Lösung für RPC / msblast-Geschädigte

[AcidChris]

So nen Kumpel von mir hat dazu mal nen kleinen beitrag geschrieben *einfachhiermalreinpost*

So wie das aussieht haben wir alle ein kleines Problem.
Es gibt scheinbar den ersten Trojaner der über das WEB via Broadcast verschickt wird. Ich bin der Sache zwar ein wenig auf der Spur aber es scheint so als würde sich das Ding über den RPC Service installen. Da hierbei keine authentifizierung notwendig ist wird das Ding einfach als Systemservice installiert.

Danach nutzt das gute Stück einen Fehler im RPC Service aus und erzeugt einen Buffer overflow welcher den Service abschießt und somit das System zum Shutdown zwingt.

Gefährdete Systeme sind:

- 9x
- NT
- 2000
- XP

Einzig die Benutzer von Windows Millenium haben diese Sorge nicht.

Sollte das bei Euch der Fall sein dann folgenden Weg gehen:

Zuerst mal braucht Ihr einen Patch der verhindert das der Buffer overflow auftritt. Den gibt es bei Microsoft.

Für die deutschen Systeme

Für die englischen Systeme

Den Patch am besten auf dem Desktop speichern da der Shutdown zufällig geschieht.

AUF KEINEM FALL WÄHREND DES COUNTDOWNS PATCHEN!

Wenn das System gerade normal läuft dann den Patch installieren. Den Rechner neu starten und das System sollte stabil laufen. Somit ist die Sicherheitslücke erst mal zu und man kann in Ruhe weiter vorgehen.

Nun den taskmanager aufrufen und mal schauen welche Prozesse aktiv sind. Sollte da ein "msblast.exe" zu finden sein dann diesen per Hand abschießen (beenden).

Somit sollte das System sauber und stabil genug sein um damit erstmal wieder arbeiten zu können. ich checke gerade welcher Virenkiller das Ding plätten kann. Norton scheint das nicht zu schaffen und wird teilweise sogar abgeschaltet!

So...Virenkiller und Scanner bringen scheinbar nichts. Sind jetzt 7 Leute aus dem Bekanntenkreis die alles mal laufen lassen haben und nix zu finden ist. Das Teil scheint sich als Update manager oder so zu starten 8)

Also wech damit:

die msblast.exe liegt im System32 Verzeichniss. Die verschwindet. Zusützlich gibt es ein Prefetch File welches ebenfalls verschwindet. Dieses liegt in windows/prefetch.

Einfachstes ist einfach nach dem Namen zu suchen und zu löschen.

Der Key für die Registry steht bei:

HKEY_LOCAL_MACHINE
|
Software
|
Microsoft
|
Windows
|
current version
|
run

Dort den Aufruf rauslöschen. Aus dem Startup von msconfig ist er dadurch auch automatisch verschwunden.

Dann mal neu starten und schauen ob man alles los ist.

Wenn ja...hurra...wenn nein...noch mal.

Hoffen wir das es bal eine sinnvolle Lösung dafür gibt. Ich weiß nicht genau ob es eine Timebomb ist oder ein installierter Trojaner. Tatsache ist das ich nichts gemacht habe ausser den Rechner am Netz zu haben. Nirgends geklickt oder sonstiges. Von daher liegt die Wahrscheinlichkeit das es ein Trojaner ist der via Broadcasting verteilt wird sehr nahe.

Ich hoffe es mal nicht und wenn doch haben wir vielleicht bald größere Probleme.

Mein System ist nach dieser Anleitung sauber. Ich drück Euch allen die Daumen!

Gruß

pokemoz@gmx.net

P.S.: Tipfehler könnt Ihr bei EBAY verkaufen...Rechtschreibung ersteiger ich da gerade 8)

 

[Jarvid]

Dank dir für die Anleitung Acid

 

[Crazy_Bon]

Ist msblast.exe eine Datei von Microsoft?

 

[PuppetMaster]

MSBLAST scheint der Trojaner zu sein, die Datei existiert auf nicht infizierten Systemen jedenfalls nicht.

