msblast.exe worm in mn pc en niet te verwijderen..

Moderators: Dani, ynskek, Ladybird, Hanmar, xingridx, Mjetterd, Polly, Giolli

Antwoord op onderwerpPlaats een reactie
 
 
Kyan01

Berichten: 5404
Geregistreerd: 22-09-01
Woonplaats: Den Haag

msblast.exe worm in mn pc en niet te verwijderen..

Link naar dit bericht Geplaatst door de TopicStarter: 12-08-03 12:01

Ik heb dus een worm in mn pc. De worm zit in C:\windows\system32\msblast.exe en het is voor geen mogelijkheid te verwijderen... Verward
Ik kan wel op een site informatie erover inwinnen maar dat is helemaal in het engels omschreven, en zo goed is mn engels ook weer niet..
Dit is de link van de site: http://securityresponse.symantec.com/av ... .worm.html

Kan iemand mij uitleggen hoe ik hem kan verwijderen???

Groetjes Femke

22-09-2006 is mijn zoon Kyan geboren!!
http://www.futerehope.come2me.nl/" target="_blank


Faas

Berichten: 12718
Geregistreerd: 21-07-02
Woonplaats: Steenwijksmoer

Link naar dit bericht Geplaatst: 12-08-03 12:07

Naam:
W32.Blaster.Worm
Type:
Internet Worm
Besturing:
Microsoft Windows
Datum:
11 augustus 2003
Risico:
Laag
Bron:
(c) 2003, VirusAlert
Aliassen:
W32/Lovsan.worm
Win32.Poza
WORM_MSBLAST.A
Win32.Poza
© VirusAlert schaal

Innovatie: 19
Besturing: 30
Logistiek: 15
Schade: 23


Schaal: 21/100


Aanduiding: LASTIG

Eigenschappen:
W32.Blaster is een internetworm die gebruik maakt van een kwetsbaarheid in Microsoft Windows. Meer informatie hierover, vind je hier. Deze kwetsbaarheid is van toepassing op de volgende Windows-systemen: NT 4.0, 2000, XP en Server 2003. In het RPC protocol zit een fout bij het handelen van opdrachten richting een remote-systeem. In theorie kan een aanvaller volledige toegang krijgen over het systeem.

In het geval van W32.Blaster wordt aan de hand van een willekeurige IP-reeks poort 135 gescant. Indien een systeem toegankelijk is wordt via poort 4444 een remote shell opgezet. Via ftp wordt vervolgens het wormbestand op het doelsysteem geplaatst.

Payload/Schade
* Het getroffen systeem wordt instabiel, en tracht opnieuw op te starten. (zie ook onder "overige...")
* Op de systeemdatum 16 augustus wordt er een gemeenschappelijke dDOS-aanval uitgevoerd op de website http://windowsupdate.microsoft.com.
(Vanaf alle besmette systemen)

Update: dDOS-aanval
De dDOS aanval wordt op meerdere data uitgevoerd:
Iedere 16e tot en met de 31e van de maanden; januari t/m augustus
Iedere dag van de maanden; september t/m december




Preventieve maatregelen:
Update uw Windows-platform regelmatig, dit kan eenvoudig via de Windows-update functie. (Raadpleeg de helpfunctie van Windows) of ga naar de website; http://windowsupate.microsoft.com.


Herkenning van besmetting:

bestanden

1a. Aanwezigheid van het bestand "MSBLAST.exe" in de standaard Windows-System32 directory. (C:\Windows\System32)

Registry

2a. Creatie van de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run
met de waarde:
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Overige,..
Nadat de RPC-service door de aanvaller is gebruikt wordt deze instabiel. Windows zal dan automatisch opnieuw willen opstarten.
Op dat moment komt er een her-start scherm. Kies op de [start] knop de keuze [uitvoeren] en type hier in "shutdown /a". Hiermee wordt het afsluiten van uw systeem ge-annuleerd.

Volg vervolgens de instructies hieronder op. (Verwijderingsinstructies)



Verwijder instructies:
1a. Sluit het lopende proces "msblast.exe" in Windows taakbeheer (CTRL-ALT-DEL) onder "processen".

1b. Verwijder het bestand van genoemde locatie, zie hierboven.

1c. Blokkeer (tijdelijk) poort 135

1d. Installeer de genoemde patches van Microsoft, zie link hieronder.

