XP-Nervt!

[ELCHFAN_EMANUEL]

Hallo,

 

ich brauche hilfe bei meinem Windows XP

 

Seit heute erscheint bei Ineterntnutzung, über T-online und IE, ein Feld in der Mitte des Bilschrims mit einem roten Kreuz. Darin steht geschrieben Windows fährt das System jetzt herunter das ein Problem? in, das konnte ich noch schnell notieren, NT-AUTORITÄTSYSTEM vorhanden ist.

 

Dabei Zählt eine Uhr 60sek. herunter und das SYstem schaltet sich aus und start gleichdarauf wieder neu.

 

Was ist das?????

 

 

Ach so, da mich das SYstem eh schon seit einiger Zeit extrem nervt, will ich mein Windows XP Home gerne wieder in den Zustand bringen, wie es war als der Computer noch neu und Jungfräulich in seinem KArton steckte.

 

Wie stelle ich das Ding wieder auf die Ursprungskonfiguration, ich nehme den Datenverlust in kauf, zurück?

 

 

 

-----------------

Smarte & Elchige Grüße

 

Emanuel

 

 

 

Smart?! Engineered like no other car in the world!!! -Ironie steckt auch in diesem Spruch...

 

Hey, keine Kritik! Auch Tipp- & Rechtschreibfehler haben eine Berechtigung.

 

Emanuels Smarte Bilder

 

Graukugel.de

 

 

 

[AJCrowley]

Interessant, heute morgen kam ein Kollege mit gleichem Problem zu mir. Trotz intensiven guugeln, hab ich nix vergleichbares gefunden.

 

Virus oder was? Bei ihm tritt das Problem seit gestern abend auf.

 

WinXP Home, IE 6 + Internetzugang über 1&1 DSL

 

Hat jemand ne Idee?

 

 

[Holgers_CDI]

Es handelt sich wahrscheinlich um den Wurm Blaster. Unter www.T-online.de / Computer habe ich die folgende Info gefunden:

Unbedingt Patch installieren

Blaster verbreitet sich innerhalb kürzester Zeit massiv und nutzt dabei besagte Sicherheitslücke. Viele Anwender haben diese bislang nicht geschlossen, obwohl Microsoft bereits einen Patch zur Verfügung gestellt hat. Alle Nutzer der Windows-Versionen NT 4.0, 2000, XP sowie der Server-Fassungen NT 4.0 Terminal Services Edition und Server 2003 sollten den Patch gegen das RPC-Sicherheitsloch schleunigst auf ihren Systemen einspielen, um sich vor einem derartigen Wurm-Angriff zu schützen.

 

Ich hoffe euch mit diesem Beitrag weitergeholfen zu haben.

 

Gruß

Holger

 

PS. Auf der T-onlline Seite stehen noch mehr Informationen zu dem Wurm.

 

 

[streetmonster]

Hab ich auch, liegt vieleicht an dem neuern Wurm der sich seit gestern abend "explosionsartig" unter den MS usern verbreitet. Diese S A U nutzt eine bekannte Lücke im Sicherheitssystem von MS.

 

Bei MS kann man eine SW runterladen die da helfen soll, würde ich aber nur denen empfehlen die das Programm auch wirlich "gekauft" haben ;-)

 

Nachrichten hören bildet manchmal 8-)

-----------------

in dubio pro smart

Olaf

 

Schrecklich diese Umweltverschmutzung,

gestern habe ich eine Dose Sardinen aufgemacht-

voller Öl, alle Fische tot.

 

[AJCrowley]

Habs gerade unter onlinekosten.de gefunden.

 

urm-Warnung: MSBlaster infiziert schnell Windows-PCs

 

Dienstag, den

12.08.03 09:53

 

aus dem Bereich Software

 

Ein Wurm, der sich selbst auf den PC schleust - ein Horror für alle Computernutzer, die gerne und oft das Internet besuchen. Und gerade dieser Horror wird nun Wirklichkeit - der neue Wurm MSBlaster-Wurm nutzt eine gravierende Sicherheitslücke in Windows-Systemen (wir berichteten) und scheint sich nun massiv zu verbreiten.

 

Der Wurm nutzt eine Schwachstelle im Dienst "Remoteprozeduraufruf (RPC)". Er kontaktiert den PC auf Port 135 und löst einen Buffer Underrun aus. Bei einem anfälligen PC wird eine Shell auf Port 4444 geöffnet. Diese dann lädt den eigentlichen Wurm auf den PC - ohne jegliches Zutun des Users.

