hatten das hier auch is aber nicht schwer zu löschen is ein troiander... ich copy euch dazu ma was
So wie das aussieht haben wir alle ein kleines Problem.
Es gibt scheinbar den ersten Trojaner der über das WEB via Broadcast verschickt wird. Ich bin der Sache zwar ein wenig auf der Spur aber es scheint so als würde sich das Ding über den RPC Service installen. Da hierbei keine authentifizierung notwendig ist wird das Ding einfach als Systemservice installiert.
Danach nutzt das gute Stück einen Fehler im RPC Service aus und erzeugt einen Buffer overflow welcher den Service abschießt und somit das System zum Shutdown zwingt.
Gefährdete Systeme sind:
- 9x
- NT
- 2000
- XP
Einzig die Benutzer von Windows Millenium haben diese Sorge nicht.
Sollte das bei Euch der Fall sein dann folgenden Weg gehen:
Zuerst mal braucht Ihr einen Patch der verhindert das der Buffer overflow auftritt. Den gibt es bei Microsoft.
Für die deutschen Systeme
Für die englischen Systeme
Den Patch am besten auf dem Desktop speichern da der Shutdown zufällig geschieht.
AUF KEINEM FALL WÄHREND DES COUNTDOWNS PATCHEN!
Wenn das System gerade normal läuft dann den Patch installieren. Den Rechner neu starten und das System sollte stabil laufen. Somit ist die Sicherheitslücke erst mal zu und man kann in Ruhe weiter vorgehen.
Nun den taskmanager aufrufen und mal schauen welche Prozesse aktiv sind. Sollte da ein "msblast.exe" zu finden sein dann diesen per Hand abschießen (beenden).
Somit sollte das System sauber und stabil genug sein um damit erstmal wieder arbeiten zu können. ich checke gerade welcher Virenkiller das Ding plätten kann. Norton scheint das nicht zu schaffen und wird teilweise sogar abgeschaltet!
So...Virenkiller und Scanner bringen scheinbar nichts. Sind jetzt 7 Leute aus dem Bekanntenkreis die alles mal laufen lassen haben und nix zu finden ist. Das Teil scheint sich als Update manager oder so zu starten 8)
Also wech damit:
die msblast.exe liegt im System32 Verzeichniss. Die verschwindet. Zusützlich gibt es ein Prefetch File welches ebenfalls verschwindet. Dieses liegt in windows/prefetch.
Einfachstes ist einfach nach dem Namen zu suchen und zu löschen.
Der Key für die Registry steht bei:
HKEY_LOCAL_MACHINE
|
Software
|
Microsoft
|
Windows
|
current version
|
run
Dort den Aufruf rauslöschen. Aus dem Startup von msconfig ist er dadurch auch automatisch verschwunden.
Dann mal neu starten und schauen ob man alles los ist.
Wenn ja...hurra...wenn nein...noch mal.
Hoffen wir das es bal eine sinnvolle Lösung dafür gibt. Ich weiß nicht genau ob es eine Timebomb ist oder ein installierter Trojaner. Tatsache ist das ich nichts gemacht habe ausser den Rechner am Netz zu haben. Nirgends geklickt oder sonstiges. Von daher liegt die Wahrscheinlichkeit das es ein Trojaner ist der via Broadcasting verteilt wird sehr nahe.
Ich hoffe es mal nicht und wenn doch haben wir vielleicht bald größere Probleme.
Mein System ist nach dieser Anleitung sauber. Ich drück Euch allen die Daumen!
ps:das is nich von mir so n comp freak bin ich net *ggg*