|
Virenhinweis: MS Blast
Hi,
ich habe mir gerade beiläufig einen kleinen Virus gefangen. Eher ein Nerv-Tool. Wenn euer System ständig neugestartet werden muss, weil irgendein Dienst unerwartet beendet wurde, dann habt ihr msblast auf eurem System. Das wird sich immer wieder wiederholen. Nach dem Neustart den Prozess "msblast" töten. Dann msconfig aufrufen und msblast.exe aus der Liste "Systemstart" herausnehmen. Zuletzt müssen die Dateien "MSBLAST.EXE-09FF84F2.pf" (C:\Windows\Prefetch) und "msblast.exe" (C:\Windows\system32) aus ihren Verzeichnissen löschen. Und nun seid ihr diesen Schädling wieder los. Chris PS: Keine Ahnung, wo der jetzt hehr kam... :( |
Re: Virenhinweis: MS Blast
Leider war es dann doch nicht so einfach.
Habe die Dateien mehrmals gelöscht und auch alles aus der Registry rausgenommen, aber ich habe das Teil immer noch. Und immer noch darf ich alle Programme schließen und Daten sichern. Hat jemand von euch dazu Ideen? Chris |
Re: Virenhinweis: MS Blast
Installiere Dir mal eine Firewall. Dann sieht Du, daß ein Programm TFTP.EXE die MSBlast.exe neu herunterladen will.
Lösche TFTP aus den beiden Verzeichnissen, die Du schon in Deinem ersten Beitrag genannt hast und dann solltest Du ihn los sein. |
Re: Virenhinweis: MS Blast
Hi Daniel,
werde das jetzt gleich mal ausprobieren. Firewall... :roll: Ja... mag ja ganz gut sein, allerdings ist sie manchmal (vorallem auf LANs) ziemlich störend. Aber ich denke, dass ich sie wieder drauf machen sollte... ;) Chris |
Re: Virenhinweis: MS Blast
Hi,
also hat scheinbar funktioniert. Vielen Dank für deine Hilfe. Chris |
Re: Virenhinweis: MS Blast
Bei solchen Dingen gibt es eh nur eine definitive Sicherheit: "Air gap"!
Will heissen (Netzwerk)Stecker raus und dann weiter experimentieren. Solange du einen Trojaner hast und davon weisst, solltest du NIEMALS die Netzwerkverbindung aufrecht erhalten. Und weil der Virus/Trojaner nicht das Kabel selber wieder reinstecken kann, solltest du es rausziehen!!! |
Re: Virenhinweis: MS Blast
Ich frag mich echt wie man nen Virus bekommt. Ich häng auf den seltsamsten Seiten rum und hab trotzdem nie <censored (S-Wort) ;)> auf meinem System. Keine Dialer, Trojaner, Viren... Ich mach irgendwas falsch :roll:
MfG Florian :hi: |
Re: Virenhinweis: MS Blast
Habe mich schon gewundert wieseo das System ständig neustartet (irgenein Remotedienst hatte fehler) und wieso alles ein bisschen spinnt (kopieren ging nicht richtig, hatte Probleme mit der DP, usw.)
Aber wie kommt denn das Tool auf meinen Rechner. Bin doch eigentlich immer vorsichtig, außer das ich keine Firewall habe. |
Re: Virenhinweis: MS Blast
@Assarbad: Kabel liegt aber so weit weg... ;) Nene... schon klar. Mache ich auch immer. Jetzt kommt erstmal Firewall drauf. Danach AntiVir. Ich hab die Nase voll... :evil:
@flomei: Sei froh! Chris |
Re: Virenhinweis: MS Blast
@Uncle Cracker: Ich habe auch keine Ahnung. Ich habe einen Verdacht. Den will ich aber hier nicht äußern, da es sonst zu Missverständnissen innerhalb der DP kommen könnte.
Chris |
Re: Virenhinweis: MS Blast
Also wenn dein Verdacht auf ein gewisses Crackme abzielt, so mag das berechtigt sein, da es in einem (weiss nicht mehr genau welches) Referenzen auf Wininet.pas etc pp gab. Obwohl sowas in ein solches Programm nicht gehoert. Ausserdem waren sie auch ca 60-80kB zu griss fuer ein Programm mit Form und ohne anderes. Kannst ja mal ne PN schicken.
|
Re: Virenhinweis: MS Blast
:( Meintet ihr damit mein CrackMe?
Bei mir ist eigentlcih alles sauber gewesen. |
Re: Virenhinweis: MS Blast
Wird man sehen. Ich weiss nicht welches es war, wo ich mal mit dem Dependency Walker und Resource Hacker reingeschaut habe ...
Habe erstmal Beweise gesichert ;) |
Re: Virenhinweis: MS Blast
Bei mir gibt es kein WinInet, aber in einem Keygen dazu schon.
