net-board.net Archiv
Windows wird neugestartet --> - Druckversion

+- net-board.net Archiv (https://net-board.net)
+-- Forum: Pause vom Designen und Coden (https://net-board.net/forumdisplay.php?fid=10)
+--- Forum: Laberecke (https://net-board.net/forumdisplay.php?fid=5)
+---- Forum: Computerecke (https://net-board.net/forumdisplay.php?fid=7)
+---- Thema: Windows wird neugestartet --> (/showthread.php?tid=2504)



Windows wird neugestartet --> - cHAp - 03.09.2003

ES BETRIFFT NUR WINXP UND WIN2000 Systeme!!!

Innerhalb weniger stunden wurden foren überall mit den selben postings überflutet..

"Mein rechner will sich automatisch runterfahren"

Ursache ein kleiner dreckswurm "msblast" zu finden im taskmanager..

Microdoof hat ein bugfix herrausgegeben

http://support.microsoft.com/?scid=kb;de;823980

Auch zu lösen (bei Win2k)

Start --> Einstellungen --> systemsteuerung --> Verwaltung --> Dienste

dann "Remoteprozeduraufruf (RPC)" doppelklick
oben bei Wiederherstellen jeweils keinen Vorgang durchführen einstellen..

DAnn sollte ebenfalls ruhe sein..


- cHAp - 03.09.2003

Hallo User,

nicht unschwer zu erkennen habt Ihr euch schon über den neuen Wurm informiert.

Jedoch würde ich auch noch einen Teil von mir beitragen, denn in vielen Communitys, Foren u.v.m. habe ich einen Report von mir eingefügt.

Klar das jeder User/Surfer eine andere Denkweise/Ansichtsweise hat...jedoch würde ich mich freuen wenn ihr meinen Beitrag auch mit allen Sinnen lesen würdet.


Wie Ihr wisst ist ein neuer gefährlicher Virus im Umlauf!
Man nennt ihn "W32.Blaster" oder "W32Lovsan".
Der W32.Blaster greift wie "ICh" es erwähnte folgende Betriebssysteme an:
Windows 2000
Windows XP
Windows Server 2003
Windows NT 4.0.

Dieser Wurm nutzt die bekanntlichen Sicherheitslecks von Microsoft aus d.h. er nutzt "diesmal" das "RPC DCOM BUFFER OVERFLOW"

Begriffserklärung

RPC= "Remote Procedure Call"(Remoteprozeduraufruf) (Es ist ein Protokoll, das ein Programm zum Anfordern eines Dienstes von einem Programm verwenden kann, das sich auf einem anderen Computer in einem Netzwerk befindet)

DCOM= "Distributed Component Object Model" (Diese Technik wird verwendet, um verteilte Anwendungen in einem Netzwerk zu integrieren. Eine verteilte Anwendung besteht aus mehreren Prozessen, die gemeinsam eine Aufgabe ausführen. DCOM kann also zur Arbeitsteilung im Netzwerk eingesetzt werden)

buffer overflow= "Puffer Überlauf" (Er kann über eine Schwachstelle im Programm herbeigeführt werden, wobei meist das System angreifbar wird.)("Exploit")
Ich will jetzt nicht auf alle Begriffe eingehen, denn diese Erklärungen würden alles sprengen u. euch noch mehr verwirren

Die meisten fragen sich bestimmt, wie dieser Wurm in sein PC gekommen ist. Ganz einfach!
Der Wurm wählt seine Opfer(euch) zufällig aus d.h. er wählt zufällig irgendwelche IP-Adresse aus, wohinter Ihr auch natürlich sein könntet o. seid.
Er versucht über den Port 135 in Ihr PC einzudringen u. die Datei "msblaster.exe" zu installieren. Dies kann er natürlich nur, wenn Ihr den Patch net vorher installiert hattet.
Die Datei "msblast.exe" befindet sich im Ordner "Windows\System32". Um dies zu überprüfen, klickt auf "Start/Suchen" und wählt den Eintrag "Nach Dateien und Ordnern suchen". Gibt Sie Begriff "msblast.exe" ein und durchsucht eure Festplatten. Findet die Suche eine entsprechende Datei im Ordner "Windows\System32" habt ihr den Wurm auf eurem Rechner.
Die Nebenwirkungen sind, dass ihr System instabil wird u. ihr eine Fehlermeldung in einer PopUp-Form erhaltt, wo drin steht das Ihr "RPC-Dienst" ausgefallen ist und Ihr Rechner deshalb heruntergefahren und neu gestartet werden muss.

Wer mehr Ahnung mit PC´s hat, kann in der Registry von Windows folgende Einträge finden:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe" oder "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill"."
Dieser Eintrag in der Registry sorgt dafür, dass bei jedem neustart des Rechners die datei "msblaster.exe" geladen wird. Hier hilft keine manuelle Löschung der Datei.

Ich könnte jetzt Stundenlang über den Virus erzählen, jedoch ist das nicht mein Ziel.


Nun, um den Virus loszuwerden müsst ihr den Patch(Schliessung der Sicherheitslücke) herunterladen u. es erstmal installieren. Habt ihr dies getan ist der Virus immernoch net weg!
Nun müsst Ihr diesen Virus vernichten. Ihr könnt euch hier ein extra anti-msblaster-tool herunterladen, auch für die bedacht die schon einen Anti-Virenscanner haben.



Resumeé: Ladet euch den Virenscanner, prüft eure Festplatten, wenn der Virus vorhanden ist, löscht ihr es. Danach ladet ihr euch diesen Patch runter u. installiert dies auch, damit für das nächste Mal dem Virus die Türen geschlossen bleiben.


- cHAp - 03.09.2003

Balu mein wissen dir schenk Big Grin

Ne scherz ich helfe immer da wo ich kann Smile


- cHAp - 03.09.2003

balu das stimmt Smile

man sollte immer erst gucken was es für wege gibt was zu entfehrnen Smile