Da bin ich aber erleichertert dachte nur ich hätte das Problem.
Aber nun ist es weg.

Boah, unser Rechenzentrum hat es jetzt auch geschafft eine Information an die angeschlossenen Sparkassen rauszugeben. Ging ja richtig schnell

Im übrigen haben die auch festgestellt, dass nicht nur Sparkasserechner sondern auch Rechner von Privatanwendern betroffen sind!

Da kann man nur sagen: Hut ab Informatik Kooperation!

Wußte gar nicht, das hier noch mehr arme User von der "Informatik Kooperation" abhängig sind.

Besten Gruß von der Sparkasse Herdecke

Sascha Budde

PS: Bitte fragt jetzt nicht was die "Informatik Kooperation" ist. Sparkassen Insider. Die kann man nicht erklären, die muß man erleben (oder besser nicht ).

Jo, wir sind auch von der Sparkassen Informatik (oder IK oder auch BWS je nachdem wie man sie nennen will) abhängig.
Ist schon ganz toll was die da so teilweise auf die Beine stellen und wie ernst die manche Probleme nehmen.

Gruß von der Sparkasse Bottrop

Aber das Essen in der Kantine der SI ist prima

Gruß Twisi
Sagt der Masochist zum Sadisten: "Bitte quäl mich!" - Sagt der Sadist: "Nein!"

Letzte Bearbeitung am 12-Aug-03 um 14:10 Uhr ()
Wie passend, ich bin auch dafür, dass der Wurm weiterleben darf, eine DDoS gegen Microsoft ist ja nichts schlechtes

Heise hat übrigens noch eine Meldung gebracht, die auf die Entfernung bzw. den Systemschutz bezogen ist.

Generell kann man nur an alle User (egal welches Betriebssystem) appelieren, sich über Updates zu Informieren (z.B. eine M$-Mailingliste oder ähnliches) und die Updatefunktion von z.B. Windows zu nutzen (wozu gibt es die denn...)
Damit hilft man nicht nur sich selber sondern auch anderen.

EDIT: Immerhin gibt ist der Bug schon seit ende Juli bekannt. Und noch ein Spiegelartikel

mfg Boris
Aber anderen zu helfen ist ja heutzutage nicht mehr in, sonst gäbe es viel mehr Testsitze und außerdem Programme zum enfernen dieses Wurms. Außerdem würden sich mehr Leute um die Rechte der Vögel kümmern...

BRAUCHE DRINGEND EURE HILFE!

Ich bekomm genau die gleiche Meldung (System wird heruntergefahren - Countdown 60s - NT-AUTORITÄT/SYSTEM hat Fehler verursacht - Remoteprozedurablauf wird unerwartet beendet)

Kann mir bitte jemand kurz und genau schreiben was ich jetzt downloaden oder was ich in der Systemsteuerung umstellen muss??? Kann nämlich höchstens ca. 5 Minuten online sein, dann kommt schon wieder das Fenster mit dem Neustart.

Hab einen Laptop mit Windows XP Home und einen 56k Modem.

Ich hoffe ihr könnt mir helfen und falls es einen download gibt, hoffe ich dass die Datei nicht zu groß ist!

LG
Christian

0. Zuerst versuchen Strg-Alt-Entf zu drücken und msblaster.exe beenden, wenn das geht. (schafft etwas Zeit)
1. Removal Tool laden (165kb)
2. Removal Tool gemäß Anleitung nutzen (evtl. Anleitung ausdrucken)
3. Patch ziehen (ca. 1MB)
4. Patch installieren
5. zurücklehen und hoffen das es das war

mfg Boris
das sind die Zeiten in denen jeder ein Knoppix haben sollte...

Hi Boris!

Vielen Dank für die schnelle Hilfe! Und ich glaube es hat funktioniert! Bin gerade beim ziehen des Patch und schon ca. 10 min. online!

Sorry wegen der Blockbuchstaben, aber ich bin war heute schon ziemlich gereizt wegen der ganzen Geschichte und hätte beinahe meine Festplatte formatiert, weil ich nicht mehr wusste was ich machen soll!

Habe auch schon begonnen gehabt mit der Recovery Win XP CD das System neu zu installieren, habe aber dann doch noch (vor dem kopieren der ganzen Daten) das Setup abgebrochen. Jetzt kommt aber jedes mal wenn ich den Laptop hochfahre gleich am Anfang die Auswählmöglichkeit zwischen dem normalen WIN XP und Setup WIN XP und wenn ich nicht mit dem Pfeil das normale WIN XP auswähle dann startet er automatisch das SETUP, das ich jetzt ja gar nicht mehr haben möchte.

Gibts da abhilfe? Kann ich das irgendwie entfernen, so dass er immer gleich normal ins XP einsteigt?

Danke & LG
Christian

Danke für Deine Anleitung! Jetzt geht auch wieder bei mir alles.

Hi,

die Fehlermeldung bekomme ich auch, nur steht "svchost.exe" danach immernoch im Task Manager. Der PC rebootet auch nicht, aber Textlinks funktionieren bei mir nicht mehr genau so wie etliche Windoof Funktionen wie die Suchfunktion.
Ausserdem schliesst sich der Internet Explorer auf bestimmten Seiten von alleine.

Sehr beunruhigend... :\

CU & Bye Bye
Steffen
ossypage.de
Freizeitpärke sin voll krass, alda!

Das selbe Problem hab Ich auch. Es kommt bei jedem Link den ich anklicke ein Hinweis "UNBEKANNTER NAME"... das selbe wenn Ich Texte kopieren will... mehr hab Ich noch nicht mitbekommen, aber vielleicht spinnt ja noch mehr.

Man was für ne Sch****

Gruss Daniel

Hi,

da ich vorher noch nicht viel mit Viren zu tun hatte habe ich wirklich keine Ahnung wie ich mit infizierten Dateien umgehen soll. Mein Antivir hat mich gerade auf folgendes hingewiesen:

Achtung Fund

Die Datei System32.exe enthält eine Signatur des gefährlichen Backdoorprogrammes BDS/SDBOT.AA
Soll diese Datei gelöscht werden?

Soll ich die Datei jetzt löschen oder kann ich mein Windows danach in die Tonne kloppen?

CU & Bye Bye
Steffen
ossypage.de
Freizeitpärke sin voll krass, alda!

Auch mein Outlook Express spinnt nun, ich kann zwar noch Mails abrufen, aber antworten oder Nachrichten schreiben geht nicht, es kommt immer die Meldung: Beim Öffnen dieser Nachricht ist ein Fehler aufgetreten !!! Es ist nicht genügend Arbeitsspeicher verfügbar !!!

ausserdem kann ich auf einige Ordner wie z.B. C:PROGRAMME nicht mehr zugreifen ...

Erbitte dringend Hilfe !!! Wie bekomme Ich den ####### Wurm los ?

Gruss Daniel

so mal was ausführliches über das lästige herunterfahren "Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgegben, siehe dazu das BSI-Advisory auf heise Security.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

W32.Blaster zeigt beim Angriff auf Systeme störende Nebeneffekte:
Eine Fehlermeldung mit der Mitteilung, das System müsste heruntergefahren werden, da der Dienst "Remoteprozeduraufruf" unerwartet beendet wurde, erscheint bei einigen Systemen in einem Pop-up-Window. Anschließend wird der PC automatisch heruntergefahren.

Schutz vor RPC/DCOM-Wurm W32.Blaster

Microsoft Security Bulletin MS03-026 - Pufferüberlauf in RPC-Schnittstelle kann Codeausführung ermöglichen

Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.

Symantec hat bereits ein Removal-Tool bereitgestellt, um den Wurm von befallenen System zu entfernen.

Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden. " (Quelle- www.winsolution.de )

So Leute, die einzigste Firewall die das Dingen im Griff bekopmmen hat ist die Sygate Personal Firewall, ich hab sie selber drauf, und keine Probleme mit dem Rechner.

>So Leute, die einzigste Firewall die das Dingen im Griff bekopmmen hat ist die Sygate
>Personal Firewall

Hat die auch den steilsten Drop einer Holz-Firewall, oder muß ich dafür doch nach Skandinavien fahren? IIRC ist da nicht nur der steilste Holz-Firewall-Drop, sondern da kommt auch ein kleines unscheinbares Betriebssystem her, das mal kurz über den Wurm geschmunzelt hat... ach ja, und durchgelassen an die Win-Workstations dahinter hats den auch nicht

Demnächst neues Feature auf Freizeitparkweb: Signaturen, die man selbst eintragen kann!
(so für die Übergewichtigen zum Testen und so...)

Toll das hat winsolution aber schön von Heise kopiert. Der Text steht so O-Ton in dem oben angebenen Link.