Mehr sag' ich jetzt aber nicht, sonst gibt's von irgendjemanden noch Ärger |
Re: Virenhinweis: MS Blast
Also der FTP-Server TFTPD.EXE ist vermutlich Teil eines Cracking-Kits:
 http://www.heise.de/security/news/meldung/39139.Aktuelle Patches von Microsoft können helfen, die Gefahr zu verringern: http://www.microsoft.com/technet/tre...ty/default.aspGrüße, Gérome |
Re: Virenhinweis: MS Blast
Kann es sein das der Virus mir ICQ zerstört hat.
Bei mir kommt jetzt immer die Meldung: 'ICQ Lite konnte nicht initialiert werden.' |
Re: Virenhinweis: MS Blast
*puh* Zum Glück läuft die Firewall... Die fängt gerade alle möglichen Meldung auf Port 135 ab... :roll:
CrackMe kenne ich nicht. Allerdings war mein Erster Verdacht unbegründet. Werde das aber mal ein wenig nachrecherieren. Chris |
Re: Virenhinweis: MS Blast
@Gerome: TFTP.EXE nicht TFTPD.EXE. Es handelt sich also um einen Trivial FTP client. Die werden gern fuer sowas benutzt. Ware interessant sich mal die EXEn anzuschauen.
|
Re: Virenhinweis: MS Blast
Hi!
Zitat:
Schau mal HIER rein. Im unteren Drittel der Seite ist es zu finden.Gruß Matze |
Re: Virenhinweis: MS Blast
Zitat:
|
Re: Virenhinweis: MS Blast
Aber das CrackMe macht doch nix böses, oder?
Kann euch ja den Quelltext geben um selber nach zugucken, aber da ist nix was mit einem Server kontakt auf nimmt, oder nach Hause telefoniert. |
Re: Virenhinweis: MS Blast
Nö, dein CrackMe ruft definitv keine Funktionenn aus WinINet auf.
|
Re: Virenhinweis: MS Blast
Kann es sein dass das Toll noch mehr gemacht hat?
Denn ich kann im Internet Explorer keine Links in einem neuen Fenster mehr öffnen und ICQ startet gar nicht mehr, habe extra noch eine alte Version drauf gespielt, geht trotzdem nicht. Weis vielleicht jemand was darüber? :love: Danke UC |
Re: Virenhinweis: MS Blast
@UC: Hab doch nicht gesagt, dass es von dir ist. Habe selber noch nicht nachgeschaut. Lt NTBUGTRAQ handelt es sich sowieso eher um eine Art IRQ-Trojaner ... wahrscheinlich wiedermal mit dem ach-so-beliebten-aber-eigentlich-kostenpflichtigen-mIRC *brr*
Habe noch den Bloodhound-Makrovirus (VBA) in Erinnerung. schon allein indem man nicht nach C:\mirc installiert, konnte man den austricksen ... gemacht hats niemand :-/ |
Re: Virenhinweis: MS Blast
@UC dies koennte auch deine brandneue Firewall sein ... oder hab ich das falsch verstanden und du hast doch keine Installiert? Wenn doch, mach sie mal aus. Scriptkiddies kommen auch dann nicht rein, wenn du ein normales Passwort und normale Sicherheitsvorkehrungen hast (NT/2K/XP) ... um was auf deinem Rechner zu starten brauchts schon mehr Wissen.
|
Re: Virenhinweis: MS Blast
Copy & Paste spinnt bei mir irgenwie auch total
|
Re: Virenhinweis: MS Blast
Ich glaube, der hat etwas mit ICQ zu tun, da ich vorhin ICQLite gestartet habe und danach auch diese msblast.exe hatte. Vorher hatte ich sie ganz sicher nicht! Ausserdem hat mir vorhin ein Freund erzählt, dass nachdem er versucht hat ICQLite zu deinstallieren, plötzlich auch diese Datei hatte.
Edit : Das Ganze ist ein RPC Exploit, der seit Mitte Juli bekannt ist. Es gibt auch schon einen Patch von Microschrott dazu. Hier gibt's detailierte Infos samt Patch-Downloads : http://www.microsoft.com/technet/tre...n/MS03-026.asp |
Re: Virenhinweis: MS Blast
Könnte das was hiermit zu tun haben? Hab das bei GS gefunden:
http://www.gamestar.de/news/software/13478/MfG Florian :hi: |
Re: Virenhinweis: MS Blast
Moin!
Mein Rechner ist auch infiziert :mrgreen: hab allerdings auch den verdacht das ich mir das Dingen hier irgendwo eingefangen habe :? Wenn ich die msblast.exe ausm taskmanager abgeschossen habe ist mein pc doch erstmal vor angriffen geschützt oder? Weil der ist nämlich zuhause an und dient als Server :pale: Sagt mir mal einer bitte bescheid dann ruf ich meine Mutter an sie soll auf den Roten Knopf hauen :shock: |
Re: Virenhinweis: MS Blast
Hi,
@phlux: diese Vermutung habe ich auch. Allerdings bin ich derzeit noch am überlegen, welches Programm das sein könnte. :| Ich mag es überhaupt nicht, wenn ein Virus da war. @Uncle Cracker: ich denke nicht, dass deine Probleme was mit dem msblast zu tun haben, weil die zum Einen nicht in der Virenbeschreibung stehen, zum Anderen wohl nur du hast. Ich schätze, dass du nur noch einen anderen Virus drauf hast. :roll: Chris |
Re: Virenhinweis: MS Blast
Oh man :pale: ich muss zu Hause erstmal den Virus killen, genauere Informationen gibts hier:
http://us.mcafee.com/virusInfo/defau...virus_k=100547Der Virus hat einen PayLoad drin, der dann eine DoS Attacke gegen windowsupdate.com startet o:O |
Re: Virenhinweis: MS Blast
Ich habe seit heute Nacht den gleichen Virus.