 

[Crazy_Bon]

Dann würde MS doch nicht auf dieses Problem reagieren wenn es nicht ihr eigenes wäre.

 

[PuppetMaster]

Keine MS-Datei, aber ein Trojaner, der eine MS-Sicherheitslücke ausnutzt...

 

[ALCx]

Hatte das Problem vor ein paar Tagen auch schon mal auf Win2k3 Server. Bei dem Dienst "Remoteprozeduraufruf" gibt es 3 Einstellungen, was passieren soll, wenn ein Fehler auftritt. Alle 3 Einstellungen stehen standartmäßig auf "Computer neu starten". Ändert man alle 3 Einstellungen auf "nichts machen", hat man das Problem gelöst .... der Angriff, oder was auch immer, wird ignoriert. Jedenfalls ist seitdem bei mir Ruhe.

Nachtrag: Oh, lese grade das durch diese Sicherheitslücke auch Zugriff aufs System erlangt werden kann...nunja dann ist diese Lösung wohl schlecht ...egal...wünsche denjenigen viel Spass beim Bedienen von meinem Rechner . Einen Patch für 2003 scheints ja noch nicht zu geben.

 

[ManuHatProbs]

Ich hatte heute gegen 21:30 auch das Problem mit dem Remoteprozeduraufruf. Mein PC startete sich 2 mal neu. Als NichtWirklichProfi habe ich gedacht Windows spinnt wieder einmal rum. Deshalb bin ich zu den Diensten gegangen und habe beim Remoteprozeduraufruf das Neustarten des PCs bei einem Problem deaktiviert (den ganzen Dienst deaktivieren ging nicht). Ich dachte das PRoblem wäre damit behoben. Ich fragte einem guten bekannten aus dem Netz um Rat. Nach kurzer Zeit gab er mir einen Link zum Chip Forum, wo bereits zahlreiche Artikel zu diesem Thema zu lesen waren. Ich lud mir also das Update herunter. Als ich es installieren wollte, ging es aber nicht. Es blieb bei einer Art Systemcheck stehen. Ich wartete ca. 5 Minuten, dann beendete ich das Setup. Da auch die Browser Minuten vorher rumgemuckt hatten, startete ich den PC neu. Er fuhr sehr langsam hoch, alles ging sehr langsam bis letztendlich Desktop etc. geladen waren. Doch meine Taskleiste war jetzt leer, meine Netzwerkverbindungen waren alle weg, scheinbar wurde auch mein Sound Treiber gelöscht (ich wollte testen ob wenigstens Winamp noch funktioniert - Fehlanzeige, irgend eine Fehlermeldung bzw. Soundtreiber). Im Geräte - Manager sind noch alle Geräte enthalten, auch auf Anraten meines Bekannten, die Netzwerkkarte neu zu installieren tat sich nichts. Keine Lan - Verbindung - Keine Verbindung erstellbar. Scheinbar wurde gehackt? Was soll ich tun? Man sagte mir, wenn ich C: formatiere werden meine Programme auf D:, E: etc. nicht mehr funktionieren? Könnt ihr mir irgendwie helfen? Ich glaube es ist am wichtigsten, erstmal wieder online zu kommen, vielleicht kann ich dort das verlorene Krams wieder zusammensuchen?

Achja: Das Update kann ich auch nicht mehr starten. Er sagt, mein KryptoWasWeißIch Prozess funktioniert nicht. Ich wollte diesen aktivieren, doch dieser sagt wiederum das die "Aktivierungsgruppe" oder etwas in der Art nicht zu finden ist.

Alles scheint verfahren zu sein! Was kann ich tun? Kann ich vielleicht die verlorenen Dateien zurückholen irgendwie? Kann ich meine Programme auf D:, E: etc. trotzdem am Leben erhalten, auch wenn ich C: formatieren?


Bitte helft mir!!

