Hallo Leute,
bin "etwas" verzweifelt! Seit zwei Tagen lese ich was von diesem Wurm und bei meinem Rechner stürzt permanent die Anwendung svchost.exe ab, wenn ich ein paar Minuten im Internet bin, das soll ja auch eins der Symptome des W32-Virus sein. Ansonsten ist bei mir aber nichts! msblast.exe gibt es nicht auf meinem Rechner, auch keine komischen Einträge in der registry, auch kein plötzliches shutdown. Virenscanner finden keinen Virus (norton fixblast, trendmicro sysclean).
Den Patch von MS kann ich nicht installieren, weil ich die Service Packs für win2000 blöderweise nicht installiert habe und der Patch erst ab Sp2 läuft, und bei der Download-Installation ist ein Fehler aufgetreten - und da man ja die Installations-Datei für das Sp nicht lokal speichern kann, müsste ich alles nochmal runterladen, aber der MS-Server ist down!!!
Habe schon versucht, die svchost.exe manuell zu löschen und neu zu installieren, aber die ist immer aktiv und man kann den Prozess im Taskmanager nicht beenden. Auch ersetzen der svchost.exe durch die im dll-Cache-Ordner hat nichts gebracht, schätze das geht auch nicht solange die aktiv ist...
Also, lange Haare, kurzer Sinn, wer kann mir helfen?!?
Gruß, gsguitar
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Ich sage, es gibt verschiedene Symptome für diesen Wurm.
1) Zum einen gibt es die masblast.exe und die ganz normalen Symptome, die ganz klar auf diese Virus hinweisen.
2) Zum anderen stürzt immer wieder die svchost.exe ab und somit auch der RPC-Dienst, aber eben die Datei msblast.exe ist nicht vorhanden. Wir haben hier schon mehrere solcher Fälle, in denen diese Datei eben nicht vorhanden ist. Auch die AntiViren-Tools finden momentan nichts!!!!
Wir haben hier ein grösseres Netz mit leider einigen Insellösungen, die an unserer Firewall vorbei ins Netz gehen, somit war die Sch........ am Dampfen.......
Aber wie gesagt, die Virenscanner springen nicht an....
Wer hat ähnliche Erfahrungen?
jup!
die remove-tools von ikarus und symantec sind bei mir nicht fündig geworden jedoch stürzt mein rechner in letzter zeit 2-3 mal täglich ab! (was sonst ein halbes jahr dauert)
habe auch keinen reg-eintrag der auf den wurm hindeutet...
alles seehr seltsam...
Schaut mal hier rein:
http://www.nickles.de/static_cache/537479473.html
:-)
Mit sonnigen Grüßen,
euer Thomas.
Salve und Salut.
Warum holst du dir das Service Pack von wo anders? Muß ja nicht immer Microsoft.de bzw. Microsoft.com sein. Hinzufügen kann ich auch, daß AntiVir den Virus findet und auch löschen kann. Auch wenn die Datei nicht vorhanden ist, ist das Ausfallen der svchost.exe eindeutig. Anscheinend gibt es keine bestimmte Formel, der man folgen kann. Denn auf meiner kleinern Renderfarm befand sich die msblast.exe auf der Festplatte und auch die svchost.exe wurde abgeschossen, aber in der regedit war dennoch nichts zu finden. AntiVir meldete sofort den Fund! Sofort habe ich AntiVir abgeschaltet und das RemoveTool die Festplatte durchsuchen lassen. Nach getaner Arbeit wurde sofort das Service Pack 4 überspielt, darin befindet sich gleich der Pack gegen diesen speziellen Wurm.
Ich hoffe, ich konnte etwas helfen?!
Mit besten Grüßen und überhaupt,
Thomas A. K.
Der Patch scheint bei mir zu helfen! Hatte die Abstürtze auch immer! Ich wusste auch erst nicht was es war glaube aber das ich es gefunden hab (SP3+Dieser neue Patch haben geholfen!)