 

Wie werde ich den Wurm wieder los?

 

Auffällig bei infizierten PCs ist die zufällige Beendigung des RPC-Dienstes, die bei Windows XP mit dem Herunterfahren des Computers endet. Meist im Windows/System-Verzeichnis befindet sich die eigentliche Wurm-Datei mit dem Namen msblast.exe. Ein Registry-Eintrag unter "SOFTWARE/Microsoft/Windows/CurrentVersion/Run" verweist auf den Wurm, der so jedes mal mit dem System gestartet wird.

 

Die ersten Virenhersteller wie Symantec haben schon erste Tools zur Beseitigung des Virus entwickelt. Wer ganz auf der sicheren Seite sein will, sollte einen Sicherheitspatch von Microsoft installieren oder gleich den Port 135 durch eine Firewall sperren lassen.

 

Hier der Artikel incl. Links zur Behebung des Problemes.

[beduine]

Hi!

 

Der Wurm ist ein krasses Teil! Schaut euch einmal das hier an!

Da hat einer einen ziemlichen hass auf Micro$oft. Kann man ja niemanden verübeln :-D :-D

 

ciao, mad

 

-----------------

It's time to change your car...

... into a Smart!

 

 

[ELCHFAN_EMANUEL]

Ja, Toll!!!!! :-x

 

Wie werde ich das s ch e i ß Teil wieder los!?

-----------------

Smarte & Elchige Grüße

 

Emanuel

 

 

 

Smart?! Engineered like no other car in the world!!! -Ironie steckt auch in diesem Spruch...

 

Hey, keine Kritik! Auch Tipp- & Rechtschreibfehler haben eine Berechtigung.

 

Emanuels Smarte Bilder

 

Graukugel.de

 

 

 

[th23]

Hi,

 

also zur Vorsorge gibt's hier einen MS-Patch... (Und keine Angst, den kann sich jeder saugen, egal ob registriert oder nicht, denn da wird nix überprüft...)

 

und zur Nachsorge im Fall der Fälle poste ich gleich noch einen passenden Link...

 

Gruß

Thorsten

 

P.S.: Ihr solltet eine Software-Firewall (wie z.B. ZoneAlarm (ZoneLabs) benutzen, dann können Euch solche Sachen nur schwer etwas anhaben...

-----------------

ICQ: 229100193

Unser Smart-Kauf!

...und wie man ein paar €uro spart!

(inkl. Preisvergleich/-übersicht!)

 

[th23]

Ok,

 

HIER gibts ein kostenloses Mini-Tool zur Entfernung dieses Viruses... (liegt bei Symantec, leider nur mit englischer Anleitung, aber ich hoffe das reicht aus)

 

Gruß

Thorsten

-----------------

ICQ: 229100193

Unser Smart-Kauf!

...und wie man ein paar €uro spart!

(inkl. Preisvergleich/-übersicht!)

 

[Cinema]

Kleine Ergänzung:

 

Es sind "nur" diejenigen PCs gefährdet, die sich _direkt_ mit dem Internet verbinden (also DFÜ-Netzwerk, egal ob ISDN/analog/DSL) und bei denen _nicht_ die (bei 2000 und XP intergrierte) Internetverbindungs-Firewall aktiviert ist.

 

Ansonsten für die Vor- und Nachsorge die o.g. Links benutzen.

 

Grüße aus dem Taunus

Cinema

[Seestaedter]

Danke!!!!

 

 

[Markus137705]

Die Microsoft Update Seite ich hoffnungslos überlastet, nix geht mehr STAU!

 

Ich komm kaum drauf... :cry: :roll:

-----------------

Smartfahrer grüssen sich!

171560773

 

[th23]

Hi,

 

hier der direkte Link (http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe), aber ich kam problemlos drauf auf die Seite...

 

Wenn's garnicht geht, dann vielleicht mit nem DL-Manager versuchen...

 

Gruß

Thorsten

-----------------

ICQ: 229100193

Unser Smart-Kauf!

...und wie man ein paar €uro spart!

(inkl. Preisvergleich/-übersicht!)

 

[Kugler]

Tja ich habe ihn nicht.Wurde zwar versucht mir zu senden,aber dank Symantec :) ;-) hatte das Mistding keine Chance.

