[HaBo]

Odin · 11.08.03, 21:16

Hi , Leute !

Ich habe eine wichtige Frage : Vor 10 Minuten hatte ich einen Fehler der mir sagte
mein Pc würde in 1ner Minute neugestartet werden ! Nach dem neustart kam der gleiche Fehler wieder und wieder und weider ! Ich weiss leider nicht genau was das für ein fehler war , aber der fehler kam relativ gleichzeitig auf allen Rechnern in unserem LAN .

Ich habe nur Stichpunkte beim Abschreiben des Fehlers machen können , weil der Pc ja heruntefuhr : - NT-Autoritäts/system
- Remoteprozeduraufruf (RPC) wurde unerwaret beendet

Diesen Fehler konnten wir an den Pcs nur beheben , als wir auf anfrrage beim den tipp bekamen die Datei Msblast.exe zu löschen . Ich erzählte ihn alle meine laufenden Prozesse und Msblast hatte er halt nich/kannte er nicht .Ich beendete den Prozess und habe alle Dateien die mit msblast zu tun hatten geloscght.

Ok , bin wieda da . Ja Fehler kam halt wieder .
Kurz danach kamen auch Freunde vorbei und haben mir von dem genau gleichen Fehler erzählt der eben im Internecafe auf allen Rechnern kam . Sind das nu alles Zufällele oder wie ?

11.08.03, 21:49

@Odin

Ich denke mal, das eventuell auch jemand einfach versucht,
per RPC-Exploit versucht, die Rechner einfach immer wieder
zu rebooten. Wenn man dort die falsche Windows-Version
angibt, dann wird der Rechner rebootet an Stelle, das er eine
Remote-Shell gibt. Wäre mal meine Idee, ansonsten beschreibe
mal noch genauer, was Du liest bei Dir! Weiterhin mal die Frage, ob
Dein Rechner schon gegen RPC-Bug gepatcht ist?

MfG Rushjo

Anzeige

- Anzeige -

STeFaN · 11.08.03, 22:19

moinmoin,

also Rushjo liegt mal wieda richtig mit dem RPC-Exploit.
Wir hatten das heute mal ausgetestet, ein guter Kumpel einer anderen Crew testete das mal bei einem nicht ordentlichem gepachten sys bei mia uf der Platte und sie da, nach dem oder dem DL war der Bug gefixt.

MfG Stefan

Odin · 11.08.03, 23:16

Hah , es ist ein Virus ! Ich hab mir mal im Hexeditor die Msblast.exe angeschaut...lol ich zitiere mal was ausm editor :