Ich bin fast durchgedreht! Denn das Teil hat ständig wenn ich ins internet gegangen bin die svchost abstürtzen lassen und danach ging windoof nur noch auf halber Schiene! Ich hoffe das es bei mir wech is! HOFF HOFF!!!!
Salut Chrisiiiii! :-)
Der Patch alleine kann aber den Wurm nicht löschen. Im Internet findest du dazu genügen Removetools, falls du das nicht schon selbst getan hast...
Ciao, ciao.
Mit besten Grüßen und überhaupt,
Thomas.
Mhhh...
Gelöscht hab ich ihn nicht! 2x Hat Antivir eine Meldung gegeben! Ich bin mir aber nicht sicher ob er wech is! EInen nAbsturtz hatte ich aber seit nun 1 Stunde net mehr!
Werde aber gleich mal sehen!
Ah...
Ich hatte ihn schon Manuell gelöscht (glaub ich)!
Zumindesten Fand ihn ein Scaner net!
webfldrs!
Dieses Programm war auf meinen Rechner (Wurde nur bei Regcleaner angezeigt!
Ich hab danch gesucht und in dem Windows Verzeichniss (System32) gefunden ! Es war ne exe datei! Ausgefürtz deinstalliert (removt) und weg war es! Ich bin mir nicht sicher aber so ging es bei mir!
fixblast.exe ex symantec (freenet.de hat ´nen Download Link), hier mein Report:
Deleted the value "windows auto update" from the registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".
The tool has deleted the viral file "C:\RECYCLER\S-1-5-21-507921405-1708537768-1606116595-1003\Dc1.exe".
W32.Blaster.Worm has been successfully removed
from your computer!
Here is the report:
The total number of the scanned files: 24896
The number of deleted files: 1
The number of repaired files: 0
The number of viral processes terminated: 0
The number of registry entries fixed: 1
Meine Feststellung: der Patch allein macht nicht selig. Zwar hören nach Installation des Patches die Absturzmeldungen auf, allerdings konnte ich anhand von Agnitum´s Firewall feststellen, das Teil wurde per Registry wieder aus der Mülltonne geholt und trotz Microsoft Patch das Zombie Proggi MSBLAST.exe höchste Sende-Aktivitäten entwickeln wollte, was OUTPOST Firewall von AGNITUM dann vereitelte. So wie es aussieht, bin ich mit meiner Maschine derzeit über den Berg und die Firewall macht ihren Job gründlich ...
FIXBLAST lässt sich hier herunterladen ...
Das Service Pack gibt's doch als downloadbare Vollinstallation. War schon immer so.
http://www.microsoft.com/downloads/details.aspx?FamilyID=1001aaf1-749f-49f4-8010-297bd6ca33a0&DisplayLang=de
http://download.microsoft.com/download/c/3/5/c35591e3-52b6-4be0-95d3-ec82fa01ce12/W2KSP4_DE.EXE
ja, du hast natürlich recht, aber das ist die 129 mb große installationsvariante... mein download-accelarator prognostiziert mir 5 stunden download-zeit... da kann ich fast besser das system neu aufspielen (hätt ich mal einbackup...)
trotzdem danke für die anmerkung!
gruß, gsguitar
okay leute, das war schon einiges an hilfe... könnte aber trotzdem nicht sagen, dass ich weiter bin als gestern nacht um 3.15...
keins der remove-tools findet bei mir den wurm, egal ob ich mit oder ohne norton-av scanne, im abgesicherten oder normalmodus, vor internetaktivierung oder nachher... sch****-egal!!!
ach ja, und was die service packs angeht - auch nach intensiver suche bin ich immer nur zu websites gelangt, die diese mini-install-datei anbieten, die dann nach wie vor die verbindung zu microdoof herstellt. oder ich lade mir 123 mb netzwerkinstallationsfile runter - aber da sitze ich übermorgen noch, bei meiner lahmen isdn-verbindung...
wäre weiterhin für vorschläge extremst dankbar!!!
gruß, gsguitar,
p.s.: bin ich eigentlich hier die ganze zeit ein wurmweiterverbreiter, während ich mir das sp4 runterlade? versuche es trotzdem grad nochmal...