Ter controle
1e. Verwijder het virus met de gratis online scanner van Symantec, klik hier

en/of, gebruik de gratis verwijderingstool van Symantec, klik hier

Indien Windows niet meer naar behoren functioneert

1f. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.

'Paint' it 'Black'

Faas

Berichten: 12718
Geregistreerd: 21-07-02
Woonplaats: Steenwijksmoer

Link naar dit bericht Geplaatst: 12-08-03 12:08


'Paint' it 'Black'

Kyan01

Berichten: 5404
Geregistreerd: 22-09-01
Woonplaats: Den Haag

Link naar dit bericht Geplaatst door de TopicStarter: 12-08-03 12:10

Thanks OK dan!

22-09-2006 is mijn zoon Kyan geboren!!
http://www.futerehope.come2me.nl/" target="_blank

Kyan01

Berichten: 5404
Geregistreerd: 22-09-01
Woonplaats: Den Haag

Link naar dit bericht Geplaatst door de TopicStarter: 12-08-03 12:17

Dit kan ik allemaal wel vergeten..... dit gaat me alleen nooit lukken.
1a + 1b gaat me nog wel lukken maar poorten dichtdoen ( 1c ) ??? Zou niet weten hoe.

Kan iemand mij uitleggen hoe ik poort 135 tijdelijk kan sluiten??
Laatst bijgewerkt door Kyan01 op 12-08-03 12:21, in het totaal 1 keer bewerkt

22-09-2006 is mijn zoon Kyan geboren!!
http://www.futerehope.come2me.nl/" target="_blank

Dees

Berichten: 18874
Geregistreerd: 09-08-01
Woonplaats: Friesland

Link naar dit bericht Geplaatst: 12-08-03 12:20


Wat als.... de wetenschap wel gelijk heeft?

Llewella

Berichten: 2087
Geregistreerd: 25-01-02
Woonplaats: Alkmaar

Link naar dit bericht Geplaatst: 12-08-03 12:27

Ik heb sinds een week last van crashen van windows authority huppeldepup (zo'n windows foutmelding verstuur pop upje) en vervolgens wordt de computer opnieuw opgestart met een countdown van 60 sec.

Als ik inet eruit trok nix aan de hand, alles gescant, op adaware gedraait alles (nieuwste virusupdate natuurlijk), heb gister een format c gedaan en windows opnieuw geinstalled, en weer.

Nou heb ik het 'vermoeden' dat het van vriendje komt (niet hardop zeggen, want dan ben ik weer fout, moet meer vertrouwen in hem hebben Knipoog maar hij heeft wel vaker trojans, virusen en oliebol gehad :X hij is meer de game expert, niet inet oliebol expert Knipoog ), hij zegt dat ie gescant heeft maargoed, firewall ingeschakeld van winxp en nix meer aan de hand. Maar tevreden ben ik nog niet, want er is gewoon wat aan de hand, toch maar stiekum vriendjes comp grondig scannen als ie slaapt :X Knipoog

Ok intussen draaien vriendje zowel ik http://securityresponse.symantec.com/av ... xBlast.exe

Dat is een fixer

Kyan01

Berichten: 5404
Geregistreerd: 22-09-01
Woonplaats: Den Haag

Link naar dit bericht Geplaatst door de TopicStarter: 12-08-03 12:31

Dees schreef:


Thanks ik heb hem verwijderd d.m.v. die ene link, en ik ben nu die patch aan het downloaden. Maar moet ik nu die lopende proces die ik heb stopgezet ( ctrl alt delete ) weer activeren?? En hoe doe ik dit??

22-09-2006 is mijn zoon Kyan geboren!!
http://www.futerehope.come2me.nl/" target="_blank

Llewella

Berichten: 2087
Geregistreerd: 25-01-02
Woonplaats: Alkmaar

Link naar dit bericht Geplaatst: 12-08-03 12:32

fsoudan schreef:
Dit kan ik allemaal wel vergeten..... dit gaat me alleen nooit lukken.
1a + 1b gaat me nog wel lukken maar poorten dichtdoen ( 1c ) ??? Zou niet weten hoe.

Kan iemand mij uitleggen hoe ik poort 135 tijdelijk kan sluiten??


http://securityresponse.symantec.com/av ... xBlast.exe draaien, die doet alles als het goed is.

