Alpha
W:O:A Metalhead
da unter google nix zu msblast zu finden ist, nehm ich ma an is n windowsteil
böses M$ spionage tool
böses M$ spionage tool
Windows XP
- Ersteller Narragoth
- Erstellt am
-
Als neues Loginsystem benutzen wir die Wacken.ID. Damit du deinen jetzigen Account im Wacken Forum mit der Wacken.ID verknüpfen kannst, klicke bitte auf den Link und trage deine E-Mail Adresse ein, die du auch hier im Forum benutzt. Ein User mit deinem Benutzernamen und deiner E-Mail Adresse wird dann automatisch angelegt. Du bekommst dann eine E-Mail und musst deine Wacken.ID bestätigen.
Sollte es Probleme geben, schreibt uns bitte.
Klicke hier, um deinen Account in eine Wacken.ID zu migrireren.
DarthFreak
W:O:A Metalmaster
und ob das vieleicht nur bei leuten auftaucht, die ähm... von einer "sicherungskopie" instaliert haben =)
(ergo wäre das ein ms-produzierter bug)
(ergo wäre das ein ms-produzierter bug)
Alpha
W:O:A Metalhead
wollt nur ma anmerken das 2k keine msblast.exe hat (auch kein msblast.*)
also entweder habt ihr alle euch was eingefangen (unwahrscheinlich) oder kleinweich hat's wiedermal vergeigt
also entweder habt ihr alle euch was eingefangen (unwahrscheinlich) oder kleinweich hat's wiedermal vergeigt
Rose_oF_Hell
W:O:A Metalhead
hatten das hier auch is aber nicht schwer zu löschen is ein troiander... ich copy euch dazu ma was
So wie das aussieht haben wir alle ein kleines Problem.
Es gibt scheinbar den ersten Trojaner der über das WEB via Broadcast verschickt wird. Ich bin der Sache zwar ein wenig auf der Spur aber es scheint so als würde sich das Ding über den RPC Service installen. Da hierbei keine authentifizierung notwendig ist wird das Ding einfach als Systemservice installiert.
Danach nutzt das gute Stück einen Fehler im RPC Service aus und erzeugt einen Buffer overflow welcher den Service abschießt und somit das System zum Shutdown zwingt.
Gefährdete Systeme sind:
- 9x
- NT
- 2000
- XP
Einzig die Benutzer von Windows Millenium haben diese Sorge nicht.
Sollte das bei Euch der Fall sein dann folgenden Weg gehen:
Zuerst mal braucht Ihr einen Patch der verhindert das der Buffer overflow auftritt. Den gibt es bei Microsoft.
Für die deutschen Systeme
Für die englischen Systeme
Den Patch am besten auf dem Desktop speichern da der Shutdown zufällig geschieht.
AUF KEINEM FALL WÄHREND DES COUNTDOWNS PATCHEN!
Wenn das System gerade normal läuft dann den Patch installieren. Den Rechner neu starten und das System sollte stabil laufen. Somit ist die Sicherheitslücke erst mal zu und man kann in Ruhe weiter vorgehen.
Nun den taskmanager aufrufen und mal schauen welche Prozesse aktiv sind. Sollte da ein "msblast.exe" zu finden sein dann diesen per Hand abschießen (beenden).
Somit sollte das System sauber und stabil genug sein um damit erstmal wieder arbeiten zu können. ich checke gerade welcher Virenkiller das Ding plätten kann. Norton scheint das nicht zu schaffen und wird teilweise sogar abgeschaltet!
So...Virenkiller und Scanner bringen scheinbar nichts. Sind jetzt 7 Leute aus dem Bekanntenkreis die alles mal laufen lassen haben und nix zu finden ist. Das Teil scheint sich als Update manager oder so zu starten 8)
Also wech damit:
die msblast.exe liegt im System32 Verzeichniss. Die verschwindet. Zusützlich gibt es ein Prefetch File welches ebenfalls verschwindet. Dieses liegt in windows/prefetch.
Einfachstes ist einfach nach dem Namen zu suchen und zu löschen.
Der Key für die Registry steht bei:
HKEY_LOCAL_MACHINE
|
Software
|
Microsoft
|
Windows
|
current version
|
run
Dort den Aufruf rauslöschen. Aus dem Startup von msconfig ist er dadurch auch automatisch verschwunden.
Dann mal neu starten und schauen ob man alles los ist.
Wenn ja...hurra...wenn nein...noch mal.