Komisch war nur es wurde versucht per Mail und nicht per Popup-Fenster.Vielleicht liegt es aber auch an dem Nopopup2001 Werbeblocker,das er es auf diesem Weg nicht schaffte.

 

Einzige was ich jetzt habe irgend ein Penner hat sich wohl irgendwo in einen Newsletter-Server gehackt und verschickt Viren.Leider auch über meine alte Nummernadresse der Telekom. :-x :-x

Aber die benutze ich ja schon seit 1 1/2 Jahren nicht mehr.

 

Nimmt diese Sch...e mit den Viren denn nie ein Ende :-? :-x

 

Beim Apple gibt es nicht so viele Viren.

 

-----------------

Diese Nachricht besteht aus 100 % chlorfrei gebleichten, FCKW-freien, wiederverwendbaren, geschmacksneutralen, nicht genmanipulierten Bits.

 

-------------------------------------------------

Jetzt auch mit Homepage Kugler´s Homepage

Und nun auch mit Forum

 

 

 

 

 

 

[Udo_B]

Ich reihe mich mal ein in den Tross der Verwurmten :( ... gestern abend wollte der Rechner alle 5 Min. runterfahren, wer das Problem noch hat, kann das ständige hoch- und runterfahren auch mit START - AUSFÜHREN "shutdown -a" umgehen, leider bleiben da einige MS Funktionen auf der Strecke bei (Einfügen, links anklicken, ...), aber dafür kann man erstmal die Anweisungen in Ruhe lesen ...

-----------------

 

 

DER BÖSE

- Lieb sind die anderen ...

 

[cyber_smarty]

Hallo zusammen,

ich Reihe mich nicht :-P in den Tross der verwurmten ein.

 

Da wir vor kurzem im Geschäft auf sage und schreibe 1400 NT / 2000 / 2003 Servern und auf 300.000 Clients auf Anraten von Microsoft das oben bereits angesprochene Patch eingespielt haben, war ich vorgewarnt :).

 

Ganz Wichtig:

Für die, die ihn noch nicht haben:

 

Wenn ihr eine Firewall (egal ob Symantec oder McAffe oder sonstigs) nehmt euch folgenden Satz aus der Symantec Homepage zur "Brust"

 

*******************

Block access to TCP port 4444 at the firewall level, and then block the following ports, if they do not use the applications listed:

 

TCP Port 135, "DCOM RPC"

UDP Port 69, "TFTP"

*******************

 

Natürlich ist es gleichzeitig wichtig den Security Patch zu installieren und den Virenscanner zu aktualisieren ...

 

So dürfte eigentlich nichts mehr passieren und die Microsoft Homepage bzw. das ganze Internet bleibt am Samstag heile und wird nicht von unnötigen Broadcasts lahmgelegt.

 

Grüßle

 

Daniel

 

 

Nachtrag für Udo:

Selbst wenn du deine Kiste im abgesicherten Modus hochfährst doch der Last Known Good Funktion macht sie die Krätsche.

 

Da hilft nur, das Removal Tool herunter zu laden (dauert etwa 40 Sekunden :roll:)

[ Diese Nachricht wurde editiert von cyber_smarty am 12.08.2003 um 19:46 Uhr ]

[sm_art]

und hier nochn paar hinweise von trendmicro.com:

 

"QUICK LINKS Solution

 

Virus type: Worm

 

Destructive: No

 

Aliases: W32/Lovsan.worm, Lovsan, W32.Blaster.Worm

 

Pattern file needed: 604

Scan engine needed: 5.600

Overall risk rating:

Medium

Reported infections:

Medium

 

Damage Potential:

High

 

Distribution Potential:

High

 

Description:

TrendLabs has received several infection reports of this new worm, which exploits the RPC DCOM BUFFER OVERFLOW. This vulnerability in a Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) interface allows an attacker to gain full access and execute any code on a target machine, leaving it compromised.

 

 

This worm has been observed to continuously scan random IP addresses and send data to vulnerable systems on the network using port 135. On the following system dates, it performs a Distributed Denial Of Service attack against windowsupdate.com:

 

On the 16th to the 31st day of the following months:

 

January

February

March

April

May

June

July

August

Any day in the months of September to December.

 

This worm runs on and is able to propagate into Windows NT, 2000, and XP systems.

 

 

For more information on the RPC DCOM Buffer Overflow, please visit the following Microsoft page:

 

 

Microsoft Security Bulletin MS03-026

 

 

Solution:

AUTOMATIC REMOVAL INSTRUCTIONS

To automatically remove this malware from your system, please use the Trend Micro System Cleaner.