JAAAAA!!! du bist einer der Übeltäter *ggg*
@killerloop: hmmmmm
aber weiterhin: what's to do???
gsguitar
SCHEIßE! Schonwieder! Ich dachte es wäre wech!
Es ist jetzt 6 STunden nicht aufgetaucht und jetzt is mir schon wieder svchost verreckt! Ich drehe durch!
gsguitar:
Ich weiß nicht aber hast du bei dir zb Zonealarm laufen? Und seit wann tritt das auf?
@chrisiiiiii:
ich habe die Norton Personal Firewall installiert, die hat den Wurm aber nicht abgewehrt.
Ich habs jetzt erstmal im griff, durch installation des sp4 - hat jetzt doch geklappt... alle removetools die ich habe melden "keinen wurm gefunden" ... hoffe ich bin sauber!!!
Das Problem trat auf seit ca. montag um 17-18 Uhr, weiß es aber nicht mehr genau!
gruß, gsguitar
Salut.
Ja, ich wieder. :-)
Probiere doch mal diesen Link für den Patch. Ansonsten dürftest du über google.de andere Quellen finden.
http://microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&displaylang=de
Mit besten Grüßen und überhaupt,
Thomas.
Bin jetzt auf SP3! Diese Prob trat nach 8-9 Stunden aber plötzlich schonwieder auf!
Das Problem wurde erst im Service Pack 4 behoben. :-)
Mit besten Grüßen,
Thomas A. K.
Um den Virus lozuwerden bedarf es ganz einfache Schritte!
Zunächst ein paar Removal-Tools von z.b. Symantec drüberlaufen lassen. Bei mir hat der nix angezeigt, obwohl ich ihn hatte! Also diese Dinger sind KEINE Garantie.
Jetzt müsst ihr euch das Win-Security-Update von MS holen, was bereits am 16.07. erschienen ist (link steht hier zur Genüge drin!). Ihr müsst es euch für euere spez. Windows-Version runterladen, also NT, 2000 oder XP.
Dieser Patch fu funktioniert aber nur in Verbindung mit SP6a (NT), SP3/ 4 (Win2k), SP1 (XP). Im SP5 (2000) bzw. SP2 (XP) soll der Patch integriert werden. diese SPs kommen jedoch erst raus! SP4 bzw. 1 ist keine Garantie gegen den Virus! Zwar kann man mit dem Setup den Virus zunächst ruhigstellen, da man betroffene Dateien wieder überschreibt, der Virus ist jedoch denoch aktiv, da die Sicherheitslücke im RPC-Dienst (svhost.exe) nicht behoben wird.
Gruß.
eine einfache erklärung.
wie schon vermutet hängt das Prob mit dem msblast (lovsan) virus zusammen.
Der versucht sich über einen bufferoverflow des RPC Dienstes einzuschleusen.
Wenn das nicht einwandfrei funzt, dann ist es kein wunder,
daß irgend eine Instanz dieses Dienstes die grätsche macht
und das ist halt der svchost.
Das heißt euer PC ist vermutlich nicht infiziert
sondern ihr erlebt immer wieder den Versuch ihn zu infizieren.
Da gibt es ein prima Patch bei MS das diesen Bufferoverflow verhindert
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
Lieber Gruß
ZEN
PS:
sollte euer pc schon infiziert sein, dann muß es nicht unbedingt
die msblast.exe sein die im System(32)-verzeichnis zu entfernen ist
denn es gibt schon zwei weiter Varianten mit anderen Namen
2 Weitere?
Ich kenne bisjetzt nur noch winlogin und msblast! Was gibet denne nun noch?
