Muhabbet Fedâileri

Aslında msblast.exe şuan belki ilk çıktığı gün kadar aktif değil fakat yinede duymayan veya bu virüs ile yeni tanışanlar olduğu için kısa bir açıklama yapmayı uygun görüyorum.

Bu virüsü bilgisayarınızdan nasıl temizleyeceğinizi Almanya´da yaşayanlar için ayrıca almanca olarak aşağıya ekleyeceğim. Bu kısmı virüs ile yeni tanışan kişilere kaynak olarak gösterebilirsiniz.


MS BLASTER WORM NEDıR?
Microsoft Windows NT, 2000, XP ve 2003 Windows sistemlerdeki RPC (Remote Procedure Call) protokolünde yer alan bir açığı kullanarak bulaştığı sistemleri trafik yoğunluğu sebebi ile çalışamaz hale getiren yeni bir solucan (worm) ortaya çıkmıştır ( MS Blaster Worm ). Solucan yayılım için TCP 135 portunu kullanmaktadır. Etkilenen sistemler rastgele seçtiği güvenlik yamaları yüklü olmayan sistemlere wormu yaymaya çalışmakta ya da güvenlik yamaları yüklü olmayan sistemlerin yeniden başlatılmasına sebep olmaktadır .

Ayrıca bu solucanın kendisini kopyaladığı sistemlerin tarihini kontrol ederek her ayın 16'sı ile 31'i arasında windowsupdate.com sitesine servis verememe (Denail of Service) atağı yapacağı tespit edilmiştir. Bu nedenle solucanın bulaşmış olduğu sistemlerin acil olarak temizlenmesi ve ilgili güvenlik yamasının sistemlere uygulanması gereklidir.


Solucanın Bulaşmasını önlemek için:
- Kullanılan işletim sistemin solucandan etkilenen Microsoft Windows NT, 2000, XP ve 2003 işletim sistemlerinden biri olup olmadığı kontrol edilmelidir.

- Aşağıdaki web sitesinden kullanılan işletim sistemine ait güvenlik yaması mutlaka uygulanmalıdır. Böylece solucanın sisteminizi etkilemesi engellenecektir.

Windows_2000 için;
ftp://ftp.koc.net/pub/windowspatches/Windows_2000

Windows_NT_4.0_Server icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_NT_4.0_Server

Windows_NT_4.0_Terminal_Server_Edition icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_NT_4.0_Terminal_Server_Edition

Windows_Server_2003_32_bit_Edition icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_Server_2003_32_bit_Edition

Windows_Server_2003_64_bit_Edition için;
ftp://ftp.koc.net/pub/windowspatches/Windows_Server_2003_64_bit_Edition

Windows_XP_32_bit_Edition için;
ftp://ftp.koc.net/pub/windowspatches/Windows_XP_32_bit_Edition

Windows_XP_64_bit_Edition icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_XP_64_bit_Edition

veya

http://microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp


Türkçe işletim sistemleri için;
Windows_2000 Türkçe için;
ftp://ftp.koc.net/pub/windowspatches/Windows_2000_Turkish


Windows_Server_2003_Türkçe icin;
ftp://ftp.koc.net/pub/windowspatches/Windows_Server_2003_Turkish


Windows_XP_Türkçe için;
ftp://ftp.koc.net/pub/windowspatches/Windows_XP_Turkish


Solucanı temizlemek için:
Temizlemek için aşağıdaki link'de yer alan program indirilmelidir.

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Programı çalıştırmadan önce tüm programlarınızın kapalı olduğunu kontrol edilmeli eğer sisteminiz XP ise "System Restore" özelliğini kapatarak program çalıştırılmalıdır.

Programın çalışması esnasında bazı dosyaları silemediği uyarısı alıyorsanız, sistemi güvenli oturumda açarak programı yeniden çalıştırılmalıdır.

ışlem sonunda makinanız reboot edilmelidir.

Das Problem:

Seit einpaar Tagen meldet sich der Rechner, wenn ich im Internet bin, mit der Meldung ab:
"Das System wird heruntergefahren. Bitte sichern sie alle Daten (60 sek.Zeit). Das herunterfahren wurde ausgelöst vom NT Autoritäts-System.
Begründung: Windows muss neu gestartet werden, weil der Dienst Remoteprozeduraufruf (RPC) unerwartet beendet wurde."

Das passiert immer wen ich im Internet eine Weile bin . Er fährt dann runter startet neu hält einige Zeit und wiederholt das Gleiche wieder. Wenn ich nicht im Internet bin geht’s gut.


LÖSUNG FÜRS UNERWARTETE HERUNTERFAHREN.... LESEDAUER 1 Min.

Um Zeit zu gewinnen, muss der Wurm erstmal entfernt bzw. ruhig gestellt werden:

WinXP Anleitung

1. start --> ausführen --> msconfig eingeben dann enter

2. unter dienste und unter systemstart nachschauen ob da noch irgendwo "msblast.exe" steht

3. wenn ja deaktivieren

4. NOCH NICHT NEU STARTEN

5. strg + alt + entf

6. im taskmanager unter prozesse nach "msblast.exe" suchen

7. wenn dieser prozess gerade läuft rechte maustaste drauf und diesen beenden

8. start --> suchen --> dateien und ordner

9. nach "msblast" suchen
(beim Suchen nach der "msblast" in den erweiterten Suchoptionen "Versteckte Elemente durchsuchen" aktivieren.
Ansonsten findet sich nämlich nichts.)

10. wenn ihr die Datei findet löschen (wenn ihr 2 Dateien findet beide löschen)

11. Reboot

12. microsoft sicherheitspatch runterladen und installieren

Danach sollten Eure Pc's wieder "normal" funktionieren



XP-Patch runterladen:

Für Win Xp User
http://floater.bei.t-online.de/WindowsXP-KB823980-x86-DEU.exe

oder

http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe

http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&displaylang=de

Für Windows 2000 User
http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&displaylang=de

oder

http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

gibt es ein Tool: FixBlast.exe

Die entfernt den Wurm automatisch unter Windows

Noch ein Tipp:
Wärend die 60 sekunden auf 00 gehen einfach die Systemuhr zurückstellen z.b. 10 Stunden. Dann hatt mann noch mehr Zeit den nötigen Patch Downzuladen.

MfG

Abdullah