 

 

MANUAL REMOVAL INSTRUCTIONS

 

 

Terminating the Malware Program

 

 

This procedure terminates the running malware process from memory.

 

Open Windows Task Manager press

CTRL+SHIFT+ESC, and click the Processes tab.

In the list of running programs*, locate the process:

MSBLAST.EXE

 

Select the malware process, then press either the the End Process button.

To check if the malware process has been terminated, close Task Manager, and then open it again.

Close Task Manager.

 

Removing Autostart Entries from the Registry

 

 

Removing autostart entries from the registry prevents the malware from executing during startup.

 

Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter.

In the left panel, double-click the following:

HKEY_LOCAL_MACHINE>Software>Microsoft>

Windows>CurrentVersion>Run

In the right panel, locate and delete the entry:

"windows auto update" = MSBLAST.EXE

Close Registry Editor.

NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.

 

Additional Windows ME/XP Cleaning Instructions

 

 

Running Trend Micro Antivirus

 

 

Scan your system with Trend Micro antivirus and delete all files detected as WORM_MSBLAST.A. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro's free online virus scanner.

 

 

Applying Patches

 

TrendLabs advises all affected users to apply the patch issued by Microsoft at the following page:

 

Microsoft Security Bulletin MS03-026

TrendLabs also asks users to filter access to port 135 and allow trusted and internal sites only.

 

For product specific solutions, refer to Solution 15898 of Trend Micro's Knowledge Base.

 

 

Trend Micro offers best-of-breed antivirus and content-security solutions for your corporate network or home PC.

 

 

 

 

For additional information about this threat, see Technical Details."

 

 

vielleicht iss ja was neues an ionfos dorbei!

 

-----------------

 

[Stroker]

puh ... auch ein grund, warum ich hier

-für teuer geld- vom i-netterminal sitze:

 

zum glück befinden sich meine (nt)server @ home

hinter einer firewall ... so kann ich in ruhe schlafen und

brauche erst am we die patches aufspielen...

 

habt ihr schon die message im quellcode des

wurm's gelesen???

...dort soll doch "billy gates" direkt dazu aufgefordert werden,

endlich mit dem geldscheffeln aufzuhören und

endlich sichere software herauszubringen.

...womit wir wieder bei einigen "gönnern" von

microsoft sind:

mir ist es unverständlich, das leute (...nennen

wir sie der besseren verständniss halber mal "hacker,")

ihr geistiges potential dazu einsetzen, solche

sicherheitslücken auf so alberne art und weise

auszunutzen, anstatt direkt den betroffenen

hersteller anzuschreiben.

aber anscheinend gibt es wohl so mehr

"ruhm und annerkennung" in der scene.

 

-zumindist ich kann auf diese art von "ruhm"

verzichten - ich würde meine fähigkeiten eher

auf produktive art und weise einsetzen.

 

...zu der "linux-ist-eh-besser" fraktion sei

gesagt, das es auch in diesem freien

unix-system genug beispiele für

buffer underruns gibt.

(beispiele werde ich gerne nennen)

aber es ist ja leichter immer auf microsoft herumzuhacken.

 

so, genug dampf abgelassen für heute

 

*motz*

 

 

 

-----------------

Smarte Grüße

~ Andree ~

 

 

 

[sm_art]

die frage ist doch: was ist zweckmässiger ?

 

wenn otto 'homeanwender' zuhause im internet abspackt und mal nen brief mit ms-word-2003-xp-unprofessionell-but-activated schreibt, dann mag das auch okay sein und, sorry, who cares, wenn er sich ´n wurm einfängt, dann schei.... wir doch alle d´rauf.

 

einfach, aber UNSICHER, das ist halt ms-philosophie !

(standardberechtigung: JEDER/ALLES, nur mal so zur erinnerung)

 

ziel ist: auch omma muss ein betriebssystem installieren können, aber dann passieren halt solche dinge.

 

an linux trauen sich - bislang - nur freakz oder ambitionierte anwender ran. wenn es sich erstmal so verbreitet hat wie der ms-kram, gibt es wohl die gleiche anzahl von viren, etc.

 

wir werden sehn .......

