Immer noch der ms blaster wurm

Internet Internet Sicherheit
1

morgen zusammen

da sitz ich doch gestern an meinem rechner und „boing“ meldet die kiste, das sie sich in 60 sekunden runterfährt. ist mir natürlich sofort der wurm eingefallen. diesen hatte ich doch aber vor eineigen wochen eliminiert. habe mir also schnell meine antiviren software upgedatet und mal nen scan gemacht. nix gefunden. mit diesem removtool von symantec war es das gleiche…das fand auch keinen wurm. der patch von microsft war war damals instaliert worden.
in der registry habe ich drein einträge gefunden als ich nach MS Blast suchte. kann es nun sein, das ich deisen wurm niemals richtig losgeworden bin? warum meldet der sich erst jetzt wieder? kann ich diese einträge in der registry einfach so löschen?

vielen dank

markus

2

hallo markus,

folgendes, huebsch in sternchen eingerahmt, schrieb ich gestern einem freund, der auch infiziert ist mit seiner redmond-kiste:

*****************
tja, da gab es mal ein super script, ich habe es wieder gefunden … war von kelly, ich fand es wieder:

ein link von google:

http://www.mvps.org/marksxp/WindowsXP/rpc.php

der weisst beginnend mit:

You can remove these with the following script if you are infected
(msblast removal script by MVP Kelly, now removes a,b,c,d,e and f varients)
Download here

auf

http://www.kellys-korner-xp.com/xp.htm

und auf den direkten download

http://www.kellys-korner-xp.com/regs_edits/msblast.vbs

jedenfalls im anhand findest du bereits den file msblast.vbs, er killed den wurm. abspeichern auf linux bzw. gleich auf deine fat32-partition, XP-Bug starten und den file aufrufen, fettig aehm fertig.

aber hmm, da gibt es doch dieses problem der systemwiederherstellung, also das symantec-tool moechte hingegen, dass man vorher die systemwiederherstellung abschaltet, siehe hier:

http://securityresponse.symantec.com/avcenter/venc/d…

und dann blabla:
##############################
"…

  1. Download the FixBlast.exe file from:

http://securityresponse.symantec.com/avcenter/FixBla…

  1. Save the file to a convenient location, such as your downloads folder or the Windows Desktop (or removable media that is known to be uninfected, if possible).
  2. To check the authenticity of the digital signature, refer to the section, „Digital signature.“
  3. Close all the running programs before running the tool.
  4. If you are running Windows XP, then disable System Restore. Refer to the section, „System Restore option in Windows Me/XP,“ for additional details.

CAUTION: If you are running Windows XP, we strongly recommend that you do not skip this step. The removal procedure may be unsuccessful if Windows XP System Restore is not disabled, because Windows prevents outside programs from modifying System Restore.
6. Double-click the FixBlast.exe file to start the removal tool.
7. Click Start to begin the process, and then allow the tool to run.

Note: If, when running the tool, you see a message that the tool was not able to remove one or more files, run the tool in Safe mode. Shut down the computer, turn off the power, and wait 30 seconds. Restart the computer in Safe mode and then run the tool again. All the Windows 32-bit operating systems, except Windows NT, can be restarted in Safe mode. For instructions, read the document „How to start the computer in Safe Mode.“
8. Restart the computer.
9. Run the removal tool again to ensure that the system is clean.
10. If you are running Windows XP, then re-enable System Restore.
11. Run LiveUpdate to make sure that you are using the most current virus definitions.
###############################
…"

kannst ja auch bzw. nach dem kelly-tool und nach neustart nach dem kelly-script so verfahren, wie symantec es will mit seinem fixblast.exe

aber eigentlich sollte es bereits mit kelly sauber sein, vaters rechner ist sauber, und beachte auch: kelly braucht nur ein script im klartext von 3.7 kb, aber symantec braucht eine ausfuehrbare und nicht lesbare exe-datei von 135 kb. siehste mal, was symantec fuer ein mist ist. um sie zu bestrafen, wuerde ich nur auf das script vertrauen, kannst ja trotzdem vorher die systemherstellung abschalten.
********************************

wen es interessiert, hier ist das script im klartext, bis dann, mfg peter:

