestraft werden. :wink: Admin-Konto standardmäßig ohne Pwd, Hauptbenutzer standardmäßig mit Admin-Rechten ... :roll: ... das kann nix werden.

Mein XP-Pro ist auch dicht. Trotzdem werde ich heute (wenn ich heimkomme) noch ein AV-Update machen.

Phobeus - Di 12.08.03 14:37

Ja, ich fühle mich hinter einem Linux-Router (http://www.fli4l.de) auch recht sicher... ich habe auch kein Mitleid mit betroffenen, zumal der Wurm harmlos ist und keinen Schaden anzurichten zu scheint, sondern offen und ehrlich gesagt, ne Warnschuss an alle war, die auf Sicherheit keinen wert legen... wer nun sagt harmlos... interessiert mich alles immer noch nichts, in ein paar Tagen werden Varianten auftauchen, die gefährlicher sind, da die Programmierer dieses Wurm es wirklich gut meinten...

hoffentlich lernt jemand aus diesem Knall... und motzt nicht auf Linux, Sicherheitsfreaks oder IT-Leuten rum... handeln, nicht meckern heißt die Devise...

Delete - Di 12.08.03 15:20

Na ja, ist aber auch kein Grund, auf Windows rumzuhacken. :) Wenn man´s richtig einstellt, kann man auch gut damit arbeiten. Es müssten eben nur alle Besitzer von NT, 2000 und XP (Home oder Pro) den alten Linux-Rat beherzigen: "Als Root arbeitet man nicht!" - oder auf Windows bezogen eben: "Niemals als Administrator arbeiten."

Wer diese einfache Regel beherzigt und das Admin-Konto nur für seine eigentliche Aufgabe benutzt (zur Administration und Problembehebung!), der kann auch mit Windows recht sicher arbeiten.

Brueggendiek - Di 12.08.03 22:53

Hallo Leute!

In einem Römerforum zum Thema Computerprobleme hatte mal einer Probleme mit ner Firewall. Eine der Antworten zog mir dann die Socken aus: Firewalls sind Unfug, weglassen!

Naja, so kenne ich dann also eines dieser Dreckschweine :mrgreen:

Gruß

Dietmar Brüggendiek

Aya - Mi 13.08.03 00:21

Hi,

also ich selbst hab auch keine Firewall/Virenscanner... ich finde die dinger nerven nur tierisch... vorallem Virenscanner machen das arbeiten am PC doch ziemlich langsam wenn sie erst jeden Ordner/Datei durchsuchen bevor sie ihn öffnen...

Ich hab zwar nen Virenscanner installiert, aber nur um ab und an Programme die ich zum testen vorgesetzt bekomme durchzuschauen...

Und ich hab vorhin mal nen komplett Test gemacht... nicht einen einzigen Virus hat das ding gefunden (Nur einen... *g* bzw besser gesagt nen Backdoor Programm... Das komische is nur, das ding hab ich selber Programmiert, damals wollten wir unseren Lehrer bei ner Präsentation ärgern... Wundert mich das der da meint das sei nen Backdoor... bzw, woher kennt der scanner das? :) )

Au'revoir,
Aya~

Delete - Mi 13.08.03 08:06

Weil du wahrscheinlich bestimmte "Schlüsselbefehle" benutzt hast, die typisch für Backdoor-Software ist. Merkt man ja bspw. auch bei Script-Scannern (von Symantec etwa): sobald der Zugriff auf das System versucht wird ("WScript.Shell" und Co.) meldet sich der Scanner und warnt vor dem Ausführen.

Wenn ich mich recht erinnere, hatte Hinterwäldler mit seiner UPX-Shell ein ähnliches Problem. Durch das Kompilieren wurde eine viren-ähnliche Signatur erzeugt, die dann entsprechend bemängelt wurde. :)

lemming - Mi 13.08.03 08:46

Und deswegen steigt alle um auf Mac! Den da gibt es sowas nicht! Nehmt CodeWarrior und lebt glücklich auf der Sonnenseite des Lebens. <sekte pitch=pray>Es kann alles so einfach sein und.