 

:-D

-----------------

 

[beduine]

Quote:

Am 12.08.2003 um 22:18 Uhr hat Stroker geschrieben: ...womit wir wieder bei einigen "gönnern" von microsoft sind: mir ist es unverständlich, das leute (...nennen wir sie der besseren verständniss halber mal "hacker,") ihr geistiges potential dazu einsetzen, solche sicherheitslücken auf so alberne art und weise auszunutzen, anstatt direkt den betroffenen hersteller anzuschreiben. aber anscheinend gibt es wohl so mehr "ruhm und annerkennung" in der scene.

 

Meiner meinung nach geht es hier nicht um Ruhm. Versuch mal einen Nachricht an Micro$oft zu schreiben und ihnen einen Fehler mitzuteilen ......

 

@sm_art:

Der ruf dass Linux nur was für freaks ist, stimmt so nicht ganz. Ein Suse 8.3 zu installieren ist genauso leicht wie eine Windows XP aufzusetzen.

 

Wenn du ein debian oder freeBSD verwenden willst, dann musst du natürlich ahnung von der sache haben ;-)

 

ciao, mad

 

PS: ich verwende Suse 8.2 & Win XP pro :-D es haben beide Systeme ein recht zu leben :-D :lol:

 

-----------------

It's time to change your car...

... into a Smart!

 

 

[sm_art]

... ich auch, ich nehme xp immer für diese wmv-dateien ......

 

:-D :lol: :-D :lol: :-D :lol: :-D

 

oder kennst du´n konverter für xine ?

 

-----------------

 

[ELCHFAN_EMANUEL]

Puh, noch mal Glück gehabt! Ich hab den blöden Wurm beseitigen können. Bei T-Online habe ich die besage Symantec Software gefunden, welche den Wurm dann elimeniert hat.

 

Da bleibt nur noch die Frage, wer und warum macht so einen Scheiss?

 

Schließlich gehen anderer Leuts Computer mitunter drauf......

-----------------

Smarte & Elchige Grüße

 

Emanuel

 

 

 

Smart?! Engineered like no other car in the world!!! -Ironie steckt auch in diesem Spruch...

 

Hey, keine Kritik! Auch Tipp- & Rechtschreibfehler haben eine Berechtigung.

 

Emanuels Smarte Bilder

 

Graukugel.de

 

 

 

[beduine]

hi

 

@sm_art:

 

kenne leider keinen konverter für xine. Aber M-Player unterstütz anscheinend das wmv-Format.

 

ciao, mad

 

 

 

-----------------

It's time to change your car...

... into a Smart!

 

 

[Kevin_Lomax]

auch ich hatte das würmchen auf meinem server und schlumpfine's mum hatte ihn auch...

so wie es ausschaut hat es auch rs-parts erwischt (post mit den viruskillern ist unterwegs zu robi :-D).

 

mal wieder ein problem, welches super von symantec's norton antivirus in unterstützung von MS gelöst wurde! :-D

das beste war ja, das der antivirus das teil angemahnt hat, aber beim anschließenden ichtigen scannen der gesamten festplatte GARNIX gefunden hatte! auch beim starten der Fix Blast exe im abgesicherten modus und nach einem halbstündigen scannen der platte, fand diese nix. also den patch installiert und ruhe war! :lol:

 

also man sieht mal wieder, das man auch mal bei viruswarnungen vom norton die weiterführenden links anschauen sollte. :roll:

 

p.s.: warum haben da so viele leute paranoia vor MS? :-P

 

-----------------

CU 'N Hell

The Devil's Advocate

...und sein "Kenny" IN-RW 97

Gründer und Webmaster der...

 

[torti]

Hallo ihr mitleidenden...

Auch ich hab mir dieses mist ding eingefangen und wie Udo schon sagte,immer wieder eigenständiges runterfahren vom Betriebssystem. Nix geht mehr.Selbst mein Northon Antivirus konnte ihm nicht endfernen. :evil:

Hilft nur eins. Format D:

Da ich 2 Betriebssysteme habe bin ich nun mit Windows 2000 Pro unterwegs im netz.Aber viele wichtige dateien sind nu futsch... :cry:

Hoffe er iss bald wieder weg aus dem netz.

Wie ich gelesen hab nutzt der Wurm das antivierus programm als wirt.Und dann geht nix mehr.

Super Bill,weiter so... :-x :-x

-----------------

 

!!! Neuer Treffpunkt für Smartfahrer !!!

 

...wer schreibfehler findet darf sie behalten... Torti´s Page