Lovsan/Blaster-Virus - HILFE!!!

Carmen

Namhaftes Mitglied
Hallo,

ich hab mir diesen gehässigen msblaster.exe -Virus (bekannt unter Lovsan) eingefangen!!!
Hat ihn von Euch auch jemand??? Wie bekomm ich den runter??? Hilfe!!!

Bitte antwortet schnell, ich habs wenigstens jetzt geschafft, daß er den PC nicht immer nach 1 Minute wieder runterfährt, aber er läßt mich kein Entferunugstool runterladen, auch über TrendMicro-Software konnte er nicht entfernt werden!!!

Eine total verzweifelte

Carmen
 
D

danielad

Guest
Hallo Carmen,
hast du eine bootdiskette?
Du mußt das Betriebssystem löschen und dann mit der diskette neu starten.
Du mußt eingeben:
format c:

und dann enter drücken.
dann diskette rausnehmen und von CD neues betriebssystem aufspielen.
 
D

die_stille

Guest
HAAAAAAAAAAALT!!!!!!!!!! Du musst vorher unbedingt alles sichern, was Dir wichtig ist, auf CD in diesem Fall.

Hast Du denn kein Anti-Viren-Programm auf dem Rechner?
 
D

danielad

Guest
Mensch Stille,hoffentlich hat sie das noch gelesen.
Ich hab eh immer Kopien von wichtigen sachen,
von daher hab ich das natürlich vergessen.
 
K

Karl-Heinz

Guest
Hallo
Solltest Dir die Software runterladen.Bisher habe ich damit kein Problem gehabt.Die Virenliste der Betreiber ist immer aktuell.Du brauchst auch Deine Festplatte nicht formatieren.Das Programm reinigt Deinen Rechner.
Hier der Link
http://www.antivir.de/

Ich hoffe Dir geholfen zu haben.Vergiss auch nicht immer das Programm zu updaten.Es fordert Dich dazu automatisch auf.
MfG Karl-Heinz
 

Carmen

Namhaftes Mitglied
Hi Leute,

danke erstmal, für Eure schnelle Antworten ;D
Also, keine Angst, ich hab nicht Format c: gemacht... werde mich hüten, da muß schon gar nix mehr gehen, bis ich mich darauf einlasse...

Also: Natürlich hab ich ein Virenprogramm drauf (Norton Anti-Virus 2003, der auch immer aktuell ist). Ich schildere jetzt mal mein Problem...

Gestern abend hab ich mich gewundert als ich an den PC saß und er plötzlich alle Fenster zu hatte und das Desktop-Bild anzeigte... na gut, dachte ich, hat der Kleine bestimmt den Reset-Knopf gedrückt, ist ja nicht weiter schlimm...

Ich meine Fenster wieder aufgemacht, dann gings ca. 5 Minuten kam eine Meldung:Das System wird heruntergefahren, speichern sie alle Daten, melden sie sich ab... das herunterfahren wurde von NT-Autorität/System ausgelöst... Zeit bis zum Herunterfahren 60 sec..... toll, so schnell konnte ich gar nicht gucken, war er abgemeldt...

Bis dahin hat mein Virenprogramm noch nicht angeschlagen...
Ich meinen NOch angerufen, gefragt, was das sein kann, er hat mir telef. bein paar Anweisungen gegeben, aber nix ging... Er meinte, dann er komme heute nach der Arbeit kurz vorbei...
Ich konnte es nicht lassen heute morgen wieder anzumelden und nach ca. 5 min. kam wieder diese Meldung... aber: ich hab herausgefunden, daß man den Abmeldezeitraum manuell eingeben kann, also hab ich ihn jetzt mal von den 60 sec. auf 600 min. eingegeben.. d. h. er schmeißt mich immerhin nicht dauernd raus....

So, dann meldete mir mein PC (nach dem x-ten NEustart), daß mein Virenscann-Programm wieder geupdatet wurde, es also auf dem neuesten Stand ist (das macht der PC so ca. alle 3-4 Tage automatisch). Und kaum gings 2 Minuten, fand er dieser Wurm auch schon... da dieser ja erst seit gestern ganz neu unterwegs war, konnte er ihn gestern abend ja noch nicht finden, erst nach dem Update heute morgen...
Fast zeitgleich hörte ich in den RTL-Nachrichten, daß dieser Wurm unterwegs sei... toll...

Mittags hat mein NOch dann aus der Firma in der er z. Zt. aushilft, angerufen und hat mir erklärt, daß es wohl ein Virus sei... was ich ja inzwischen shcon wußte... also kam er nach der Arbeit vorbei (ich muß dazusagen, er ist Fachinformatiker SI und kennt sich echt gut mit dem PC aus...)