Und du willst es auch!!!</sekte>

Phobeus - Mi 13.08.03 10:17

Wie die Lemminge stopfen sich alle von einem zum anderen... dabei kann auch ein Windows-Rechner relativ sicher sein... alle die ICS nutzen! Pfui! Weg damit baut auch ausm alten 486 ne FLi-Router ==> http://www.fli4l.de
Eine Firewall ist dann auch nicht mehr notwendig ==> komfort. Ist man direkt dran als einziger, ist es aber notwendig. Eine Firewall stöhrt nicht... wie wäre es mit einer die nur nach außen Verteidigt? Muss ja nicht jeder Angst vor Trojanern haben, den...
Wer nicht gerade Outlook / Express einsetzt, braucht wirklich nur Angst vor eigener Dummheit haben um sich was einzugangen. Mozilla / Opera heißt die Lösung. Dann kann man auch beruhigt seinen Virenscanner nicht mehr in Echtzeit prüfen lassen und nur noch bei verdächtigen Inhalten scannen bzw. den Download-Ordner? Sowas tut nicht weh, kostet keine Leistung und mit diesem paar Tips kann man auch gerne Windows nutzen ohne dabei Angst zu haben oder wertvolle Ressourcen zu verschwenden. Aber all jene, die glauben es sei ihnen zu kompliziert / zuviel Arbeit ... sollen sich nicht anschließend beschweren wenn was schief geht. Da hat weder M$, noch wer anders schuld.. ihr seid für Euch verantwortlich. Seid doch schon alle groß ;)

Delete - Mi 13.08.03 10:23

Ich benutze auch Outlook Express. Und ich hatte bisher noch keine Virus, obwohl ich dreimal am Tag einen zugeschickt bekomme. Aber ich habe die Vorschau deaktiviert und ich öffne keine Anhänge von mir unbekannten Personen. Also who cares?

Phobeus - Mi 13.08.03 10:36

Ja, sicherlich... wer weiß was er frißt, lebt gesünder... aber ich will mal spontan wetten, dass niemand ActiveX-Script entsprechend in seinem IE deaktiviert hat... alle glauben man braucht es, alle haben es an und wissen gar nicht, was sie damit ungesundes tun. Nur als Beispiel, ich bin Mozilla-Nutzer und brauchte bisher gar kein ActiveX. Zumindest Eingabeaufforderung sollte drinne sein oder ablehnen und erst dann zulassen, wenn man 100% sicher ist was man macht!

Delete - Mi 13.08.03 11:30

Phobeus hat folgendes geschrieben:

Ja, sicherlich... wer weiß was er frißt, lebt gesünder... aber ich will mal spontan wetten, dass niemand ActiveX-Script entsprechend in seinem IE deaktiviert hat...

Wette verloren. Bei mir ist alles aus, obwohl ich den IE nicht mal zum Surfen sondern nur zur lokalen Betrachtung von HTML-Seiten benutze. Ich habe in den Sicherheitseinstellungen sogar den Arbeitsplatz freigeschaltet, den man standardmäßig nicht sieht, um dessen Einstellungen bezüglich ActiveX und Co. ändern zu können.

Zitat:

alle glauben man braucht es, alle haben es an und wissen gar nicht, was sie damit ungesundes tun.

Die, die das glauben bzw. nicht besser wissen, sind meist noch Anfänger. Ich würde den Kreis also nicht so weit ziehen und Windows-User pauschal als dumm abstempeln - so ungefähr hört sich dein Satz an.

Phobeus - Mi 13.08.03 12:08

Ich würde nicht ihre akademische Intelligenz anzweifeln, aber das das Computerwissen bei einigen kleiner ist als soi mancher behauptet hat dieser nette Virus IMAO gezeigt. Vielleicht ist in anderen Regionen auch anderes Sicherheitsbewußtsein? 95% aller Windows-Kisten die ich kenne sind ohne solche banalen Sicherheitseinstellungen ausgestattet, bei vielen davon wurden sogar selbst nicht zertifizierte ActiveX-Elemente auf "automatisch" gesetzt, da es sonst bei einigen Seiten "stöhrte"... inzwischen glaube ich alles ;)

Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2026 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!