Trotz Firewall und Antivir hat er sich eingenisstet. Der Firewall habe ich gesagt das TFTP.EXE keinen Zugriff in das Internet bekommt. Trotzdem wird XP immer noch beendet. Sobald ich wieder zu Hause am Rechner bin (muss ja leider arbeiten) werde ich es mal so wie hier vorgeschlagen versuchen! Wie der Virus/Trojaner allerdings auf meinen Rechner kommt ist mir noch unklar. Ich war gestern überhaupt nicht am Rechner (allerdings läuft er 24h/Tag). |
Re: Virenhinweis: MS Blast
Ich hatte das scheiß ding auch! Keien Ahnung bis vor ca. 3 Monaten hatte ich noch NIE einen Virus, und danach 6 Stück oder so - und ich hab an meinem "Surfverhalten" nix geändert (also auf dubiosen Seiten gesurft usw.)!
Bei mir ging der aber total schnell weg, einfach TFTP.exe gelöscht und aus dem Autostart raus - weg war er! MfG Matthias Volland |
Re: Virenhinweis: MS Blast
Bei mir wird msblast.exe immer wieder gestartet, obwohl ich alles gemacht habe, was man machen sollte :(
Vielleivht liegt es wirklich irgenwie an ICQ |
Re: Virenhinweis: MS Blast
Ich habe mal ein wenig gesurft.
Der Virus verbreitet sich geschickt: er sendet sich mit Hilfe des TFTP.exe an eine naheliegende IP. Wenn ihr eine Firewall habt, werdet ihr starke Aktivitäten auf dem Port 135 gesehen haben. Darin seht ihr, wie der Portscan an Aktivität gewinnt. Es sind also nur noch Rechner mit Firewall sicher... :| Chris PS: Wenn der Virus wirklich DoS-Attacken ausführt, dann ist auch klar, warum vor einigen Tagen der Server von Microsoft von eben dieser lahmgelegt wurde. |
Re: Virenhinweis: MS Blast
Tja, doch nicht "so easy" wie ich dachte! Dieses scheiß Norton AntiVirus findet den Virus nict (trotz neuestem Update!), dann suche ich in der Windoof-Suche, finde msblast.exe, nächsts Popup: "Unser tolles Produkt Norton AntiVirus für nur 35,99€ hat einen Virus gefunden. Wollen Sie ihn löschen? [La] [Nein]", dann auf [Ja] geklickt, und beim nächsten reboot der gleiche Spaß!
Ich hab jetzt auch mal wieder ZoneAlarm drauf gemacht und die blockt ewig und drei Tage lang. So muss das sein! Und sogar Freeware ! MfG Matthias Volland |
Re: Virenhinweis: MS Blast
Hi,
das ist es ja. Dieser RPC-Fehler bleibt! Du musst dir das Update ziehen. Sonst geht es nicht! Chris |
Re: Virenhinweis: MS Blast
Zitat:
Chip). Das neue ist eben nur die DoS-Attacke, damit der geplagte User den Patch von Microsoft nicht bekommt. |
Re: Virenhinweis: MS Blast
Was habt ihr eigentlich alles für komische Windows Systeme? Ich hatte noch nie einen Virus, Wurm oder Trojaner. Und ich bin nur wirklioch viel im Internet unterwegs mit dem IE und mit Outlook Express! Alles was ich laufen habe zusätzlich ist ein Firewall (Kerio). Alles was rauswill und ich nicht kenne, wird geblockt. Alles was rein will auf einen Port, der von einem anderen Programm genutzt wird, wird geblockt. Alle E-Mails mit Anhang von unbekannten Personen werden gleich gelöscht. lade ich hier ein Programm zum Testen runter, wird erstmal der Virenscanner (AntiVir)drübergejagt, den habe ich nämlich nicht ständig laufen. Und zu guterletzt habe ich noch ein sauberes Image als Backup. Mich hätte das ganze 7 Minuten aufgehalten (7 Minuten brauche ich, um das Image zurückzuspielen.) Desweiteren für ich regelmäßig die Windows Update Funktion des IE aus.
Der test von Mathias hat ergeben, das alle Ports zu sind. Hier noch ein paar Seiten: http://grc.com/default.htmhttp://security.symantec.com/ssc/hom...YSHSFVIGMKIIPLhttp://www.symantec.com/avcenter/ |
Re: Virenhinweis: MS Blast
@Luckie
Kerio ist doch Freeware, oder? Wo bekomme ich den die neuste Version kostenlos zum download her? :love: Danke UC |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:21 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz