» Willkommen auf Software «

P4Peiniger
aus Kiel
offline



OC God
22 Jahre dabei !


hmmm trotz Patch immer noch? ... ich mein ohne FW kannste die msblast löschen bis du schwarz wirst... die kommt immer wieder..


think slack!
nethands

Beiträge gesamt: 3604 | Durchschnitt: 0 Postings pro Tag
Registrierung: Juli 2002 | Dabei seit: 8158 Tagen | Erstellt: 23:19 am 12. Aug. 2003
cpukiller
aus düsseldorf
offline



OC God
23 Jahre dabei !

AMD Athlon XP
1866 MHz @ 2700 MHz
45°C mit 1.80 Volt


toll und was kann mann machen


Gebe nicht auf,sei du selbst,jeder Mensch,wird dich bewundern,wenn du es schaffst,du zubleiben.

Beiträge gesamt: 7411 | Durchschnitt: 1 Postings pro Tag
Registrierung: Nov. 2001 | Dabei seit: 8400 Tagen | Erstellt: 23:39 am 12. Aug. 2003
Vicent2003
offline


OC Newbie
21 Jahre dabei !



Zitat von cpukiller am 23:39 am Aug. 12, 2003
toll und was kann mann machen



Junge das is ganz einfach,
hol dir linux debian
das gilt aber nicht nur für dich

@GhettoRapper
ich merk, hier versteht mich mal einer

(Geändert von Vicent2003 um 0:35 am Aug. 13, 2003)

Beiträge gesamt: 52 | Durchschnitt: 0 Postings pro Tag
Registrierung: Juni 2003 | Dabei seit: 7829 Tagen | Erstellt: 0:33 am 13. Aug. 2003
Ratber
offline


Real OC or Post God !
23 Jahre dabei !


@P4

Die Blast ist bei mir ohne Wirkung da Nachrichtendienst und Remotregistrierung bei mir per Default Deaktiviert sind.
Is nach der Löschung auch nicht mehr aufgetaucht.


Was jetzt auftritt ist das ohne Firewall die Svchost nach ca. ner Minute absemmelt und damit die entsprechenden Funktionen lahmlegt.

Mit FW kann ich Stundenlang Surfen und die Service.Exe versucht permanennt zu Telefonieren.

Nur Frage ich mich wie das bei nem Absolut Jungfräulichem System passieren kann.

Selbst nen Backup vom letzten Jahr zeigt gleich nach dem Login das gleiche Theater.

Ich gehe davon aus das es sich hier um 2 verschiedene Effekte handelt.

Irgendwie ist da nochwas unterwegs.

Hab jetzt nochmal nen Frisches System (Backup einer Neuinst von Januar) mit nem Anderen Provider probiert und sofort das Theater.

Bin mal gespannt was diese Woche noch kommt.

Beiträge gesamt: 41451 | Durchschnitt: 5 Postings pro Tag
Registrierung: Mai 2001 | Dabei seit: 8593 Tagen | Erstellt: 1:16 am 13. Aug. 2003
MCSlash
aus sengeländer
offline



OC Newbie
23 Jahre dabei !

AMD T-Bred
1466 MHz @ 2525 MHz
42°C mit 1.96 Volt


Vicent2003:

Alles was du zu diesem Wurm gesagt hast, haben die auch im Fernsehn gesagt. :lol:
Also reiss beim nächsten Mal deinen Mund nicht ganz so weit auf.


So kann man sich das Hobby auch ganz einfach finanzieren.    

Beiträge gesamt: N/V | Durchschnitt: 0 Postings pro Tag
Registrierung: Mai 2001 | Dabei seit: 8596 Tagen | Erstellt: 1:29 am 13. Aug. 2003
Godot
offline



OC God
22 Jahre dabei !

Intel Core i7


es gibt glaub ich von norton nen patch, der löscht von dem patch alle registry einträge... s. heise.de wo es den gibt

Beiträge gesamt: 1621 | Durchschnitt: 0 Postings pro Tag
Registrierung: Aug. 2002 | Dabei seit: 8131 Tagen | Erstellt: 1:50 am 13. Aug. 2003
Ratber
offline


Real OC or Post God !
23 Jahre dabei !


Von Symnantech is der EM-Scanner der den Blast entfernt aber dennoch ist der MS-Patch fällig sonst geht es munter weiter.

also beides ziehen.

Mit dem Scanner das System säubern (Nach dem Neustart nochmal zur Sicherheit) und wenn Sauber den Patch drauf.

Danach die nächsten Tage beobachten (Wäre nicht das erstemal das nen Wurm,Trojaner,Virus mehrstufig daherkommt)


Beiträge gesamt: 41451 | Durchschnitt: 5 Postings pro Tag
Registrierung: Mai 2001 | Dabei seit: 8593 Tagen | Erstellt: 2:01 am 13. Aug. 2003
Ratber
offline


Real OC or Post God !
23 Jahre dabei !


So,hab noch was Experimentiert.

Seit der "Infizierung" will ja die "Service.exe" immer schön Kontakten.

Auch nach dem Reinigen und dem Patch ist mir immer wieder eine  Svchost abgesemmelt sobald ich Online ging.
(FW auf Durchzug und nur Protooöierend)

Ich habs mal ohne Mailclienten probiert und siehe da der Fehler blieb erstmal aus.
Nur die "Service.exe" Telefonierte fröhlich irgendwohin.

sobald ich den Mailclienten aufgerufen haben war spätestens nach 2 Minuten Ende und die entsprechende Svchost hat sich verabschiedet.
(Ich hab vorher alle Mails Gesichert und entfernt)

Dann hab ich die "Service.exe" mal gegen eine Jungfräuliche von nem Anderen Rechner (Vom Fileserver.Der hat das Web noch nie gesehen) ausgetauscht und siehe da die Telefoniererei endete nach dem nächsten Start.

Bei den anderen befallenen Partitionen reichte es allerdings wenn ich erst den Scanner und dann den Patch drübergejagt habe.

Das mal für die denen die Einfache Methode nicht hilft.

Beiträge gesamt: 41451 | Durchschnitt: 5 Postings pro Tag
Registrierung: Mai 2001 | Dabei seit: 8593 Tagen | Erstellt: 2:21 am 13. Aug. 2003
P4Peiniger
aus Kiel
offline



OC God
22 Jahre dabei !


@ratber

wie schon im LT gepostet...(nu weiss ich's genau)

das svhost abstürzt ist ein Bug im Wurm selber!!! les mal dazu den Thread in Umfrage/2. Post die Heise Links...

in Kurzfassung, der Wurm sucht wohl mehr oder weniger zufällig seine Angriffsmethode aus (je nach OS ander's 2k/xp/2003) und falls er halt versucht auf XP nen Stackoverflow zu provozieren aber eigentlich auf 2k läuft sämmelt das system halt ab... machen wollte er eigentlich was ganz anderes

(Geändert von P4Peiniger um 8:02 am Aug. 13, 2003)


think slack!
nethands

Beiträge gesamt: 3604 | Durchschnitt: 0 Postings pro Tag
Registrierung: Juli 2002 | Dabei seit: 8158 Tagen | Erstellt: 8:01 am 13. Aug. 2003
Vicent2003
offline


OC Newbie
21 Jahre dabei !



Zitat von MCSlash am 1:29 am Aug. 13, 2003
Vicent2003:

Alles was du zu diesem Wurm gesagt hast, haben die auch im Fernsehn gesagt. :lol:
Also reiss beim nächsten Mal deinen Mund nicht ganz so weit auf.



bist auch en kl. held, tzzzzzzzzzzz so ein kasper
außen tv hab ich die infos bestimmt nicht

Begin forwarded message:

Date: Mon, 11 Aug 2003 15:36:24 -0600 (MDT)
From: Dave Ahmad
To: bugtraq@securityfocus.com
Subject: DCOM worm analysis report: W32.Blaster.Worm



A Bugtraq user has already pointed out that a worm has been
discovered in the wild that exploits the Microsoft Windows DCOM RPC
Interface Buffer Overrun Vulnerability (Bugtraq ID 8205) to infect
host systems.  Symantec has been tracking its activity and is
currently conducting analysis/full disassembly of the malicious code,
which has been named "Blaster".  The results of our analysis are
being made available to the public at the following location:

https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf

It is expected that this report will be updated frequently as more
information is discovered.  Readers are advised to download/refresh
it throughout the day to ensure that any new information is not missed.

David Mirza Ahmad
Symantec

PGP: 0x26005712
8D 9A B1 33 82 3D B3 D0 40 EB  AB F0 1E 67 C6 1A 26 00 57 12
--
The battle for the past is for the future.
We must be the winners of the memory war.

------ nur mal so, das is in der nacht vom 11-12 .08 reingekommen
junge guckt dir den link an, lies dir das durch, und dann weißte alles
englisch is natürlcih vorausgestzt

ps.das was ich geschrieben hab, war meine kl.zusammenfassung für die die sich mit sowas nichauskennen, hätte ja auch schreiben können,  macht folg.ports dicht per firewall, das hätte nur kaum einer verstanden

(Geändert von Vicent2003 um 9:17 am Aug. 13, 2003)

Beiträge gesamt: 52 | Durchschnitt: 0 Postings pro Tag
Registrierung: Juni 2003 | Dabei seit: 7829 Tagen | Erstellt: 9:12 am 13. Aug. 2003