'© Kelly Theriot and Doug Knox - 8/13/2003
'Special thanks to Bill James and Mike Kolitz
'Kelly’s Korner
'http://www.kellys-korner-xp.com/xp_tweaks.htm

Set fso = CreateObject(„Scripting.FileSystemObject“)
Set trgexe = fso.GetSpecialFolder(1)
bInfected = False

If (fso.FileExists(trgexe & „\msblast.exe“)) Then
bInfected = True
End If

If (fso.FileExists(trgexe & „\penis32.exe“)) Then
bInfected = True
End If

If (fso.FileExists(trgexe & „\wuaumgr.exe“)) Then
bInfected = True
End If

If (fso.FileExists(trgexe & „\teekids.exe“)) Then
bInfected = True
End If

If (fso.FileExists(trgexe & „\root32.exe“)) Then
bInfected = True
End If

If (fso.FileExists(trgexe & „\msconfig35.exe“)) Then
bInfected = True
End If

If (fso.FileExists(trgexe & „\mspatch.exe“)) Then
bInfected = True
End If

If (fso.FileExists(trgexe & „\mslaugh.exe“)) Then
bInfected = True
End If

If (fso.FileExists(trgexe & „\enbiei.exe“)) Then
bInfected = True
End If

If NOT bInfected Then
MsgBox „The script did not find the W32.Blaster.Worm file, your system has not been cleaned.“ & vbCR & vbCR & „Copyright 2003 - Kelly Theriot and Doug Knox“,4096, „No Repairs Made“
Else
KillWorms()
MsgBox „One or more variants of W32.Blaster.Worm were removed from your system.“ & vbCR & „Update your antivirus definitions and install the Microsoft patch to prevent this in the future.“ & vbCR & vbCR & „Copyright 2003 - Kelly Theriot and Doug Knox“, vbOKOnly, „Done“
End If

On Error Resume Next

Set WshShell = WScript.CreateObject(„WScript.Shell“)

If WshShell.RegRead(„HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KB824146\DisplayName“) „Windows XP Hotfix - KB824146“ Then

X = MsgBox(„Would you like to download the patch for Windows XP?“, vbYesNo, „Important!“)

If X = 6 Then
WshShell.Run("iexplore.exe http://www.microsoft.com/technet/treeview/default.as…)
End If

Else

MsgBox „You already have the patch for the Blaster Worm exploit installed.“, vbOkOnly, „Finished“

End If

On Error Goto 0

Set WshShell = Nothing
Set fso = Nothing

Public Function killWorms()
For Each Process in GetObject(„winmgmts:“). _
ExecQuery („select name from Win32_Process where name=‚msblast.exe‘ OR name=‚penis32.exe‘ OR name=‚teekids.exe‘ OR name=‚wuaumgr.exe‘ OR name=‚root32.exe‘ OR name=‚msconfig35.exe‘ OR name=‚mspatch.exe‘ OR name=‚mslaugh.exe‘ OR name=‚enbiei.exe‘“)
Process.terminate(0)
Next

On Error Resume Next

fso.DeleteFile trgexe & „\msblast.exe“,True
fso.DeleteFile trgexe & „\penis32.exe“,True
fso.DeleteFile trgexe & „\teekids.exe“,True
fso.DeleteFile trgexe & „\wuaumgr.exe“,True
fso.DeleteFile trgexe & „\root32.exe“,True
fso.DeleteFile trgexe & „\msconfig35.exe“,True
fso.DeleteFile trgexe & „\mspatch.exe“,True
fso.DeleteFile trgexe & „\mslaugh.exe“,True
fso.DeleteFile trgexe & „\enbiei.exe“,True

With WScript.CreateObject(„WScript.Shell“)

.RegDelete „HKLM\Software\Microsoft\Windows\CurrentVersion\Run\windows automation“
.RegDelete „HKLM\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update“
.RegDelete „HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Inet Xp…“
.RegDelete „HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSConfig“
.RegDelete „HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Nonton Antivirus“
.RegDelete „HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Nonton Antivirus“
.RegDelete „HLKM\Software\Microsoft\Windows\CurrentVersion\Run[www.hidro.4t.com](http://www.hidro.4t.com)“

End With

On Error GoTo 0
End Function