Hoffen wir das es bal eine sinnvolle Lösung dafür gibt. Ich weiß nicht genau ob es eine Timebomb ist oder ein installierter Trojaner. Tatsache ist das ich nichts gemacht habe ausser den Rechner am Netz zu haben. Nirgends geklickt oder sonstiges. Von daher liegt die Wahrscheinlichkeit das es ein Trojaner ist der via Broadcasting verteilt wird sehr nahe.
Ich hoffe es mal nicht und wenn doch haben wir vielleicht bald größere Probleme.
Mein System ist nach dieser Anleitung sauber. Ich drück Euch allen die Daumen!
ps:das is nich von mir so n comp freak bin ich net *ggg*
So wie das aussieht haben wir alle ein kleines Problem.
Es gibt scheinbar den ersten Trojaner der über das WEB via Broadcast verschickt wird. Ich bin der Sache zwar ein wenig auf der Spur aber es scheint so als würde sich das Ding über den RPC Service installen. Da hierbei keine authentifizierung notwendig ist wird das Ding einfach als Systemservice installiert.
Danach nutzt das gute Stück einen Fehler im RPC Service aus und erzeugt einen Buffer overflow welcher den Service abschießt und somit das System zum Shutdown zwingt.
Gefährdete Systeme sind:
- 9x
- NT
- 2000
- XP
Einzig die Benutzer von Windows Millenium haben diese Sorge nicht.
Sollte das bei Euch der Fall sein dann folgenden Weg gehen:
Zuerst mal braucht Ihr einen Patch der verhindert das der Buffer overflow auftritt. Den gibt es bei Microsoft.
Für die deutschen Systeme
Für die englischen Systeme
Den Patch am besten auf dem Desktop speichern da der Shutdown zufällig geschieht.
AUF KEINEM FALL WÄHREND DES COUNTDOWNS PATCHEN!
Wenn das System gerade normal läuft dann den Patch installieren. Den Rechner neu starten und das System sollte stabil laufen. Somit ist die Sicherheitslücke erst mal zu und man kann in Ruhe weiter vorgehen.
Nun den taskmanager aufrufen und mal schauen welche Prozesse aktiv sind. Sollte da ein "msblast.exe" zu finden sein dann diesen per Hand abschießen (beenden).
Somit sollte das System sauber und stabil genug sein um damit erstmal wieder arbeiten zu können. ich checke gerade welcher Virenkiller das Ding plätten kann. Norton scheint das nicht zu schaffen und wird teilweise sogar abgeschaltet!
So...Virenkiller und Scanner bringen scheinbar nichts. Sind jetzt 7 Leute aus dem Bekanntenkreis die alles mal laufen lassen haben und nix zu finden ist. Das Teil scheint sich als Update manager oder so zu starten 8)
Also wech damit:
die msblast.exe liegt im System32 Verzeichniss. Die verschwindet. Zusützlich gibt es ein Prefetch File welches ebenfalls verschwindet. Dieses liegt in windows/prefetch.
Einfachstes ist einfach nach dem Namen zu suchen und zu löschen.
Der Key für die Registry steht bei:
HKEY_LOCAL_MACHINE
|
Software
|
Microsoft
|
Windows
|
current version
|
run
Dort den Aufruf rauslöschen. Aus dem Startup von msconfig ist er dadurch auch automatisch verschwunden.
Dann mal neu starten und schauen ob man alles los ist.
Wenn ja...hurra...wenn nein...noch mal.
Hoffen wir das es bal eine sinnvolle Lösung dafür gibt. Ich weiß nicht genau ob es eine Timebomb ist oder ein installierter Trojaner. Tatsache ist das ich nichts gemacht habe ausser den Rechner am Netz zu haben. Nirgends geklickt oder sonstiges. Von daher liegt die Wahrscheinlichkeit das es ein Trojaner ist der via Broadcasting verteilt wird sehr nahe.
Ich hoffe es mal nicht und wenn doch haben wir vielleicht bald größere Probleme.
Mein System ist nach dieser Anleitung sauber. Ich drück Euch allen die Daumen!
ps:das is nich von mir so n comp freak bin ich net *ggg*
Alpha
W:O:A Metalhead
MasterOfPuppets
W:O:A Metalmaster
black
W:O:A Metalmaster
also ich hab RPC dicht gemacht und nu is Ruhe.....nur geht meine Suche jetzt nicht mehr *grummel* hängt das zusammen?
ok...geh ich halt manuel suchen ...
ok...geh ich halt manuel suchen ...
black
W:O:A Metalmaster
mach nen Doppelklick draufOriginal geschrieben von Widar667
wie? wo???
bin bei systemsteuerung--->verwaltung
--->Computerverwaltung?
oder
----> Dienste?
....ich hab bei beiden keine möglichkeit zur deaktivierung gefunden!
KaeptnKorn
W:O:A Metalmaster