>So Leute, die einzigste Firewall die das Dingen im Griff bekopmmen
>hat ist die Sygate Personal Firewall
Achso gut zu wissen, dass meine Firewalls und die in der Firma das nicht geschafft haben, haben wir gar nicht gemerkt...

mfg Boris
*köpfschüttel*

>Toll das hat winsolution aber schön von Heise kopiert. Der Text steht so O-Ton in dem
>oben angebenen Link.
>
>>So Leute, die einzigste Firewall die das Dingen im Griff bekopmmen
>>hat ist die Sygate Personal Firewall
>Achso gut zu wissen, dass meine Firewalls und die in der Firma das nicht geschafft
>haben, haben wir gar nicht gemerkt...
>
>
>mfg Boris
>*köpfschüttel*
iss ja gut, nenn mich nicht direkt Schweinehund

das die das von Heise kopiert haben wusste ich leider nicht, im Gegensatz zu Norton und anderen Firewalls, hat die Sygate sofort dicht gemacht, bei mir am Rechner ist nix passiert.
Cheers greetz kalle

>das die das von Heise kopiert haben wusste ich leider nicht, im Gegensatz zu Norton und
>anderen Firewalls, hat die Sygate sofort dicht gemacht, bei mir am Rechner ist nix
>passiert.

Bei mir ist auch nix passiert und das obwohl ich ne Norton Firewall habe die! Seltsam wenn nur deine Sygate den Wurm aussperrt! (mein Rechner ist übrigens die letzten 48 Stunden dauerhaft online gewesen)

Letzte Bearbeitung am 13-Aug-03 um 08:56 Uhr ()
  >[...]nenn mich nicht direkt Schweinehund
Hab ich gar nicht

  >im Gegensatz zu Norton und anderen Firewalls, hat die Sygate
  >sofort dicht gemacht, bei mir am Rechner ist nix passiert.

Wiederhole ich mich, wenn ich sage, dass meine Rechner auch ohne Sygate Firewall, sondern mit diversen anderen Firewall-Lösungen, nicht betroffen sind? (Zu Norton hat Martina ja schon was gesagt...)

mfg Boris
"denkt daran, der Geek, den Ihr heute auslacht, ist wahrscheinlich derselbe Typ, der morgen Euren Gehaltsscheck unterschreibt" (chuckgutz)

>  >[...]nenn mich nicht direkt Schweinehund
>Hab ich gar nicht
>
>  >im Gegensatz zu Norton und anderen Firewalls, hat die Sygate
>  >sofort dicht gemacht, bei mir am Rechner ist nix passiert.
>
>Wiederhole ich mich, wenn ich sage, dass meine Rechner auch ohne Sygate Firewall,
>sondern mit diversen anderen Firewall-Lösungen, nicht betroffen sind? (Zu Norton hat
>Martina ja schon was gesagt...)
>
>
>mfg Boris
>"denkt daran, der Geek, den Ihr heute auslacht, ist wahrscheinlich
>derselbe Typ, der morgen Euren Gehaltsscheck unterschreibt" (chuckgutz)
hehe, das merkwürdige an der ganzen Sache ist, das in meinem Bekanntenkreis ein paar Rechner, die ganz ohne Firewall sind, auch nicht betroffen waren. Dagegen andere wiederum, die selbst die Norton oder ähnliche Firewalls draufhatten, betroffen waren, habe eben noch erfahren, das selbst die Sygate Probleme gemacht hat.

http://learn.to/quote

Demnächst neues Feature auf Freizeitparkweb: Signaturen, die man selbst eintragen kann!
(so für die Übergewichtigen zum Testen und so...)

Letzte Bearbeitung am 13-Aug-03 um 09:48 Uhr ()
Man kann immer nur oft genug betonen, dass jede Firewall nur so gut sein kann, wie der User, der vorm ihm sitzt sie konfiguriert hat. Außerdem gibt es noch reichlich andere Gründe, die erklären können, warum man nicht von dem Wurm betroffen ist.
Runtop schützt z.B. meine Rechner zuhause (ist aber nicht die einzige Komponente in meiner Firewall )

Mal abgesehen davon ist eine Firewall nicht nur ein Programm sondern ein Konzept zur Sicherheit, das mal nur so am Rande.

EDIT: Gerade noch gefunden

mfg Boris
Mit Linux wäre das nicht passiert *beiassassinindietütegreif*

Schön das ich Linuxuser bin *zurücklehnundPopcornhol*

Auf http://www.pcflank.com/ gibt es verschiedene Tests, mit denen Ihr Euren PC nach offenen Ports, etc. durchsuchen könnt.
Auch gut um offene Ports vor der Installation eines Testsitzes zu finden, weil sonst dickere Ports nicht mehr passen könnten .

Ein Tip für alle geplagten:

Wer 2000 mit ResourceKit oder WinXP hat, kann den Restart mit der Eingabe von "shutdown -a" abbrechen. Dies kann zur entfernung des Wurms recht hilfreich sein.

Hi,

ich bin ihn nun los. Ganz herzlichen Dank nochmals an Alex Jeschke, der das hinbekommen hat. Große Hürde hierbei war, dass man das Service Pack 2 für W2000 installiert haben muss, um den Patch installieren zu können.

Gruß,

Tim
FKFFPWECC - 2gether, we're strong!

