W32.Blaster.Worm

Hallo,

ich habe da mal ein "kleines" Problem mit dem W32.Blaster.Worm.
Vor ein paar Wochen habe ich mir den W32.Blaster.Worm eingefangen.
Norton Antivirus hat den Wurm zwar erkannt konnte aber nix dagegen machen (ich sollte wohl öfters mal ein update durchführen).
Nungut, also habe ich mir von Symatec FixBlast.exe heruntergeladen um diesen Wurm zu beseitigen, was auch wunderbar klappte.
FixBlast.exe hat W32.Blaster gefunden und das Ding zertreten.
Danach habe ich erstmal ein Update meiner Firewall und von Antivirus vorgenommen.


Naiv wie ich nun mal bin dachte ich, weg is er. Pustekuchen
Sobald ich meine Firewall abschalte um z.b eine Datei an GMX hochzuladen, kommt von Norton Antivirus eine Virus Warnung:

Virus Name: W32.Blaster.Worm
Action Taken: Automatically Deleted

Der Wurm schafft es aber noch mir den Tag zu versauen und fährt mein Windows XP, mit der üblichen Meldung von W32.Blaster runter.
Außerdem läuft mein Rechner ziemlich langsam was ich auch auf den Wurm zurückführe.

Das Beste kommt aber jetzt, wenn ich ein Virusscan durchführe kann er ihn nicht finden.
Ich habe schon vier verschiedene Virenscaner ausprobiert !!!!!!!
Wenn ich nun anfange das Ding manuell zu suchen z.b. mit dem Registry Editor kann ich W32.Blaster auch dort nicht finden wo er eigentlich stehen sollte.

Wo zum Teufel steckt das Ding und wie werde ich ihn wieder los????????

Gruß Koecks

 

Eine DTFW schließt keine Ports. Weder mit dem Paketfilter (der filtert nur, wie der Name schon sagt) noch mit einem IDS oder einer Sandbox. Letztere beiden haben damit gar nichts zu tun.

Sehr witzig. Dann müsste man sämtliche Programme, die man bereits hat, komplett neuinstallieren, um von denen vertrauenswürdige Prüfsummen zu erhalten. Und dann gibts ja immer noch genug Malware, die der User als vertrauenswürdig einstuft, die der DTFW dann also vertrauenswürdig erscheinen.
Und schlussendlich: Eine DTFW läuft auf dem zu schützenden System. Ergo: Grober Unfug.

Du kennst http://www.ntsvcfg.de/

Eben. Also gar nicht gut und nochmal: ES GIBT KEIN STEALTH. Sagst du ja selbst.

Das ist eine Seite, die etwas verkaufen will. Die Tests sind unzuverlässig.

 

Hi,

hier einige hilfreiche Seiten. Bei Worm Lovesan schauen, gibt sich als Blaster zu erkennen.

http://www.antivir.de/vireninfo/index.htm

Dort findest du alle Dateien die du suchen mußt, auch mit Registratureinträgen.
Hat mir auch schon geholfen.

Gruß
Qwertz25

 

Hallo,

natürlich ist es kein "Dummfug" mit einer Desktop-Firewall seine Ports zu schließen. Heutige moderne Firewalls dieser Art sind keine einfachen "dummen" Portfilter mehr sondern haben weitreichende Zusatzfunktionen wie IDS u. Sandbox. Es wird bei den meisten die Anwendungssoftware über Prüfsummenfunktionen überwacht (fremde Programme lassen sich nicht starten) oder sie warnen wenn eine Anwendung versucht, unerlaubt Kontakt zum Internet aufzunehmen.

Das Problem mit Port 135 ist ja nunmal, dass man den dahinterstehenden Dienst nur in bestimmten Fällen problemlos daktivieren kann und dass das gerade für einen Anfänger auch nicht einfach zu bewerkstelligen ist. Da sich derzeit die Verwundbarkeitsmeldungen dieses Dienstes überschlagen, bleibt einem oft nichts anderes übrig, als den Port per Firewall o.ä. zu blocken bzw. er ist "stealth". Gut .. ein potentieller Angreifer hat dann zwar die Information dass das System durch eine Firewall geschützt wird und er kann diese dann direkt angreifen.

Wie gut eure Firewall einen solchen Angriff übersteht könnt ihr hier testen (der Test ist auch für vorgeschaltete Hardware-Router sinnvoll, manche dieser Teile hängen sich auf):

http://www.pcflank.com/ Exploits Test (gehört zu den härteren seiner Art)

übrigens die BlackIce Firewall/IDS von ISS wird mit diesem Test mit Leichtigkeit fertig. Andere wie die Kerio 4 verabschieden sich kommentarlos..

Grüße
UKW

 

Dummfug!
Ports schließt man nicht mit einer Desktopfirewall und schon gar nicht mit der hoffnungslos veralteten AtGuard, sondern dadurch, dass man keine Dienste laufen lässt, die Ports öffnen könnten.
BTW: Durch rechtzeitiges Patchen von Windows wäre ein Schließen von Port 135 gar nicht nötig.

 

Du solltest nicht nur Deinen Virenscanner aktuallisieren und die Updates für Windows installieren, sondern auch gewisse Ports sperren.


mfg

 

Du solltest nicht nur deinen Virenscanner aktualliesieren, sondern auch die Uptades für Windows installieren.

Gruß
wolle

 

Hallo Koecks.

Vermutlich versteckt sich der Wurm im Verzeichnis System Volume Information. Deaktiviere mal vorübergehend die Systemwiederherstellung und führe Fixblast nochmal aus. Wie du die Systemwiederherstellung deaktivierst, erfährst du über's Hilfe- und Supportcenter. Gib dazu als Suchbegriff Systemwiderherstellung an. Nach Abschluß der Säuberung aktivierst du die Systemwiedherstellung wieder.

Aktiviere dann die XP-interne Firewall und lade dir über die Windows-Update-Seite den Patch gegen den Blaster-Wurm herunter falls du das noch nicht getan hast.

Ansonsten solltest du, wie dir bereits geraten wurde, bestimmte Dienste, wie z. B. den Windows-Nachrichtendienst, deaktivieren.

Hinweis:

Das Deaktivieren der Systemwiederherstellung löscht sämtliche Wiederherstellungspunkte. Falls das System ansonsten einwandfrei läuft, ist das aber keine Problem.

Gruß
Patrick