hab einige tools versucht leider ohne ergebniss. Mein Pc fährt aufgrund service.exe nach eine Minute nach der Anzeige. Das kommt meistens nur dann zustande wenn ich online gehe.
Bitte um Unterstützung.
Danke
elblindo GG2 „statuscode 128“
das ist ein ziemlich alter wurm/virus (2003 oder 2004) namens Blaster, und du hast die entsprechenden Patches deines Betriebssystems nicht installiert. Da man natürlich nicht online gehen kann mit dem Wurm ( dann aktiviert er sich nämlich und fährt den Rechner runter) hier mal eine aufstellung zur vorgehensweise zur Entfernung von den Seiten des BSI (http://www.bsi.de/av/vb/blaster.htm):
Noch ein Tipp: Den im Artikel genannten Patch von einem geschützten System aus herunterladen und auf dem infiziertem System installieren. Ich habe Rechner ohne diese Patches gesehen, die nach Neuaufsetzen nach ca. 20 Sekunden Internet-kontakt schon wieder infiziert waren. Witzigerweise wollten die den Patch runterladen :-))
Hier also jetzt original BSI:
Beschreibung: W32.Blaster.Worm
Erläuterungen der Standardeinträge
Kurzbeschreibung des Virus Name: W32.Blaster.Worm
Alias: W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend]
Art: Wurm
Größe des Anhangs: 6.176 Bytes (UPX gepackt)
Betriebssystem: Windows NT/2000/XP/2003
nicht betroffen: Windows 95, 98 und Me
Art der Verbreitung: Netzwerk
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: unkontrollierter Rechnerabsturz
Rechnersuche über Port 135
DDoS-Angriff auf Microsoft-Server
Spezielle Entfernung: Tool
bekannt seit: 11.08.2003
Beschreibung:
W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk vorzugsweise über das Internet verbreitet. Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP und Windows 2003 Server-Systemen. Informationen zu dieser Schwäche finden Sie im deutschen Microsoft Security Bulletin MS03-026 externer Link. Hier gelangen Sie zum Download der Sicherheits-Patches für die unterschiedlichen Betriebssysteme.
Der W32.Blaster.Worm legt sich im Systemverzeichnis (Standard: C:\Windows\System32 bzw. C:\Winnt\System32) unter dem Namen MSBLAST.EXE ab. Durch Änderungen in der Registrierung wird diese Datei bei jedem Neustart des Rechners aufgerufen und ausgeführt.
Der Wurm verbreitet sich weiter und führt eine sog. DDoS-Attacke (Distributed Denial of Service) gegen einen Microsoft-Server (windowsupdate.com) durch ; dabei wird versucht, diesen Server mit so vielen Anfragen zu überfluten, dass er nicht mehr antworten kann. Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt.
Auch Rechner von Privatanwendern sind gefährdet! Windows 95, Windows 98 und Windows Me sind von dem Wurm nicht betroffen!
Weitere Informationen zur Funktionsweise und Hinweise für Administratoren finden Sie auf folgender Seite des BSI.
Hinweise zur Entfernung des Wurms
Der Zugang zum Internet wird insbesondere bei Windows XP-Rechnern immer wieder durch einen Neustart unterbrochen.
Systemmeldung: System herunterfahren
Dieser Prozess kann abgebrochen werden. Sobald eine Meldung erscheint (nicht vorher !), dass der Rechner heruntergefahren werden muß, klickt man im Startmenü auf Ausführen... In der dann angezeigten Eingabezeile ist der Befehl "shutdown -a" einzugeben und mit OK zu bestätigen.
Eingabezeile shutdown -a
Unter Windows 2000 kann es zu anderen Fehlern, die den Zugriff auf das Internet verhindern kommen. Eine der dabei immer wiederkehrenden Fehlermeldungen lautet:
"Der Prozeß svchost.exe hat einen Fehler gemeldet".
Wie Sie diesen Fehler verhindern können, finden Sie in folgender Anleitung . Beachten Sie, dass durch das Verhindern des Fehlers die Sicherheitslücke noch nicht geschlossen ist und auch der Wurm sich noch eventuell auf Ihrem Rechner befindet. Führen Sie auf jeden Fall die nachfolgenden Schritte durch.
Vorgehensweise bei (möglichem) Befall:
Falls Ihr Betriebssystem Windows XP ist, müssen Sie vor den folgenden Punkten, die Systemwiederherstellung
deaktivieren.
1. Schließen der Sicherheitslücke des Betriebssystems
Microsoft stellt einen Hotfix (Sicherheits-Patch) für die Sicherheitslücke bereit. Informationen dazu finden Sie bei Microsoft externer Link
Downloadadressen für diesen Patch
Microsoft Windows XP 32-Bit-Edition externer Link (Standard-Computer mit Windows XP Home Edition oder Professional)
Microsoft Windows XP 64-Bit-Edition externer Link
Microsoft Windows 2000 externer Link (erfordert Windows 2000 Service Pack 2 oder höher) externer Link
Microsoft Windows NT 4.0 externer Link
Microsoft Windows NT 4.0 Terminal Server Edition externer Link
Microsoft Windows Server 2003 32-Bit-Edition externer Link
Microsoft Windows Server 2003 64-Bit-Edition externer Link.
Ob der Hotfix auf Ihrem Rechner installiert ist können Sie in:
Start - Systemsteuerung - Software kontrollieren.
Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist der Hotfix installiert.
2. Suchen und Entfernen des Wurms über kostenlose Entfernungstools u. a. von
Symantec: Laden Sie von den Symantec-Seiten die Datei FixBlast.exe (Direkt-Download externer Link, mit Download mit Informationen externer Link)
NAI : Laden Sie von den NAI-Seiten die Datei stinger.exe (Direkt-Download externer Link oder Download mit Informationen externer Link).
Microsoft: Laden Sie von den Microsoft-Seiten die Datei KB833330 ( Download mit Informationen externer Link)
Mit diesen Programmen können Sie den Rechner nach dem Wurm durchsuchen und mögliche Infektionen entfernen.
3. Setzen Sie ein aktuelles Viren-Schutzprogramm ein. Die aktuellen Viren-Signaturen der Schutzsoftware erkennen die Datei MSBLAST.EXE schon während des Downloads.
4. Zusätzlichen Schutz bietet eine Firewall, die derartige Angriffe verhindern kann. Hierbei muß eine Regel definiert werden, die den Port 135 TCP und 445 TCP (incoming) blockiert. Eine Firewall wird nur erfahrenen Anwendern empfohlen, da die Konfiguration Netzwerk-Kenntnisse erfordert. Eine schlecht konfigurierte Firewall liefert keinen Schutz!
