humm..ja, äh..problem!

[Wandelnder Flohsack]

also ich hab in letzter zeit echt probleme, und bezweifle irgendwie das mir jemand helfen kann, aber ich sachs ma trotzdem!
also ich kann erstens hier im forum net mehr meine gaestebuch oeffnen, nicht in meinen posteingang, obwohl ich zur zeit dringend jeden tag nachrichten abrufen muss, wegen tauschgeschaeften!
dann, mal allgemein, ich kann im internetexplorer keine neuen fenster oeffnen, kann mich bei hotmail nicht einloggen um in meinen posteingang zu gehen, kann so gut wie keine links oeffnen und hab sonst auch probleme mich im forum zu bewegen, weiss jemand woran das liegen koennte?ich kann jetzt auch net zeigen was passiert wenn ich versuche meinen messenger zu oeffnen, da ich in meine posts keine links und kein gar nix einbauen kann, ausser smilies!

oh, wie ich sehe nicht mal das!

 

[Shinzar]

hm, ein wenig hoert sich dass nach dem neuen Virus an.

Wlches Betriebssystem hast du denn auf deinem Rechner??

 

[Schwarzmaehne]

kann dir leider nciht helfen...

gehört auch in ein anderes Forum

schieb

 

[Wandelnder Flohsack]

arghhh!scheisseeeeee!ich hab wirklich n virus hierdrauf!

hab windows 2000 nt!

scheisseeeeee!

 

[Shinzar]

k, du hast also windowas 2000 nt.

also, über den Virus kann ich nur folgendes sagen:
er ermöglicht den Hackern freien zugriff auf deinen Rechner, ich könnte jetz z.B. alle deine Programme löschen und deine Passwörter, die du im I-net verwendest, rausfinden.

der Virus konnt eigendlich nur auf deinen Rechner gelangen, wenn du mit Modem, oder ohne Firewall und ohne DSL insInternet gegangen bist.
Mit was gehst du in Internet??

Ich suche dir gerade eine Möglichkeit zum ,,Entfernen" des Viruses raus.
Kann aber dauern.
Du solltest mal diese Virenscanner, wie Northen oder so drüberlaufen lassen, damit kann man die meisten entfernen.
Aber ich suche dir die von Microsoft erhältliche Software raus.

Also, es ist auf alle Fälle dieser neu Virus.
Hab nachgeschaut, alle Symptome sprechen dafür.

hm, du hast wohl den Virus durch ne Mail erhalten.

so kannst du ihn wegmachen:

lösche die Message zip, die du wahrscheinlich runtergeladen hast.
Diese Zip hat die Datai Message.HTM. erhalten. Diese Datei hat die Datei foo.exe im Ordner Temporäre Internet Dateien erstellt und führt diese auch aus.
Die folgenden Dateien wurden im Windows-Ordner (%WinDir%) erstellt:

- videodrv.exe (19,824 bytes)
- exe.tmp (20,445 bytes)
- zip.tmp (20,567 bytes)

Die folgenden Registrirungsschlüssel wurden erstellt, um den Wurm bei Systemstart zu laden:

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
- Run "VideoDriver" = C:\WINNT\videodrv.exe

ich lade die notwendigen Patches für deinen Rechner morgen hoch.

Du musst mir aber noch sagen, welche Version des Outloock Express du hast.
Ist wichtig für den Patch.

 

[Wandelnder Flohsack]

mit modem!ohne firewall!scheissescheisse, irgendwie ist das aber schon seit 2-3tagen so gewesen, hab mir aber nix dabei gedacht, grade kam dann diese fehlermeldung!

 

[Wandelnder Flohsack]

nummer 6 verwende ich, der outlook express funzt auch ueberhaupt net!
aber ich verstehe grade nicht was ich deiner anweisung nach tun muss, nur das ich die letzten zip dateien geloeshct hab die ich runtergeladen hab, bin leider mit computersachen net sehr umgaenglich...im klartext, ich habk iene ahnug was ich machen soll....

 

[Wandelnder Flohsack]

ich komm net auf diese site weil der link bei mir net funzt!

 

[Shinzar]

das ist jetzt wirklich ein Dreck.

ich kann es aber nicht hochladen.

vielleicht kööte es aber ein andrer mal versuchen??

 

[Wandelnder Flohsack]

hallo?brauche immer noch hilfe!jemand da draussen der mir helfen kann?

 

[the eternal]

So wie du das beschreibst hört es sich nach dem w32.blast an. Versucht dein Rechner manchmal sich selbst runterzufahren? Wenn ja müsste das oben genannter virus sein.

geh mal auf www.hcwn-clan.de unser Webmaster hat dort ein removal tool gepostet, das ist gleich auf der Startseite.
Ferner ist auf www.diablo2.de ein Tutorial um díe Lücke zu schliessen die das Vieh verwendet.

 

[the eternal]

So, falls du dich ein wenig mit deinem BS auskennst kannst du ja mal prüfen obs wirklich der blast ist, aber müsste. So funktioniert der w32.blast:
(Zitat unsere clanpage🙂
Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.

Auf befallenenen Systemen ( A ) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme ( B ) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill


Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.