Manu

 

[SafdaS]

also, ich hab die anleitung verfolgt und scheine nun "clean" zu sein, hab jetzt auch ZoneAlarm installiert und der hat innerhalb von 15min 2 Zu/An-griffe auf dem Port 135 abgewehrt. Mein Gott, son neuer SuperWurm, oder was? Naja, ich bin jetzt erstmal happy das alles läuft.
mfg mic

edit: jetzt schon mehr als 13 Angriffe!

 

[xxxx]

Die Msblast.exe ist ein Trojaner http://vil.nai.com/vil/content/v_100547.htm McAfee hat schon reagiert und die Virensignaturen geupdatet

 

[Jarvid]

Ja,ist heut ziemlich heftg, fast wie zu Nuke95 Zeiten

 

[Bloodilein]

Hmm mein Pc-cillin hat nach Autoupdate das File als Trojaner erkannt und geschlossen !

Aber danke für die Tips in diesen Forum !!!

 

[Jetiman]

msblast.exe

die msblast.exe da zeigt Norten Anti Vierus 2003 pro das das nen vierus is
????

 

[Xardas]

Habe gestern AntiVir geupdated, zeigt jedenfalls nichts an.

Mein Problem ist eine Fehlermeldung beim svchost.exe, worauf ich meine Netzverbindung nicht mehr trennen kann.

Nun hat ein Mod mich hier zu dem Thema gelenkt, doch bin ich hier überhaupt richtig?
Mein Rechner startet ja wie gesagt nicht neu.
Ach und gibt es diese Update von MS auch in Deutsch, Englisch lässt sich bei mir nicht installieren.

So ich habe nun den Prozess msblast.exe beendet und die Datei anschließend gelöscht, das sollte reichen oder?

Aber hat das was mit meier Fehlermeldung zu tun?, ich denke nicht

 

[AND1]

danke leute, bin bald verzweifelt, da mein pc immer abstürtzte.
das kommische war, es passierte nur wenn ich den win media player startete.

 

[roguelike]

Das muessen ja wirklich langweilige Ferien sein für manchen.....Ich finds ne Sauerei, daß mein horchender Anschluß durch so einen Unfug stetig belastet wird. Eine der bekannten Behörden sollte den Verursachern mal nachgehen und so einen ganzen Schwachsinn dieser Eierköppe abschalten! (meine 2 cents, die nichts zum Thema beitragen, sorry)
Aries

 

[M.o.D]

gestern bevor das bei mir das erste mal auftrat hate ich grad n paar sachen ausm autostart gelöscht bei der msconfig. daa stand etwas mit microsoft. ich hab es weggemacht und auf einmal fängt mein pc alle paar minuten diesen neustart zu machen. hab erstmal gedacht, das komme davon das ich was ausm autostart weggemacht hab. hab es wieder in den autostart getan aber das prob war net gelöst. dann hab ich ne systemwiederherstellung gemacht aber das prob war immer noch net gelöst.

(oh das problem ist schon wieder da.
werd gleich weiterposten)

/wen man shutdown -a eingibt dann hörts echt auf. coool

dann wollte ich hier in fb nen neuen thread erstellen und hab nen screenshot von dem teil gemacht. aber immer wenn ich internet angemacht hab, dann ister kurz danach abgeschmiert.

hab jetzt diesen thread gelesen wundere mich aber, weil ich auf nix ungewöhniches geklickt oder was downgeloaded hab.

hab die datei jetzt ausm autostart entfern (auto update) und die datei ausm sys ordner gelöscht. werd jetzt ma den patch installieren

mfg

 

[Flipstar]

Original erstellt von |Krypto|
Dank router und linux sind solche Probleme jetzt weg

Was bedeutet das?
Dass ich mit einem Router mir diesen Trojaner/Wurm/Dingsens nicht einfangen kann?

 

[Der Turl]

Remote Control über XP Antispy deaktivieren hilft das nicht (für noch nicht infizierte systeme) als erstes ? virenscanner und firewall mal vorausgesetzt !

 

[Jules-Verne]

Es muss dieser mblast sein hab da zone Alarm mal installiert und siehe da genau der Wurm will ins netz seit der firewall hab ich ruhe