chris35 10 Geschrieben 16. Februar 2004 Melden Teilen Geschrieben 16. Februar 2004 Ich dachte schon ich bin auch drauf reingefallen, bin aber nochmal mit dem Schreck davon gekommen. Habe mein XP neu aufgespielt und alle Patch's aufgespielt. Nach dem Check war auch alles i.O.! Anschließend habe ich meine Firewall installiert. Bis dahin war noch alles gut. Die erste Zeit im Internet war auch noch OK., aber plötzlich meldete meine Firewall das die msblast.exe im Ordner system32 Zugriff wünscht. Die spinnt wohl, nix da. Fertig und da geht auch nix. Aber hier nun meine Frage, wie kommt der Blaster auf mein System, wenn ich vorher garnicht im Internet war bevor ich nicht die Patch's installiert habe. Kann ich die exe einfach öschen, ich glaube schon und hab es auch, nur kommt das Biest wieder? Zitieren Link zu diesem Kommentar
saracs 10 Geschrieben 16. Februar 2004 Melden Teilen Geschrieben 16. Februar 2004 ich würde sicherheitshalber deine firewall einstellungen nochmal checken (ports ;) ) und natürlich mal stinger bzw von symantec nen tool drüberlaufen lassen. soweit ich weiss setzt sich der blaster ziemlich gut im rechner fest (registry). wenn du den blaster drauf hattest, wieso ist dann der rechner nicht heruntergefahren bzw hat es zumindest versucht? gruss saracs Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 16. Februar 2004 Melden Teilen Geschrieben 16. Februar 2004 Hallo Die Patches beheben nur den bug im svchost.exe, so dass der RPC beim Erhalten von fehlerhaften werten über den Port 135 vom I-Net nicht zusammenbricht. Den Virus kannst du dir aber immernoch laden. Gruss Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 16. Februar 2004 Melden Teilen Geschrieben 16. Februar 2004 Kleiner Nachtrag: Distribution Ports: TCP 135, TCP 4444, UDP 69 Listens on UDP port 69. When the worm receives a request from a computer to which it was able to connect using the DCOM RPC exploit, it will send msblast.exe to that computer and tell it to execute the worm. Also Port 69 dicht machen, sonst kommt der Wurm auch rein. :eek: :mad: :D Zitieren Link zu diesem Kommentar
chris35 10 Geschrieben 16. Februar 2004 Autor Melden Teilen Geschrieben 16. Februar 2004 Ich hab es so gemacht • Laden Sie den RESOLVE W32/Blaster-A Self-Extractor herunter hier: http://www.sophos.de/misc/blastsfx.exe und doppelklicken Sie darauf (der Inhalt wird nach C:\SOPHTEMP entpackt) • Wählen Sie Start|Ausführen und geben Sie cmd ein (auf Windows 95/98/Me geben Sie command ein), um eine Befehlseingabe zu öffnen. • Klicken Sie auf "OK". • Für eine nicht interaktive Entfernung geben Sie folgendes ein: C:\SOPHTEMP\RESOLVE.COM -DF=BLASTERA.DAT -NOC Drücken Sie Enter Danke Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 17. Februar 2004 Melden Teilen Geschrieben 17. Februar 2004 Hi! Sorry, aber einem Tool würde ich nicht vertauen! Also die volle Palette durchziehen! Und sehen was kommt! Zitieren Link zu diesem Kommentar
Ralle 10 Geschrieben 17. Februar 2004 Melden Teilen Geschrieben 17. Februar 2004 Also wenn du ihn manuell löschen willst: 1. msblast.exe (kann auch mslaught.exe heissen) im Taskmanager beenden. Dann in der Regestry nach mslaught.exe und msblast.exe und die einträge manuell rauslöschen und als letzes die Exe im System32 ordner löschen. Gruß Ralle Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.