Angriff durch "Blaster"

1. offizieller Beitrag

    Hallo Forumsgemeinde,


    habe das Schutzprogramm Kerio Firewall auf meinem Rechner installiert. Seit gestern meldet sich dieses Programm ständig, wenn ich ins Internet gehe und zeigt mir, dass irgendjemand auf meine Festplatte Zugriff haben möchte. Es wird jedesmal ein anderer Port versucht, aber immer bezogen auf Port 135 (Wurm "Blaster"). Die ersten 2-3 Mal ließ ich unwissenderweise mit "Permit" den Übergriff zu und als ich kurz danach von dem Wurm "Blaster" hörte, war ich auf das Schlimmste gefasst.
    Ich downloadete mir das Tool "W 32 Blaster Worm Removal Tool 1.0.0" und führte damit (Tool ist von Symantec) eine komplette Systemprüfung durch. Trotz zweimaliger Prüfung wurde ein Wurmbefall nicht festgestellt. Gottseidank, dachte ich. Habe daraufhin noch den Sicherheitspatch von Microsoft installiert.
    Jetzt ist es so, daß sich immer noch bei jedem Internetbesuch, mehrmals die Kerio Firewall meldet, auch jetzt gerade, als ich diesen Text hier schreibe. Ich verweigere jetzt natürlich den Zugriff mit "Deny" aber der Kerio meldet sich trotzdem mehrmals immer und immer wieder, ist ziemlich nervend die Sache. Wenn ich den PC danach herunterfahre, braucht er sehr sehr lange, gegenüber vorher, oder wenn ich nicht im Internet war, ungefähr 50 sek. länger.


    Kann mir jemand sagen, was ich tun kann ?


    Wer kann helfen ?


    In der Anlage eine der Meldungen.

    Ich kann Dir nicht sagen, warum er länger zum runterfahren braucht, aber die Alarme, die du bekommst, sagen nur aus, daß da eben auf diesem Port versucht wird, das einzuschleusen, nicht daß etwas drauf ist.


    Wenn Du den Patch installiert hast, bist Du so gut wie sicher vorm Blaster, da der Angriffspunkt (RPC) ja gepatched ist.

    • Offizieller Beitrag

    Hi Herbie


    Genau wie TK schrieb.
    Wenn Du dem Symantec-Tool nicht traust, kannst Du noch Stinger.exe bei McAfee herunterladen --> Stinger.exe .


    Mit freundlichen Grüssen
    Edi

    Freundlichkeit ist ansteckend


    Wenn die Trümmer des Flugzeuges in der Pistenachse liegen und der Pilot aus eigener Kraft im Restaurant ein Bier bestellen kann, ist die Landung als gelungen zu betrachten. :feixen:

    Hallo,


    ich danke Euch für die Tipps.


    Könnte es vielleicht sein, daß dieser neuinstallierte Patch das verlangsamte Herunterfahren des Rechners verursacht ? Wo finde ich denn diesen Patch ? Kann der event. deinstalliert werden ?


    Aber dann wäre der Rechner wahrscheinlich immer langsam, nicht nur nach einem Internetbesuch.


    Was meint ihr, sollte ich mal die Kerio Firewall neu installieren ? Vielleicht hat sich ja in deren Registry irgendwas aufgehängt ? Nur so ein Gedanke.
    Sagt mit bitte, wenn ich falsch liege.


    Danke euch im voraus für jeden Tipp.


    Viele Grüße
    vom Herbie

    Habt ihr schon bei


    http://us.mcafee.com/virusInfo/default.asp?id=lovsan


    nachgesehen ?


    Da steht eigentlich alles wichtige drin. Auch, dass es Files geben kann, die TFTP***.exe heissen, wobei die Sterne für Zahlen stehen.
    Die müssen auch weg !
    Aber nicht aus Versehen die TFTP.exe mit löschen ! Dann ist die Installations-CD fällig !


    Da es sich um einen Angriff von aussen handelt, finde ich es garnicht falsch, wenn so eine Warnung kommt.


    Die manuelle Entfernung ist in der Mcafee-Seite ganz gut beschrieben.


    Übrigens, wenn ihr Outpost habt, dann meldet es im infektionsfall, dass die TFTP-Routine 'raus will. Das ist ein sicheres Indiz, dass man ein Problem hat.


    MfG E.Z.