Denn aspekt mit dem er will und dann verreckts find ich nicht mal schlecht! Dürfte stimmen!
Hallo,
ich habe die ganze Prodzedur seit gestern auch durchlaufen.
Ich habe das tool laufen lassen, dann das patch von MS und danach das SP4 drübergebügelt. Schliesslich noch die Kerio-Firewall installiert, die mir gestern mehrfach meldete, dass irgendwer/-was auf meinen Rechner zugreifen wolle über Port 135, was ich dann denied habe ;-).Jetzt läuft alles soweit. Nur wenn ich meinen Norton aufrufen will, für einen scan oder irgendwas anderes kommt eine Fehlermeldung:
"In dem Sript auf dieser Seite ist ein Fehler aufgetreten..
Zeile 169,
Zeichen 2,
Fehler: Erlaubnis verweigert
URL: res://D:Progra~\Norton~\Norton~1\NAVUI.dll.\navstats.htm
Soll die Seite weiterhin ausgeführt werden?"
Dieser Fehler tritt bei weiteren Schritten, etwas von NAV anzuzeigen, auch auf..
Dazu muss ich sagen, dass ich Opera, bzw. Mozilla verwende - aber der Sch..IE geht halt wohl zur Darstellung von manchen Anwendungen selbst auf. Kann jemand was mit dieser Fehlermeldung anfangen?? Es verunsichert mich doch ziemlich..
DANKE + Gruss von Frau Sch.
@fr. schmidt. du hast einen fehler gemacht: du hättest ERST das SP4 und dann den MS-Patch installieren sollen, denn so hast du ihn ja wieder mit den alten "SP4-Dateien" überschrieben...
Außerdem, die Fehler die NAV bringt, sind leider normal. Das ist kein Virus, sondern ein bekanntes Problem von Symantec.
hi,
ähh ... trotzdem bleibt die frage offen ...
ich habe hier die symtome des blast-virus, aber nicht die ursache !
sprich, exakt die fehlermeldungen, jedoch keine msblast.exe auf dem system!!! habe hier zwei fälle, einen xp und einen w2k rechner!
wie kommt das ?
mfG
Horzt
ZENeca hatte geschrieben, das dies auch zusammenhängen kann mit dem versuch einer Infizierung! Lass dir das mal durch den Kopf gehen!
Es ist natürlich auch möglich, daß die Datei anders heißt als üblich. Der Wurm selbst ist zwar schon länger bekannt, aber wie er sich genau verhält, weiß man leider kaum...
Welche Maßnahmen hast du bisher ergriffen? Patch runtergeladen? Mit welchen RemoveTools hast du deine Festplatte durchsucht? AntiVir findet den Virus auch. (Sollte man aber deaktivieren und schließen wenn ein RemoveTool die Arbeit machen soll, da es sonst zu Problemen kommen kann)
Hoffe, ich konnte etwas weiterhelfen.
Mit besten Grüßen,
Thomas.
hi,
also nochmal...
mein w2k-router bringt die meldung svchost.exe unerwarteter fehler usw.
darauf hin kein cut&paste und keine dfü-monitor mehr (muli und routersoftware laufen aber unbeindruckt weiter!)
hab die kiste dann so laufen lassen!
10h später dann wieder von der arbeit zuhause... gleich mal die fixblast.exe angeschmissen - kein worm gefunden!?!
-> rechner durchstarten... nach 5 minuten - svchost.exe am arsch !?!
wieder gesucht mit dem fixblast-tool... nix !
rechner durchstarten .... 5minuten - svchost.exe wieder am arsch!
nachdem ich den ms-patch installiert habe... keine svchost-fehlermeldung nach wenigen minuten ?
was wird mich heute nach der arbeit zu hause erwarten ?
kann sich so ein wurm auch nur im ram rumwuseln....ohne was auf die platte zu nudeln...oder wie wär dat den ?
mfG
Horzt