Kyan01

Berichten: 5404
Geregistreerd: 22-09-01
Woonplaats: Den Haag

Link naar dit bericht Geplaatst door de TopicStarter: 12-08-03 12:32

Llewella schreef:
Ik heb sinds een week last van crashen van windows authority huppeldepup (zo'n windows foutmelding verstuur pop upje) en vervolgens wordt de computer opnieuw opgestart met een countdown van 60 sec.

Als ik inet eruit trok nix aan de hand, alles gescant, op adaware gedraait alles (nieuwste virusupdate natuurlijk), heb gister een format c gedaan en windows opnieuw geinstalled, en weer.

Nou heb ik het 'vermoeden' dat het van vriendje komt (niet hardop zeggen, want dan ben ik weer fout, moet meer vertrouwen in hem hebben Knipoog maar hij heeft wel vaker trojans, virusen en oliebol gehad :X hij is meer de game expert, niet inet oliebol expert Knipoog ), hij zegt dat ie gescant heeft maargoed, firewall ingeschakeld van winxp en nix meer aan de hand. Maar tevreden ben ik nog niet, want er is gewoon wat aan de hand, toch maar stiekum vriendjes comp grondig scannen als ie slaapt :X Knipoog

Ok intussen draaien vriendje zowel ik http://securityresponse.symantec.com/av ... xBlast.exe

Dat is een fixer


Ja heb ik net ook gebruikt met resultaat OK dan!

22-09-2006 is mijn zoon Kyan geboren!!
http://www.futerehope.come2me.nl/" target="_blank

Llewella

Berichten: 2087
Geregistreerd: 25-01-02
Woonplaats: Alkmaar

Link naar dit bericht Geplaatst: 12-08-03 12:41

Hier op beiden computers nix te vinden?

Megasupervaag, naja ik draai nu alle fixes en alles, zo even kijken hoe die zonder firewall draait of ik dan nog last heb.

Kyan01

Berichten: 5404
Geregistreerd: 22-09-01
Woonplaats: Den Haag

Link naar dit bericht Geplaatst door de TopicStarter: 12-08-03 12:51

Maar heb jij wel foutmeldingen die aangeven dat er virussen actief zijn?? Ik merkte het gisteravond, ineens werd tot 3x toe mn pc opnieuw opgestart door een bepaalde foutmelding. En alleen als mns exploror aanstond, bij elke andere handeling bleef hij gewoon aan. Vanmorgen gaf northon ineens die worm aan, dus heb ik eerst geprbeerd hem handmatig te verwijderen maar dit ging dus niet. Maar door die link is hij nou verwijderd.

Alleen vraag ik mij nu af of ik fixblast moet laten staan?? Die patch wel,om te voorkomen dat het terug komt.

22-09-2006 is mijn zoon Kyan geboren!!
http://www.futerehope.come2me.nl/" target="_blank

Llewella

Berichten: 2087
Geregistreerd: 25-01-02
Woonplaats: Alkmaar

Link naar dit bericht Geplaatst: 12-08-03 13:02

Ik had gister continue foutmeldingen, werd er echt knettergek van.
ca een week of 2 geleden kreeg ik voor het eerst een dergelijke foutmelding.

Dus kennelijk toch besmet maar hoe wat waar?
Draai gewoon up to date norton av 2003.
Wel op campzone virussen voorbij zien komen bijv, maar feilloos opgepikt door norton, en ik had het al voor campzone, toen zijn een gozer nog op irc je wordt gehackt want dat kan niet dat ie 60 sec aftelt, blablabla, ik denk een of ander bugje, fout progje, en ja dat was het dus kennelijk wel icm virus dus Knipoog

Maargoed, ik heb nu firewall eraf en nix, dus hij is weer net zo mysterieus verdwenen als ie binnen is gekomen schijnbaar?

Estranged

Berichten: 74
Geregistreerd: 31-07-03
Woonplaats: Noord-Holland

Link naar dit bericht Geplaatst: 12-08-03 13:07

NIET vergeten om de Patch van M$ te installeren want anders kan het virus zichzelf net zo makkelijk weer toegang verschaffen. Of andere virussen, via dezelfde RPC overflow bug.

