17.08.2003, 10:27
|
 - 1  |
| Neuer Benutzer Registriert seit: 22.04.2003
Beiträge: 0
Abgegebene Danke: 0
Erhielt 0 Danke für 0 Beiträge
| 
Sch.e.iß.e ! Sch.e.iß.e ! Sch.e.iß.e ! Bin eben aufgewacht um zu schaun ob mein Film fertig ist und dann sowas hier Dabei hab ich doch am Freitag schonmal sowas gehabt HIER Hatte am Freitag noch das Removal-Tool von Symatec runtergezogen und gleich den WIN Patch draufgemacht und nun sowas (am frühen morgen) Am Freitag konnt ich noch ne msblast.exe im System32 finden nur heut nicht. ??? Dabei ist doch der W32.Blaster.Worm und der Lovsan das gleiche, oder? Was kann ich machen? Der WIN-Patch ist schon längst installiert und dann wieder so ne kacke. HELP ! HELP ! HELP ! |
|  |
|
17.08.2003, 19:04
|
- 2 |
| Neuer Benutzer Registriert seit: 16.07.2002
Beiträge: 0
Abgegebene Danke: 0
Erhielt 0 Danke für 0 Beiträge
|
nee gleich sind die nicht aber da du es ja shcon gestern entfernt hast erklärt es auch wieso du es heite nicht findest  |
|
| |
| Werbung | |
| |
--
|
|
17.08.2003, 20:21
|
- 3 |
| Gast
Beiträge: n/a
|
weiss einer bisschen was an geschichte von diesem wurm/virus ? wo er her kommt und wie lange es ihn schon gibt usw usw |
|
| |
|
17.08.2003, 21:04
|
- 4 |
| Neuer Benutzer Registriert seit: 23.04.2003
Beiträge: 0
Abgegebene Danke: 0
Erhielt 0 Danke für 0 Beiträge
|
guck mal plz im anderen thread wegen dem wurm da sind registry einträge auf gelistet... ... ... mom ...ich such... aahhh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ Run "windows auto update" = msblast.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill wenn die da sind in der registry...einfach löschn .... und dann lass mal n virenscanner über das ganze system laufen |
|
| |
|
17.08.2003, 22:22
|
- 5 |
| Gast
Beiträge: n/a
|
ZITAT : von Dennis aus dem mymtw forum Als erstes solltet ihr eure Festplatte nach einer Datei namens msblast.exe durchsuchen. Wenn ihr eine Datei findet, löscht ihr sie. Danach öffnet ihr unter Ausführen -> regedit den Registrierungs-Editor und geht zu dem Schlüssel namens HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run. Findet ihr dort einen Eintrag namens windows auto update, löscht ihr diesen auch! Nun müsst ihr euch von Microsoft einen Patch runter laden. Es gibt zwei Hotfixes, jedoch funktioniert davon nur einer! Windows 2000 : http://microsoft.com/downloads/detai...DisplayLang=de Windows XP : http://microsoft.com/downloads/detai...2-3DE40F69C074 Windows 2003 Server : http://www.microsoft.com/downloads/d...DisplayLang=en Die Installation des Patches kann durchaus bis zu 10 Minuten dauern, also einfach ein wenig abwarten, wenn es mal nicht weiter gehen sollte. Sollte das alles nicht funktionieren, gibt es noch ein paar Alternativen. Unter "Systemsteuerung -> Verwaltung -> Dienste" findet ihr den Dienst Remote-Registrierung. Diesen öffnet ihr und stellt bei "Starttyp" Deaktiviert ein! Damit ist es von außen (also dem Internet) unmöglich (naja, vielleicht schon ) Einträge in die Registry zuschreiben. Dann zu dem Dienst Remoteprozeduraufruf (RPC). Hier stellt ihr unter "Wiederherstellen" nicht "Computer neu starten" ein, sondern "Dienst neu starten". Diesen Dienst komplett zu beenden ist nicht so gut, weil dann unter Umständen andere Programme/Windows interne Dinge nicht mehr funktionieren! Ihr könnt auch einfach die Ports 135 bis 139 sperren, auf die der Angriff durch geführt wird. Dazu gibt es zwei Wege: Eigenschaften der DFÜ- und Netzwerkverbindungen -> TCP/IP der jeweiligen Netzwerkkarte auswählen -> im Register "WINS" wird das Häkchen an "NetBIOS über TCP/IP deaktivieren" gesetzt oder Gerätemanager -> Ansicht -> Ausgeblendete Geräte anzeigen -> Nicht-PnP-Treiber -> Netbios über TCP/IP -> Eigenschaften -> den Startart "System" auf "Bedarf" stellen Sollte nun immer noch gar nichts gehen, kann man das Herunterfahren noch durch den Befehl shutdown -a in der Eingabeaufforderung (oder Ausführen) verhindern! Natürlich solltet ihr eine Firewall installiert haben und die Ports 135 bis 139 gesperrt haben. Symactec hat auch bereits reagiert und eine Anleitung zu diesem Problem bereit gestellt. Wer noch etwas zu den Ursachen wissen möchte, kann sich das hier durch lesen. Oder wie schon von mir beschrieben: Quote: Es wird der Port 135 angegriffen. Da dieser standardmäßig offen ist und nun mal der Fehler in Windows existiert, ist es nicht schwer einen Buffer Overflow zu erreichen und damit dann die Remote-Registrierung zustarten. Damit kann ich dann die msblast.exe in den Autostart schreiben. Die msblast.exe selber lässt sich einfach auf der System hochladen, z.B. mit TFTP. Der Wurm basiert auf dem Exploit vom 18 Oct 2002. Es ist ein simples Programm, dass einfach den Dienst beendet und dann so Zugriff auf das System erlangt. Quote: This is an exploit for Microsoft Windows RPC Service Denial of Service Vulnerability More information at : http://www.securityfocus.com/bid/6005/info/ Please use it only test your systems References : Microsoft Windows RPC DoS code from Spike v2.7 Published exploit by lion on www.cnhonker.com and Security Focus Web Site www.securityfocus.com -------------------------------------------------------------------------------- |
|
| |
 |
Linear-Darstellung
| |
Alle Zeitangaben in WEZ +2. Es ist jetzt 09:25 Uhr.