    Mich hatte es gestern auch erwischt. Mittlerweile ist alles wieder tacko.
    Hier kann man nachlesen wie man den Sauhund wieder loswird. :


    http://www.chip.de/forum/thread.html?bwthreadid=469321


    Wer zu faul zum Lesen ist, so geht das:


    -im Taskmanager (Affengriff) msblast.exe deaktivieren,
    -START -> SUCHEN -> nach msblast suchen, es müssten zwei Dateien gefunden werden, eine *.exe und *.pf - beide löschen.
    -Systemwiederherstellung deaktivieren
    -START->Ausführen->regedit-> STRG+F (Suche)-> msblast eingeben -> gefundene Schlüssel löschen (Weitersuchen mit F3)

    Dann diesen Patch hier ziehen:


    http://microsoft.com/downloads…E40F69C074&displaylang=de


    und installieren. Rechner neu starten-fertig!


    Viel Erfolg wünscht Würmel

    Was die Systemwiederherstellung angeht.. nur unter XP, unter 2000 gibt es die nicht. :o)


    Firewalls....Personal firewalls, wie sie meistens gemeint sind (also auf dem einzigen Rechner betrieben) helfen nicht wirklich vorm Befall.
    Es gibt genügend Fälle, wo eine Firewall nichts geholfen hat.


    Perinzipiell ist, wenn denn eine Firewall seinen Dienmst tun soll, empfohlen, diese auf einem Router zu installieren (Evtl. Linuxrechner) oder gleich einen Hardware-Router zu nehmen.
    PersonalFirewalls haben nämlich ein Problem; Standardmässige Konfiguration hilft meistens nicht viel, sie vermittelt nur Scheinsicherheit.
    Kann sehr gefährlich sein.
    Dann liweber schlau machen, was TCP/IP, Netzwerk, Ports usw betrifft.



    Ist nur ein Tipp, soll keine Glaubensfragen auslösen. ;o)

    Hallo Würmel,


    Zitat

    Dann diesen Patch hier ziehen:


    http://microsoft.com/downloads/details.a...&displaylang=de


    und installieren. Rechner neu starten-fertig!


    nur so am Rande, unterhält sich Dein Rechner anschließend nicht mit Mikrosoft und teilt ihm alles mit. Oder war das eine andere SW.


    Das möchte ich nämlich nicht unbedingt.

    Gruß
    Udo :hallo:
    __________________________________________________________________________
    Damit das Mögliche entsteht, muss immer wieder das Unmögliche versucht werden.
    (Hermann Hesse)
    https://youtube.com/c/udoheinl

    TiKaey:


    Wer einen Firewall installiert der sollte sich natürlich auch damit beschäftigen. Ohne individuelle Einstellung kann der nach kurzer Zeit das System (bzw. den User) so stören daß man ohne Firewall besser dran wäre. Ein Hardware-Router hilft auch nicht in jedem Fall weiter da u. U. nicht mehr sämtliche Software funktioniert. Remotecontrol-Programme werden u.U. blockiert, ebenso wie Filesharer (Kazaa, Emule, etc.).


    Wäre ein Linuxrouter die Universallösung? Wohl kaum, denn dafür muß man mehr wissen und mehr einrichten als bei einer guten Firewall (z. B. Outpost).



    Mein Tip ist deshalb ein mehrstufiges Sicherheitssystem:


    -Regelmäßiges Update des Betriebssystems (Windows Update) in Verbindung mit einem Tool, das das Mitteilungsbedürfnis des Betriebssystems zügelt (z.B. XP-Antispy).


    -Regelmäßige Überprüfung des Systemstarts mit MS-Config.


    -Regelmäßiges Überprüfen mit einer Anti-Spyware (z.B. Ad-Aware).


    -Eine gute und verständliche Firewall wie z. B. Outpost. Das Programm ist nach kurzer Einarbeitung auch für den Laien gut einzurichten.


    -Ein verständlicher und ständig aktueller Virenscanner (z.B. Antivir XP).


    -Ein abschaltbarer Werbefilter (z.B. Webwasher) der gleichzeitig den eigenen Browser zügelt und diese ganzen blödsinnigen Flash-Intros und -Animationen ausbremst.


    -Ab und zu mal einen Portscanner besuchen ( z.B. www.Port-Scan.de ) um "Löcher" in den Ports zu stopfen.


    ...und last but not least:
    Keine Software benutzen deren Wirkung man nicht kennt oder nicht versteht und niemals ein Button anklicken von dem man nicht genau weiß was es bewirkt!



    Alle oben aufgeführten Programme sind kostenlos, werden ständig aktualisiert und sind (auch in der Summe) leicht verständlich.


    Viele gesicherte Grüße
    vom Peter



    P.S.
    Natürlich ist auch eine regelmäßige Datensicherung der Systempartition auf ein externes Medium (Band, DVD oder Platte im Wechselrahmen) unverzichtbar! Aber das weiß ja eh jeder - oder?