Er hat dann versucht, über MicroTrend ein Tool drüberlaufen zu lassen... dieses hat den Wurm allerdings nicht gefunden. Mein Norten Anti-Viurs springt jetzt immer mal wieder an, weil sich der Virus immer wieder in TCTP`? (heißen die so? - ich glaub)-Dateien einschleicht, und die findet er dann und löscht sie...

Die EXE-Datei hat er zunächst nicht löschen lassen :Zugriff verweigert...
Aber mein NOch ist dann in die Registry rein und hat ihn da entfernt, aber eben immer noch nicht ganz...
Ich bin echt am Ende... :heul
Jetzt wollte ich auf der RTL-Seite ein Tool runterladen, aber den Link läßt er mich inzwischen gar nicht mehr anklicken... diese A..... von PC :firedevil :firedevil

Dann hab ich nochmal mit meinem Noch telefoniert, wir haben den PC dann ausgetrickt, indem mein Noch das Tool bzw. die Seite mit dem Link mir per E-Mail geschickt hat, also hatte ich den Link dann doch...

Jetzt hab ich es grad installiert und drüberlaufen lassen und er sagt, er findet den Wurm nicht... gerade ging aber wieder mein Fenster auf, daß er wieder herunterfährt... (aber eben erst dank meiner Einstellung in ca. 9 stunden)... also ist der Wurm immer noch drauf...
Ich hab auch wie angegeben den einen Punkt in der Systemsteuerung deaktiviert, den er verlangt hat, und trotzdem funzt es nicht... ich bin echt am verzweifeln...

Gankerl? Du bist doch auch so ein FiSi, oder? Hast Du denn keine Idee???
Morgen will mein NOch nochmal vorbeikommen, da am 16. der Wurm erst richtig aktiv werden soll und anscheinend einen DoS-Angriff auf den Microsoft-Server starten will... Er sendet lauter Anfragen und legt ihn somit lahm...
DAs Ding hat sich innerhalb von Stunden auf die bekanntesten 3! Viren "hochgearbeitet"... SCHRECKLICH!!!

Bitte helft mir. Danke fürs Lesen!

Carmen
 
F

fussel

Guest
das hatten wir gestern und vorgestern(abends)auch,war deshalb auch den ganzen tag nicht on.grad ne mnin.angemeldet,und dann ist der pc rutergefahren :wand mein mann hat alles neu intalliert und mein mann hat nun wieder linux draufgemacht.nun gehts wieder :D
 
D

die_stille

Guest
Ich werd verrückt, ich hab das Ding auch......... und ich wundere mich, warum mein Rechner seit Tagen einfach nur noch spinnt.

Mein Virenscanner hat sich heute früh automatisch aktualisiert - macht er wöchentlich - und schon zeigt er mir den Virus an. Das kann ja heiter werden, bin gespannt, was er jetzt mit dem Ding macht.


Aha........... "kann nicht entfernt werden"......... jetzt haben wir den Salat. Irgendwas muss es doch geben.

Bert? Beeeheeeeert!!!!!!!!!!!!!!!!!!
 
M

Manuuuu

Guest
Hallo ihr!

Auf meinem PC war dieser blöde Wurm auch! Mein Freund hat sich dann gestern ca. 4 Stunden hingesetzt und es geschafft diesen Wurm runterzukriegen und was zu installieren, das verhindert, dass sich das blöde Ding nochmal einnistet. Leider weiß ich jetzt nicht genau wie er das gemacht hat, habe aber mitbekommen, dass sich das Teil im System und in der Regiestrierung einschreibt und irgendwie zu löschen ist, wenn man's umbenennt, dann den PC runterfährt und dann löscht. Ich werd heute abend nochmal anfragen wie genau er diesen Wurm gelöscht hat, vielleicht hilft das euch dann weiter.
Liebe Grüße
Manu
 
D

die_stille

Guest
Ich bini hn los...... ich hab mir irgendwo - bitte nicht mehr fragen, wo, ich weiß es nämlich nicht mehr - die Datei fixblast.exe runtergeladen, die den Virus angeblich entfernt. Ich hab das Programm laufen lassen und irgendwann ist es einfach abgestürzt. "Programm soundso hat Fehler verursacht usw.". Anschließend hab ich nochmal den Virenscanner laufen lassen (AVG-Anti-Virus, gibts als Testversion hier und das hat den Virus dann schließlich im zweiten Anlauf entfernen können. Jetzt läuft nach einem Neustart der Scan vorsichtshalter ein drittes mal, aber der Virus scheint tatsächlich weg zu sein.
 
