NT Autoritätssystem ?!?!?

[Virenvernichter 10]

Also mich interessiert es jetzt einmal, wofür die Datei MSBLAST.EXE verwendet wurde!!! War die Datei wichtig für Windows??

[Necron 71]

Die Datei wird vom Virus importiert und ist für den Betrieb von Windows uninteressant.

[Newander 10]

habe nach der Datei ServUDaemon.exe gesucht aber die gibts auf meinem system nicht. sicher das die überall installiert ist ?

[work 10]

Hi,

 

ich war neulich auf 'nem Live-Hacking-Seminar meines Trainingsanbieters. Dort wurde ebenfalls Serv-U benutzt, um auf dem kompromittierten System einen FTP aufzusetzen (Hersteller: http://www.serv-u.com/ ; fällt was auf???). Dieses Tool wird gerne benutzt, da sich die .exe des Servers im laufenden Prozess umbenennen läßt und (!!) sogar der laufende Prozess im Taskmanager umbenannt wird. So läßt sich der Junge normalerweise gut verstecken, darauf hat man hier offenbar keinen besonderen Wert gelegt.

Also: Weg damit.

 

Gruß

[bruderfiesi 10]

hi leute, habe heute den ganzen tag auf der arbeit den stand hier im forum verfolgt. also, bei mir scheint sich dieses problem erledigt zu haben. ich habe dcom deaktiviert, und mein system läuft jetzt seit 21 min durch.

hier ein auszug aus der bulletin von microsoft:

So aktivieren (oder deaktivieren) Sie DCOM manuell für einen Computer:

1. Führen Sie Dcomcnfg.exe aus.Wenn Sie Windows XP oder Windows Server 2003 verwenden, führen Sie die folgenden zusätzlichen Schritte durch:

Klicken Sie unter Konsolenstamm auf den Knoten Komponentendienste.

Öffnen Sie den Unterordner Computer.

Klicken Sie für den lokalen Computer mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie dann Eigenschaften aus.

Klicken Sie für einen Remotecomputer mit der rechten Maustaste auf den Ordner Computer, wählen Sie Neu und dann Computer aus. Geben Sie den Computernamen ein. Klicken Sie mit der rechten Maustaste auf den Namen dieses Computers, und wählen Sie dann Eigenschaften aus.

2.Klicken Sie auf die Registerkarte Standardeigenschaften.

3.Aktivieren (oder deaktivieren) Sie das Kontrollkästchen DCOM (Distributed COM) auf diesem Computer aktivieren.

4.Wenn Sie weitere Eigenschaften für den Computer festlegen, klicken Sie auf die Schaltfläche Übernehmen, um DCOM zu aktivieren (oder zu deaktivieren). Klicken Sie andernfalls auf OK, um die Änderungen zu übernehmen und Dcomcnfg.exe zu beenden.

hoffe, es bleibt so. bin mal ne stunde unterwegs, lasse aber den rechner an. melde mich später mit meinem ergebnis.

meine version ist win xp mit sp1.

viel glück allen

gruß

bruderfiesi

[bruderfiesi 10]

so, rechner läuft bzw bin seit 1h50min online. von msblast.exe nix zu sehen, die registry ist auch sauber.

betrachte momentan den versuch als geglückt :D wünsche euch das selbe

[Necron 71]

Tja, ich hatte das Glück das ich den Patch für diese Lücke schon am 16 Juli installiert habe und sonst hätte meine Firewall den Port 135 geblockt. :D

Ich kann nur empfehlen den Security-Newsletter von MS zu abonnieren, kosten nix und man wird immer über die neusten Patches informiert.

[substyle 20]

Hallo,

 

hab den BugFix drauf & Mit dem Symantec Tool den Virus rausgeschmissen.

Mein netzwerk läuft jetzt seit 7 Stunden stabiel und ohne Fehler oder weitere Infektionen. :D

 

-> I C H geh jetzt nach hause ... und muss morgen früh leider schon um 7.30Uhr wieder kommen ...

[Newander 10]

irgendwie ist es zum rofeln !

 

wir haben den Wurm ca 2h nach erscheinen platt gehabt und dann war friede und jetzt eben ruft mich meine Freundin an und erzählt mir das sie im Radio vor einem neuen Wurm warnen also ca 22h nach Ausbruch, bzw. Beseitigung von uns :)

 

Hut ab ! wir sind schnell :)

[net_killa 10]

hey das hatte ich auch, hatte im irc (chatprogramm) die news verbreitet wegen wurm mit lösung und 10 min später sagts der newstikka!

auch lustisch und der tikka is von heise und heise is ja gewönlich sehr gut

[corner 11]

hehe ich sag ja das forum hier ist das schnellste.

 

habe jetzt das problem bei meinen Eltern nachdem ich es bei mir mithilfe von firewall, tool von norton, antivir und patch von windows gelöst habe.

Leider hat es bei meinen eltern nicht geklappt, ist ja auch nicht so ganz einfach über Telefon (vor allem mit Eltern =)).

haben das tool von norton laufen lassen und der hat auch angeblich alles gelöscht. aber dann wollten wir uns den patch downloaden und prompt kam die meldung pc wird heruntergefahren.

 

was haben wir falsch gemacht?

 

meine eltern haben leider keine firewall.

[za-Ta 10]

:D :D :D also noch scheint der Pc abschussfrei zu laufen, aber warten wir den 16.August ab . Joo ahne da schon was. naja erstmal ist ruhe und so, hoffe ich !! Na patch laden ,symantec prog. laden = ausführen -> micro.patch inst. und zwichendurch mal durchstarten. Juut dat ging.

[Thebesciak 10]

ich danke euch aber das hilf nicht viel da musst man sowie so festplatte löchen !

 

dzieki :-)

danke :-)

 

mfg Damian.

[corner 11]

wieso sowieso festplatte löschen?

 

habe aber auch irgendwie das gefühl dass nicht alles ok ist bei mir.

der pc läuft zwar, aber meine firewall benimmt sich komisch:

in den ersten 5 minuten blocke ich 3000 verbindungen und dann die nächsten stunden nur 50-100

 

woran kann das denn liegen?

[bruderfiesi 10]

ich bin ja auch mal gespannt, was der 16.8 bringt. :suspect: spätestens dann wird sich rausstellen, ob unsere aktionen wirklich geholfen haben, oder ob wir momentan einfach nur "verschont" werden, was ich mir wirklich nicht vorstellen kann. jedenfalls sind wir gerüstet.

und wenn sich was ändert, steht es dann eh hier im megasuperschnellen forum drin.

nur leider bin ich samstag zu hause und kann nicht so wie gestern auf der arbeit im forum "schnüffeln".

fazit....wir werden sehen, so oder so

wünsche allen einen schönen tag