    Ich wünsche mir die Gelassenheit, Dinge hinzunehmen, die ich nicht ändern kann, den Mut, Dinge zu ändern, die ich ändern kann und die Weisheit, das eine vom andern zu unterscheiden.

    Zitat

    nur so am Rande, unterhält sich Dein Rechner anschließend nicht mit Mikrosoft und teilt ihm alles mit.

    XP ist der beste Microschrott der übern Teich geschwappt ist. Läuft aber nur einwandfrei wenn man das ET-Syndrom eben nicht gnadenlos abwürgt.


    Und wer im Netz unterwegs ist und auf dem gleichen Rechner seine Buchhaltung liegen hat ist ohnehin ein Selbststeller und Hazardeur.


    Image und Datensicherung hin und her-wer macht das denn schon täglich? Dann mal ein Besucher wie Blaster , der sich nicht so leicht vertreiben läßt und das Theater ist fertig.:shake:


    Also von mir aus kann mein XP auch George Bush anrufen, das is mir wurscht. Hier ist nix drauf was draußen niemand wissen dürfte. Und im Übrigen stammen die ganzen Geschichten von der "Ausspionage" unserer Rechner ohnehin aus dem Märchenwald. Heise lesen und informiert sein!


    Gruß Würmel

    Würmel:


    Ich mag es nun mal nicht wenn ich nicht ganz genau weiß was mein Rechner macht (ich fahre auch nicht gern mit Automatik)! Außerdem: Wer hat schon mehrere Rechner (einen für die Buchhaltung, einen für Onlinebanking, einen für´s Internet und Emails, einen für die Ballerspiele der Kinder)? Die meisten Privatpersonen haben einen Rechner - und fertig!


    Regelmäßige Datensicherung ist überhaupt kein Problem: Bei mir werden jede Nacht zwischen zwei und fünf Uhr die Platten bereinigt, gescannt, defragmentiert und anschließend werden die Systempartitionen (WIN98 und WINXP) sowie die ersten 64 physikalischen Sektoren jeder Platte (Partitionstables und Bootstrapper) als Images auf die Wechselplatte geschrieben.


    Wozu hat man denn einen Taskplaner?


    Auch ich halte XP für das beste Betriebssystem. Bei mir ist es es allerdings zum Autismus verdammt und läuft trotzdem anstandslos und ohne Probleme. Was ist schon dabei wenn mich jedes Programm um Erlaubnis bitten muß bevor es was nach draußen schreit? Kann man im Outpost alles wunderbar individuell und übersichtlich regeln.


    Viele neurotische Grüße
    vom Peter

    Ich wünsche mir die Gelassenheit, Dinge hinzunehmen, die ich nicht ändern kann, den Mut, Dinge zu ändern, die ich ändern kann und die Weisheit, das eine vom andern zu unterscheiden.

    Würmel:
    MS hat selber schuld an den Gerüchten.
    Sollen sie meinetwegen nur den Behörden, Ihren Quellcode der Funktionen offenlegen, und schon kann mehr Vertrauen hergestellt werden.
    Wenn ich aber dazu quasi gezwungen werde, eine Funktion zu nutzen, die Daten überträgt, die ich nicht einsehen kann, so ist das für mich ein Grund für Misstrauen.


    Es geht nicht darum, ob ich etwas zu verbergen hätte, sondern lediglich um die Basis.


    Und Heise weiß auch nicht alles.


    @ Peter:


    Zitat


    Wer einen Firewall installiert der sollte sich natürlich auch damit beschäftigen. Ohne individuelle Einstellung kann der nach kurzer Zeit das System (bzw. den User) so stören daß man ohne Firewall besser dran wäre. Ein Hardware-Router hilft auch nicht in jedem Fall weiter da u. U. nicht mehr sämtliche Software funktioniert. Remotecontrol-Programme werden u.U. blockiert, ebenso wie Filesharer (Kazaa, Emule, etc.).


    Die meisten beschäftigen sich aber gar nicht damit, sondern installieren nur, und denken, das schützt schon. Dem ist ja aber nicht so.
    Ich selber halte aus verschiedenen Gründen nichts von einer PF (habe auch keine) und habe keinerlei Probleme (Selbst der Blaster verschonte mich, weil rechtzeitig Patch draufgespielt).
    Und sonst nimmt man sich vernünftige Software und eine vernünftige Konfig, ist meistens sinnvoller.

    Zitat


    Wäre ein Linuxrouter die Universallösung? Wohl kaum, denn dafür muß man mehr wissen und mehr einrichten als bei einer guten Firewall (z. B. Outpost).


    Als Universallösung sicher nicht, es war auch nur eine Option, die wesentlich wirksamer ist als eine PF. Eine FW gehört nicht auf den Rechner, an dem man arbeitet.