M

Manuuuu

Guest
Bitte noch vorsicht! Solange das Patch, das verhindert, dass der Virus sich wieder einnistet nicht auf dem PC ist, fängt man sich das Ding immer wieder ein. Ist mir selber gestern dreimal passiert, bevor der Wurm endgültig weg war und die Sicherheitslücke mit Hilfe eines Patch geschlossen.
Heute abend kann ich auf jeden Fall mitteilen wie genau man den Wurm dauerhaft los wird. Ihr braucht aber auf keinen Fall irgendwas zu formatieren oder ein System neu installieren. Es geht auch so!
 
A

Akisi65

Guest
Bin ich froh (natürlich nicht für euch ;D ), dass ich nicht die einzige bin. Mein Norton hat leider auch zu spät angeschlagen... So ist das halt mit den Wachhunden die Angst vorm Einbrecher haben... :wand :wand :wand

@carmen: Wie setzt du die Zeit herauf??? Ich habe immer noch nur 60 sec Zeit :angryfire

Werde antivir, fixblast und AVG gleich mal probieren
Scheiße, jetzt fährt er schon wieder runter :fuckyou
 
K

Karl-Heinz

Guest
http://www.antivir.de/

Ich weiß nicht,Ihr jammert alle über den Virus.
Warum läd sich denn keiner die Software runter,die ich oben im Link angegeben habe.Ich habe kein Problem.Auch noch nie gehabt.Dieses Programm ist Spitze.Kostet keinen Pfennig und überwacht den Rechner schon beim hochfahren.Es aktualisiert ständig die Virenliste.Es kennt die neuesten Viren.Auch den beschriebenen.
Norton und andere habe ich vorher auch probiert.Sie sind bei weiten nicht so gut,wie das,was ich habe.Nagut,ist ja jeden seine Sache.Nur ist mir mein Rechner zu wertvoll,um mir durch Viren einen neuen kaufen zu müssen.
Ich will ja nichts verkaufen.
MfG Karl-Heinz
 
D

die_stille

Guest
Karl-Heinz, ich habe dieses Programm auf unserem anderen Rechner, aber ich komm damit absolut nicht klar, ich schaff nicht einmal die manuelle Aktualisierung, wo ich die automatische einstellen kann, find ich erst gar nicht raus.
 
A

Akisi65

Guest
Ganz einfach, weil er vorher immer schon runterfährt ... aaahhh schon wieder ...
 
K

Karl-Heinz

Guest
Wie gesagt.Neu installieren.Er löscht das Ding.Nochmal den Link.
http://www.free-av.de/
Automatik wird ohne Dich eingeschaltet.Aber bei den ganzen Vorgang mußt Du im Netz bleiben.
In den Optionen würde ich nichts verstellen.
Du hast auch ein Symbol in der Takleiste und auf dem Deskop.
Klick darauf und dann auf Update.Auch Hilfen sind darin enthalten.
MfG Karl-Heinz
 
D

die_stille

Guest
Auch hier gibt es Hilfe für das aktuelle Problem.

Bei mir war das Problem mit dem Herunterfahren übrigens nicht, aber ich kann dafür nach einer Weile im Internet nicht mehr kopieren oder einfügen und auch die Netzwerkverbindung ließ sich nicht trennen.

Das geht inzwischen zwar wieder, aber danach stürzt der Rechner unweigerlich ab. Das Kopierproblem ist geblieben, zudem erscheint, wenn ich Word öffne eine Fehlermeldung, dass der RPC-Server nicht verfügbar wäre. Der Wurm scheint was in der Registry verändert zu haben und das ist jetzt etwas, da trau ich mich ohne Blindenhund nicht ran.

Stimmt schon....... immer dieses Ungeziefer............ *grummel*
 
G

Gankerl

Guest
Hi Ihr Wurmfans!

Betroffen sind grundsätzlich mal alle Rechner mit Windows NT/2000/XP.


Abhilfe:
Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm für W32.Blaster.Worm zum kostenlosen Download bereitgestellt.

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Auch von NAI gibt es ein entsprechendes Tool . Der Wurm heißt hier W32/Lovsan.worm.

http://vil.nai.com/vil/stinger/


Falls Ihr unlizensierte Software auf dem Rechner habt :nanana , dann solltet Ihr die Microschrott-Seite meiden!

Microsoft Sicherheits-Patch
Das Microsoft Sicherheits-Patch kann man sich von der Microsoft-Seite herunterladen. Das geladene Programm führt man auf dem unsicheren Rechner aus.
Nach der Installation muß der Rechner neu gestartet werden.

http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm

Ob das Hotfix auf Eurem Rechner installiert ist könnt Ihr in:
Start - Systemsteuerung - Software kontrollieren.
Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist das Hotfix installiert.

Beschreibung:

W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk verbreitet.
Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen.