Wie ich gerade bei Chip gelesen habe, ist schon ein Nachfolger von Blaster draußen!
Hier mehr!

CU CONRUN

Mit Linux als Router ist Windows am schönsten !

Letzte Bearbeitung am 13-Aug-03 um 19:12 Uhr ()
Hallo

Bei mir funktioniert dieser Link nicht!

Windows XP: http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe

Ist das bei euch auch so?! Ich kann das Update nicht herunterladen!

Mit freundlichen Grüssen
Simon Remensberger

The life is the possibility to drive by rollercoasters!

Bei mir tuts der Link (sogar mit Opera )
Da die M$-Download-Server z.T. etwas überlastet sind, einfach ein paar Minuten warten und nochmal probieren.

mfg Boris
*linuxhab* *glücklichbin*

Diesmal frühzeitig die Warnung, einen wichtigen Patch in Euer System einzuspielen (beim letzten Blaster war der Patch schon mehrere Wochen verfügbar, nur keiner hats gemerkt oder für nötig befunden, den zu installieren).

Wie Heise berichtet, ist das Sicherheitsloch, das durch den Blaster/Lovsan-Wurm ausgenutzt wurde, noch nicht ganz geschlossen! Dies betrifft (wieder) alle Betriebssysteme, die auf der NT-Architektur basieren, also:

Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

Alle Benutzer dieser Betriebssysteme sollten unbedingt die neuen von Microsoft in der Security-Bulletin MS03-039 bereitgestellten Patches installieren! (unteres Drittel der Seite)

Noch ist kein Wurm zu diesem neuen/alten Loch aufgetaucht (Blaster/Lovesan nutzen nur die "einfache" Version dieses Loches, die mit dem letzten Patch geschlossen wurde), es ist aber mit Sicherheit nur eine Frage der Zeit! Das gefährliche an diesem Sicherheitsloch ist (wie oben auch mehrfach geschrieben), daß sich der Wurm OHNE ZUTUN DES BENUTZERS ausbreitet! Also nicht der übliche Weg über Mails und deren Anhänge, bei denen man mindestens die Mails öffnen muß, sondern er findet den Weg in Euer System völlig alleine, wenn Ihr diese Patches nicht installiert!

Habe ich schon gesagt, daß ich Microsoft für solche peinlichen Systemlöcher liebe? Wind auf die Mühlen der Verfechter nicht proprietärer Betriebssysteme

Du, der Du dies liest, installierst den Patch JETZT, Ok? Wer nachher heult, hat Pech gehabt.

Wir leben alle unter demselben Himmel, aber wir haben nicht alle denselben Horizont.

...oder man sitzt einfach hinter einem Router, welcher nur HTTP, FTP und IRC Port forwardet, dann kommt auch nix durch.

>...oder man sitzt einfach hinter einem Router, welcher nur HTTP, FTP und IRC Port
>forwardet, dann kommt auch nix durch.

Habe ich auch gedacht, wurde bei Blaster aber vor Ort bei einem Kunden eines besseren belehrt! Trotz Router inklusive Firewall hats das Ding auf die lokalen Rechner geschafft. Also: Brav den Patch installieren

Wir leben alle unter demselben Himmel, aber wir haben nicht alle denselben Horizont.

>...oder man sitzt einfach hinter einem Router, welcher nur
>HTTP, FTP und IRC Port forwardet, dann kommt auch nix durch.

Du fühlst dich sicher? Dann frag mal Zira...

mfg Boris
ICH bin sicher... *g*

Dazu eine Meldung von heute:

Microsoft entwickelt Zwischen-Servicepack für Windows XP

Schon vor einiger Zeit wurde offiziell bekannt, dass Microsoft das Service Pack 2 für Windows XP erst Mitte 2004 veröffentlichen wird. Heute aber erhielten die Windows-Update-Betatester per E-Mail die Botschaft, dass Microsoft an einem Rollup-Paket arbeitet. Dieses soll 22 Sicherheitspatches enthalten, die nach dem SP1 veröffentlicht wurden.

Nach der Attacke des W32.Blaster/Lovsan-Virus wurde von vielen Seiten eine Veröffentlichung eines solchen Packs gefordert. Damit reagiert Microsoft auf die Problematik, dass es für viele Heimanwender schwierig sei, bei den vielen Patches die Übersicht zu behalten. Auch die Nutzer von langsameren Internetverbindungen eine Kostenfrage ist.
Wann das Pack veröffentlicht wird, und ob für Windows 2000 auch ein solches Pack zusammengestellt wird, ist zurzeit noch nicht bekannt. Im Aufruf an die Betatester werden diese aber dazu aufgerufen, das Paket bis zum 24. September zu testen.