Liebe Forumsbesucher,
im Kreis der Stammleser scheint sich derzeit ein Virus recht wohl zu fühlen: Der "MS-Blast" attackiert offensichtlich nicht auf konventionelle Weise über einlangende Mails, sondern u.a. über FTP. Das Virus nutzt eine Sichrheitslücke von Windows aus und dreht PCs einfach ab (mit der Meldung "Windows hat einen RPC-Fehler festgestellt, der Rechner muss neu gestartet werden). Nach einer Minute wird der PC wirklich heruntergefahren ...

Hier eine Lösung des Problems wi in einem PC-Magazin beschrieben:

"Der "Blaster"-Wurm versucht nicht, sich zu verstecken. Er kopiert sich einfach per FTP auf den Opfer-Rechner - über die Ports UDP 69 (TFTP, Port auf der Seite des Angreifers) und TCP 4444 (beim Opfer). Um ihn zu finden, durchsuchen Sie ihr Betriebssystem-Verzeichnis (zum Beispiel C:\WINDOWS\) nach der Datei "Msblast.EXE". Ein weiteres Anzeichen für den Befall ist der Eintrag "Windows Auto Update" in der Registry "KEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run". Als drittes Indiz können Sie mit einem Netzwerk-Traffic-Analyser den Verkehr auf den Port 135 TCP feststellen. Über den Port 135 sucht der Wurm nach weiteren verwundbaren Rechnern.

Es gibt auch die Möglichkeit, online nach der Schwachstelle im RPC/DCOM-Dienst zu scannen. Die Firma eEye Digital Security bietet dazu einen kostenlosen Scanner an.


Registry-Editor: Zum entfernen des Wurms müssen Sie auch den passenden Eintrag in der Registry löschen.

Wurm-Entfernung leicht gemacht
Den Wurm werden Sie unter Windows XP los, indem Sie sich zuerst den von Microsoft angebotene Patch installieren. Unter Windows 2000 verwenden Sie den entsprechenden Win2000-Patch.

Patch für Windows XP:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=de

Patch für Windows 2000:
http://microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117

Entfernen Sie nun noch den Aufruf der Datei "MsBlast.EXE" aus dem Autostart. Gehen Sie dazu auf »Start | Ausführen...«, geben Sie "msconfig" ein und bestätigen Sie mit "OK". Im Fenster "Systemkonfigurationsprogramm" wählen sie den Reiter "Systemstart". Suchen Sie den Eintrag der Datei "Msblast.EXE" und entfernen Sie den Haken.

Als nächstes löschen Sie den Registry-Eintrag. Geben Sie dazu unter »Start | Ausführen ... | regedit« ein, und bestätigen Sie mit "OK". Klicken Sie in dem Registry-Tool auf "Arbeitsplatz", und suchen Sie unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" nach "windows auto update". Der gefundenen Eintrag muss gelöscht und der Rechner neu gestartet werden. Anschließend lässt sich die Datei "blaster.exe" aus dem Systemverzeichnis löschen


Das sollte es gewesen sein ...

Herzliche Grüße und viel Erfolg,
Der Webmaster

98 2nd Edition mag er nicht

Hab´s schon hinter mir.
Danke nochmals an den Webmaster.

ANDY

Hast Du aktuelle Antivirenprogramme oder aktuelle Internet Security installiert??

bin auch bis jetzt von dem virus verschont - hoffentlich bleibt es so

lg
stefan

@wolfgang
Norton Professionell

ANDY

nicht erwischt nananana na

bin absolut sauber!

gott sei dank


danke für die warnung


mfg
konsalik

Hallo !
Inzwischen ist das Virus ja in aller Munde ... alle Medien berichten von Zigtausenden Rechnern, die befallen wurden. Es wurde auch gemeldet, dass die windowsupdate.com-Seite, von der man den Patch erhält, vom Virus attackiert wird ... also Vorsicht auch dort! Vor dem Zugriff auf die Seite sollte die WIndows-Firewall aktiviert werden !!

Herzliche Grüße,
Der Webmaster

mit Hilfe von chip.de vom Firmenrechner geputz. Der Heimrechner ist sauber.