Zum automatischen Start erzeugt W32.Blaster.Worm den Registrierschlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mit dem Wert

"windows auto update" = MSBLAST.EXE

Weiterhin führt der W32.Blaster.Worm eine sog. DDoS-Attacke gegen einen Microsoft-Server durch (windowsupdate.com).
DDoS = distributed denial of service; dabei wird dieser Server mit so vielen Anfragen überflutet, dass er nicht mehr antworten kann.
Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des Monats, in den Monaten September bis Dezember fortlaufend (täglich) durchgeführt.

Hinweis:
Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden.
Administratoren sollten (wenn möglich) auf der Firewall die Ports

69 UDP
135 TCP
135 UDP
139 TCP
139 UDP
445 TCP
445 UDP
4444 TCP
sperren.

Aktuelle Viren-Signaturen von Schutzsoftware erkennen die Datei MSBLAST.EXE während des Downloads
 
G

Gankerl

Guest
...falls jemand mit dem Download Probleme hat, das Tool kann ich Euch bei Bedarf auch per Mail schicken.
 
D

die_stille

Guest
Entwarnung......... mein Rechner läuft, nachdem ich nun auch den Patch von microsoft installiert hab, seit nunmehr zwanzig Minuten völlig ohne Probleme........ wünsch allen Wurmgeplagten dasselbe! :)
 
K

Karl-Heinz

Guest
Sehr gut,Gankerl
Vielleicht glaubt Dir ja hier Jemand mehr.Deine ausfühliche Anleitung und Beschreibung ist auch gut.
Du hast übrigens eine tolle Page.
Wie gesagt,Vorsicht ist besser als Nachsicht und die Mutter der Porzellankiste.
Altes Sprichwort,aber stimmt immer.
MfG Karl-Heinz
 

Carmen

Namhaftes Mitglied
@Akisi

@Akisi:

Also man kann die Zeit bis zum Herunterfahren folgendermaßen verändern

Unten links auf START, dann EINSTELLUNGEN, SYSTEMSTEUERUNG. Dann den letzten Punkt "Verwaltung" doppelklicken, dann auf Dienste doppelklicken.
So, und jetzt läßt er mich nicht mehr rein... der A.... :wand

Also rechts kommt irgendwas mit diesem Remotprozeduraufruf RPC, in der Zeile dann doppelklicken, dann geht ein kl. Fenster auf und dort gibt es glaube ich 4 verschiedene Registerreiter, bei irgend einem gibt es einen Knopf NEUSTARTOPTIONEN, und da kannst Du an Minuten eingeben, was Du willst...

@Gankerl:

Danke für die ausführliche Antwort! Das meiste wußte ich schon, ich hab das Remove-Tool von Symantec drüberlaufen lassen, hab das von TrendMicro probiert, bei Trendmicro bringt er einige Dateien,d ie er nicht prüfen konnte, es kam als Antwort immer: zugriff verweigert...
Bei dem Remove-Tool schreibt er auf englisch, daß sich der Blaster.Worm nicht auf dem PC befindet, aber keine 2 Min. später kommt wieder das Fenster zum Runterfahren... :kotz:
Warum kann er den denn nicht löschen? auch mein Norton springt immer wieder auf diese blöden TPTC-Dateien (was weiß ich wie die heißen) an... jedesmal mit einer anderen 4-stelligen Zahl dahinter, die findet und löscht er auch, aber die Hauptdatei ist immer noch da... auch als Billy hatte er sich in die Registry geschrieben, die hat mein NOch auch gelöscht... ich krieg die Kriese wenn er nicht bald Feierabend hat... man ist das Ätzend... :fuckyou

Er legt mir immer mehr lahm... mein Outlook holt keine Mails mehr, er läßt mich bestimmte Links nicht mehr anklicken, er läßt mich den Anti-Virus nicht mehr öffnen... dieser elende schweinehund... boah, ich bin echt auf 180!!!

Ich WILL NICHT neuinstallieren... man... das kotzt mich so dermaßen an... :kotz: :heul


Carmen
 
D

die_stille

Guest
RE: @Akisi

Carmen, probier mal den Weg, den ich oben beschrieben hab. Ich bin von selber draufgekommen, es ist also ganz einfach und ich hab mittlerweile wirklich alles wieder super beieinander.
 
B

Bert

Guest
... dem kann ich mich nur anschließen, Dir, Karl-Heinz und auch der Stillen vielen Dank, es sollte jeder in der Lage sein, das Problem mit diesen Informationen zu beheben.

Ein Zusatz noch zu den gängigen AV-Tools... falls ihr automatisch aktualisiert, stellt den Zeitraum am besten auf täglich... es scheint zwar übertrieben, aber es ist eine kleine Mühe und erspart doch manchen Ärger.
 
Oben