Cool

~ to arouse enmity or indifference in where there had formerly been love, affection, or friendliness.

Kyan01

Berichten: 5404
Geregistreerd: 22-09-01
Woonplaats: Den Haag

Link naar dit bericht Geplaatst door de TopicStarter: 12-08-03 18:42

Ik krijg dus weer constant dezelfde fout, maar northon geeft geen virussen meer aan Verward Verward

Mn computer start zich na deze foutmelding uit zich zelf weer op..... uhm ik weet het even niet meer nu Verward

22-09-2006 is mijn zoon Kyan geboren!!
http://www.futerehope.come2me.nl/" target="_blank

Kayla

Berichten: 11273
Geregistreerd: 20-10-01
Woonplaats: Groningen

Link naar dit bericht Geplaatst: 12-08-03 18:46

Je hebt die patch geinstalleerd en daarna worm weggehaald?

Kyan01

Berichten: 5404
Geregistreerd: 22-09-01
Woonplaats: Den Haag

Link naar dit bericht Geplaatst door de TopicStarter: 12-08-03 21:03

Kayla schreef:
Je hebt die patch geinstalleerd en daarna worm weggehaald?


Nee eerst worm weggehaald en daarna patch geinstalleerd. Had zeker andersom gemoeten???

22-09-2006 is mijn zoon Kyan geboren!!
http://www.futerehope.come2me.nl/" target="_blank

Kayla

Berichten: 11273
Geregistreerd: 20-10-01
Woonplaats: Groningen

Link naar dit bericht Geplaatst: 12-08-03 21:07

Geen idee, heb er weinig verstand van hoor, maar ik heb eerst de patch geinstalleerd zodat de worm niet weer terug kon komen, maar je kan voor de zekerheid nu nog een keer dat anti-worm programma draaien.

Kyan01

Berichten: 5404
Geregistreerd: 22-09-01
Woonplaats: Den Haag

Link naar dit bericht Geplaatst door de TopicStarter: 12-08-03 21:13

Ja ga ik straks gelijk doen. Toen ik vanmiddag achter de pc was het weg, ik heb nog even voor de zekerheid northon er doorheen gegooit en die gaf aan dat alles virusvrij was. Net belde mn moeder dat de pc weer die foutmelding gaf, dus steeds weer opnieuw opstarten Verward Dus ik ga zo maar weer even aanrommelen.

(Ben nu aan het werk)

22-09-2006 is mijn zoon Kyan geboren!!
http://www.futerehope.come2me.nl/" target="_blank

Kayla

Berichten: 11273
Geregistreerd: 20-10-01
Woonplaats: Groningen

Link naar dit bericht Geplaatst: 12-08-03 21:14

Ja maar Norton kent hem niet, deed hij bij mij ook.

Barb

Berichten: 12075
Geregistreerd: 24-07-01

Link naar dit bericht Geplaatst: 12-08-03 21:42

ik heb eerst die worm weg gehaald in de veilige modus, daarna pc opnieuw opgestart en patch gedownload daarna Norton er nog een
keer over heen gegooid. Ik heb gelukkig nergens meer last van,
ik werd al een beetje gestressed namelijk Clown

Jouke 't Hoff / Yedinja Beninja fan B.B. / Jieldou

Kijk eens op http://www.equinelymfedrainage.nl

Kayla

Berichten: 11273
Geregistreerd: 20-10-01
Woonplaats: Groningen

Link naar dit bericht Geplaatst: 12-08-03 21:45

Barb schreef:
Ik heb gelukkig nergens meer last van,
ik werd al een beetje gestressed namelijk Clown


Hier nog zo eentje Haha!


Llewella

Berichten: 2087
Geregistreerd: 25-01-02
Woonplaats: Alkmaar

Link naar dit bericht Geplaatst: 12-08-03 21:45

Ik heb intussen de computers bij mijn ouders thuis ook allen gescanned en geupdate, comp van stiefbroertje had ook dezelfde foutmelding + shutdown


Antwoord op onderwerpPlaats een reactie

Wie is er online

Gebruikers op dit forum: Amazonbot, Dayna, Hootje, jadeken, Kimmie235, larapurdy, Lisselot, lizy29, Maaikevdk, Mallow, maringe, Saskiaa_, TessaxQuincy, TinkerTreas, xPearl en 72 bezoekers