chris35 10 Posted February 16, 2004 Report Share Posted February 16, 2004 Ich dachte schon ich bin auch drauf reingefallen, bin aber nochmal mit dem Schreck davon gekommen. Habe mein XP neu aufgespielt und alle Patch's aufgespielt. Nach dem Check war auch alles i.O.! Anschließend habe ich meine Firewall installiert. Bis dahin war noch alles gut. Die erste Zeit im Internet war auch noch OK., aber plötzlich meldete meine Firewall das die msblast.exe im Ordner system32 Zugriff wünscht. Die spinnt wohl, nix da. Fertig und da geht auch nix. Aber hier nun meine Frage, wie kommt der Blaster auf mein System, wenn ich vorher garnicht im Internet war bevor ich nicht die Patch's installiert habe. Kann ich die exe einfach öschen, ich glaube schon und hab es auch, nur kommt das Biest wieder? Quote Link to comment
saracs 10 Posted February 16, 2004 Report Share Posted February 16, 2004 ich würde sicherheitshalber deine firewall einstellungen nochmal checken (ports ;) ) und natürlich mal stinger bzw von symantec nen tool drüberlaufen lassen. soweit ich weiss setzt sich der blaster ziemlich gut im rechner fest (registry). wenn du den blaster drauf hattest, wieso ist dann der rechner nicht heruntergefahren bzw hat es zumindest versucht? gruss saracs Quote Link to comment
Velius 10 Posted February 16, 2004 Report Share Posted February 16, 2004 Hallo Die Patches beheben nur den bug im svchost.exe, so dass der RPC beim Erhalten von fehlerhaften werten über den Port 135 vom I-Net nicht zusammenbricht. Den Virus kannst du dir aber immernoch laden. Gruss Quote Link to comment
Velius 10 Posted February 16, 2004 Report Share Posted February 16, 2004 Kleiner Nachtrag: Distribution Ports: TCP 135, TCP 4444, UDP 69 Listens on UDP port 69. When the worm receives a request from a computer to which it was able to connect using the DCOM RPC exploit, it will send msblast.exe to that computer and tell it to execute the worm. Also Port 69 dicht machen, sonst kommt der Wurm auch rein. :eek: :mad: :D Quote Link to comment
chris35 10 Posted February 16, 2004 Author Report Share Posted February 16, 2004 Ich hab es so gemacht • Laden Sie den RESOLVE W32/Blaster-A Self-Extractor herunter hier: http://www.sophos.de/misc/blastsfx.exe und doppelklicken Sie darauf (der Inhalt wird nach C:\SOPHTEMP entpackt) • Wählen Sie Start|Ausführen und geben Sie cmd ein (auf Windows 95/98/Me geben Sie command ein), um eine Befehlseingabe zu öffnen. • Klicken Sie auf "OK". • Für eine nicht interaktive Entfernung geben Sie folgendes ein: C:\SOPHTEMP\RESOLVE.COM -DF=BLASTERA.DAT -NOC Drücken Sie Enter Danke Quote Link to comment
günterf 45 Posted February 17, 2004 Report Share Posted February 17, 2004 Hi! Sorry, aber einem Tool würde ich nicht vertauen! Also die volle Palette durchziehen! Und sehen was kommt! Quote Link to comment
Ralle 10 Posted February 17, 2004 Report Share Posted February 17, 2004 Also wenn du ihn manuell löschen willst: 1. msblast.exe (kann auch mslaught.exe heissen) im Taskmanager beenden. Dann in der Regestry nach mslaught.exe und msblast.exe und die einträge manuell rauslöschen und als letzes die Exe im System32 ordner löschen. Gruß Ralle Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.