    Zitat


    -Regelmäßiges Update des Betriebssystems (Windows Update) in Verbindung mit einem Tool, das das Mitteilungsbedürfnis des Betriebssystems zügelt (z.B. XP-Antispy).


    Isch 'abe ga' kein XP. :o)
    Ich fahre hier Win2k, da ist kein AntiSpy notwendig.
    Übrigens ein Punkt, warum ich mir auch kein XP holen werde. Würde es nichtmal gerschenkt installieren. Mir gefällt die ganze Geschäftspolitik nicht mehr, spätestens seit der Aktivierung. Dazu verändere ich zu häufig was am System, als daß ich jedesmal irgendwo anrufen will. In dem Fall sehe ich es so: Ich habe es bezahlt, also will ich es uneingeschränckt nutzen können.
    Und das (Raub-)kopieren verhindern sie damit auch nicht.

    Zitat


    -Regelmäßige Überprüfung des Systemstarts mit MS-Config.


    Wenn man unsicher ist, ob sich nicht etwas von selbst installiert haben könnte, kann das nicht schaden. Oder aber ebendieses verhindern (Keinen IE verwenden zum Beispiel)

    Zitat


    -Regelmäßiges Überprüfen mit einer Anti-Spyware (z.B. Ad-Aware).


    Ich hab hier den Spybot, ist AFAIk besser und umfangreicher. Aber soweit auch richtig. Bzw am besten jedesmal, wenn man irgendwas installiert hat.

    Zitat


    -Eine gute und verständliche Firewall wie z. B. Outpost. Das Programm ist nach kurzer Einarbeitung auch für den Laien gut einzurichten.


    Siehe oben. Ich halte von PF's nix, es sei denn, sie werden zu Diagnosezwecke genutzt. Für anderes nicht so sehr brauchbar (Meine Meinung, jedem das seine)

    Zitat


    -Ein verständlicher und ständig aktueller Virenscanner (z.B. Antivir XP).


    FULL ACK

    Zitat


    -Ein abschaltbarer Werbefilter (z.B. Webwasher) der gleichzeitig den eigenen Browser zügelt und diese ganzen blödsinnigen Flash-Intros und -Animationen ausbremst.


    Noch besser: Anderen Browser, der von sich aus Popups ausschalten kann, die meisten Werbebanner werden darin angezeigt.
    Habe Firebird, und da sehe ich nur Popups die ich sehen will, nix anderes. :o)

    Zitat


    -Ab und zu mal einen Portscanner besuchen ( z.B. www.Port-Scan.de ) um "Löcher" in den Ports zu stopfen.


    Prinzipiell sind alle Ports zu, auf denen kein Dienst läuft.
    Dienste von vornherein nicht unnütz laufen lassen. :o)

    Zitat


    ...und last but not least:
    Keine Software benutzen deren Wirkung man nicht kennt oder nicht versteht und niemals ein Button anklicken von dem man nicht genau weiß was es bewirkt!


    FULL ACK.
    Wenn man auch nicht weiß, was sich ausser der von uns beabsichtigten Wirkung noch alles tut. :o)


    Ich setze aber ncoh einen Punkt dazu:
    - Keine Software nehmen, die Sicherheitslöcher ohne Ende hat, und wo diese nicht gestopft werden.
    Beispiel Internet explorer
    Zur Zeit ca 20 bekannte sichereitslücken, die schon ewig bekannt sind, und wo MS noch nix getan hat.
    Ebenso Outlook und Outlook Express, die nutzen die IE zur anzeige.


    Und wenn IE denn unbedingt sein muss, AciveX und ActiveScripting deaktivieren.
    Dann wird das surfen zwar problematischer (ständige Meldungen, Kein JavaScript), etc. aber dann guckt man sich auch mal andere Browser an (Mozilla-basierende, oder Opera zum Beispiel)


    OpenSource rules .o)

    Hi,


    >>Image und Datensicherung hin und her-wer macht das denn schon täglich?<<


    Wenn man es gut strukturiert, bedarf es wenig Aufwandes.


    Vom stabil laufenden System ein Image anfertigen. Das Image auf CD/DVD brennen.
    Zusätzlich kann man es noch auf einer Partition ablegen.


    Jetzt fallen täglich nur aktuelle Dateien an, die man vorzugsweise in einem extra Ordner speichert.


    Mit einem Dateimanger lassen sich nun die veränderten Dateien sehr einfach identifizieren.
    Wer jetzt noch eine CD-RW im UDF-Format vorliegen hat, kann diese Dateien sehr leicht auf die CD kopieren.
    Geht fast automatisch.


    Gruß vom
    Tom