....................................!..L.!This program cannot be run in DOS mode....$.......PE..L...*|7?...............7. .......P...q...`........@......................... .................................................. ..H............................................... .................................................. ..................UPX0.....P...................... ........UPX1..... ...`......................@...UPX2................ ................@...1.22.UPX!......F_...t0T...... ,..&..=....1.@.L$..A...t..D$..T$.......w...SVW..Pj .h..@.d.5.......%. .X/p....t ;t....$$t..4v...T.H|...u.w....T....d..5..._^[.U..\Uj....n.h.Z.u.....@]...]..{... ...#.]..E..0@%..4.{k?..@.ur.E...E....w.....C..s-{..b..v....e.t:VU.k...]^M[.....t(x1%Sr.v....e.V...6....C.0...\.%.4...,.qGj.v ..a*.....z..j.s...@.._u!.........;..'...*P....P$.. ...!..(..=,......>...r..X..d.....]5.h..U...f.P.I.#....e.P.<$f..$...,$c.(^{.}.$. ~.........$.H...P...o7.1..M.P*.....e.7...~...:l1.j .....P_?..fj]He.......?.j2h<...IH....{..|hCH..L......=........` .k..v.PQR..../.-.%....L...a.".....lh.'.7.6.0ig....c[..D...NG.X....;.%,1@.4!.0Y.....{a.......G.=.J..85> ...A......O.;.........\..>..w..C9.....6.E..@.0,T..[a.....7x.@+I....=W}$h>.Z.H.{..X9..(.!.......0.Jxs. <.<..~.......).#.e.....8|R...F5...~...}. 94(.s.!g...~...S.Jx..u<|(1...[...j.......6<...(T..,....:/..o#.Y.....}.W..~..f..4/..8.p.z....s..?.@.......N%,U..8@8...2.....$`A....E .j..........wf....E0T...9w.f........203;.._J#.S..: .F.f....P..&........8.N.w....../1.h7.+.|.........C....7....%..L.....V...(......... l........W........|"h..........s.V..Y:...:....H.t. .......\.8@J.B......[...=....~"~..-.0...,.l.,G"0;0....^..0"!.#r.0.1(..?..(..........E ..v..Np....h..?.. ._u.1.%..D.....5..&X...Z./~f..W.3`G.......|...5.0.c.#.0.+.... H#....l.5..Y......`.m....a.... |.h...k.e.........x..t..........\89..|.t.......;.( 9.r..u.|@-vr.s.9..#.>"...P..w....!l}....9E..\G....|;.8... _.9..%..K..:...1.Y?<...4)....^37...S.v.....u...n.A 8h............u.2...5..4..n......D..A..4....hD..<. y..x.....|......G.... 8..:5.m.....'.b%.w..`..!....~.......fc....|]....h.r`o.9..>p.{..V..&p..tH<..<#......<.x0...B.Kx .H&..............d......KF.....d...............i0. ..H....O.k..!.....`......h...).\...r...!t...!..B.B \.........Z.El..b.!......^.MO.i... cn.$l....O...._..B...I,..A.........(.Y..h..0T..K.. ...@...^.sv.=.;[...Xaor..Kh....WF..m....@.<.WO,..........$h......h .F....C...}..8..d..r.m..<[.|R[L.Gvx/[G...A....M..t..3.D@.)db5.\6.;.%(.....S..L$.1...... ...................t................X............. ..$.(...V...:.8.......]CM........F..G....8...]5QD........G@..Y0,...{.\7..4..X...u..4..>....fa... ....WV..2j..H$...!.)...Q.......G..MIw~f#n#F.|.h..} rF..R....Zd.d..83...$..n...w..n.... .8I.Bnn.}..._.....E.Ej(../..u.....j............0.I..[....*.P..A..2G...:..m..@...%.-..<..v5&..]....e.........W).....$d..la.......,.[..../.j.........z... ...b..<c...L..........+;;..{=..x..~*.>. T...%.Q/.................................... .....R.2 .2...J2 .. ...p.....?"u#j".&.j.@.<0E}r...).G..G. t...G...../s_.. u...t.....t..W.D.L__....Y...-...$=.s.....).....,0.....48....<@D....HLP....TX... .\`l....pt..................................E.6... ...@.....0@.<1@.....msblast.exe.I ju. wan.....to say LOVE YOU SAN!!.bill...m.gates&h.d%you make..~.1hi.possiQ.?1[{..Bp.ing.one-Wd.... fix2r] oftireU..=o......H.................F..*..]..........+.H`KG.........?...._..K.2$X..EdI.p..t,. .`.>7.^..p.G|...........*M...j. .nr..MA..~.RB3............36..EOW...`...8..0.(..f. ........C...@.A....(..6d_.d)....s..C2$C...$C2$...i ./s`.X.@.... x...P....O.. ......._H.f.........+.x......d.p....O...=.W.W2.1'l ......C..s@....1@...;a...........J....Poz...l....0 _n#l.'y... /....c...F.?....6S.Gh...h...e..w_.\..o..C.$.1-3.4.5.6..~.d.sd.o.c.1,e.N.B.......'.........w...^1 ......6..2.................S..tWu......Z....|..... .&..:k...M.q...6...Z..............A......6t.3.~.$| ..#.."LLb.........y|...........u..j...GF....x.z.9. V.J...g......Z...F......*..k.S..f.....*.......b... bk...L..Z...n.L.$..@d......}..c.'..P.W...Z........ x.2.t.......].~'?bB....vj......z.~]^..b..."...c......."....[.k...wes._..d.!....o..:...4r...9..:&.............Q ......g..4^..4w...7......j..h..b...4..J.|......8.{ F.Ap?.xT....&.a#.T..............41Qk..T.jm...W/...id.W -..*....{..(......D..wNtwsupd......com.%s...Q.+QI.. tU.c..u-i. GET.%d..S.C~.%i..rb...6.\.A|IGY\.....u.b.SOFTW.... .E\Micro.\W&[.(.\C..+V.^..er..\Ru..I...^Y/".V.\V.W.JxV.V.....U.R..l..i.....S.4M...,8HM.4MP`p ......4..SW...3.f..O.T.0..i.@Xl|..w..i...T?...; M...UK.$4M.4,8@HT.4M.`hp|....M..U...9A.P@...-[.(......G<.%l..r....T.`......./..,B.ExitProcessK...Thread.GetComm.L.K4.ineA.D.For .t.n.g.L.Er=r.....Modul.i.Nam1....MHEl.Clos......T ickeunt.RtlUn.n..M%.hMu.x3....S+ep.Tew...f.a.%...7 {..lRegeKey.&.[...EL.SvValue...i66..__.aaA3.7.rg.2oi.e....wfcO.op en.~.....mcpy..%r;.m..$..sig.l.prQX{0wtf..trc..... .`k~. I%.m...nGun.c.dS.f..t.#..Ah2n..P..i.*s.kui...u3_.d r.Foa.nWh.?v..helK...{.~. .t@.m....Ig.h.tb....y.m.bi..s..a..WSA....6vup.Cf.. c...Bl:..:g..7.p.:EA*?..<PEL...*|7?....8......7... .....;!`0!@.....$..<`.O,;s.4......r P...!....t.....,{..?`.g...b.G.0K.Ru....|a.\..d.... '@.do.i(..$'F|.\`...O.....@.............`..`@..... ..W.............F..G..u........r........u......... ...s.u........s.1....r......F...tt....u........... .u..........u A..u............s.u........s.............../...v...B..GIu..c.................w....L...^....... ..G,.<.w..?.u...._.f........)..................P.. ....t<._...0.p....P.....xp.....G..t...WH..U..|p... .t...........p..a................................. .................................................. .................................................. .................................................. ..........................x....................... .................................................. .................................................. ............$.......@.......KERNEL32.DLL.ADVAPI32.DLL.CRTDLL.DLL.WININET.DLL.W S2_32.DLL...LoadLibraryA..GetProcAddress..ExitProc ess...RegCloseKey...atoi..InternetGetConnectedStat e...send.......................................... ............................................. .................................................. .................................................. ... ....... ........&...0...B..

lol oder ? Is kein krasser Virus , aberwir basteln grad n Antiprogramm , weil bei uns halb Berlin und alle von unseren bekanntenbefallen sind !

Odin · 12.08.03, 00:31

hi ich bin jetzt nicht odin sondern der kumpel von ihm der das antiprogramm baut der virus ist echt billig wir werden zuerst auf simpler php basis (hilft bei manchen viren) den virus zu blockieren dass er sich in die win reg einträgt wenn dass nicht funzt werd ich via linux (redhat ka version neuste) mit c eine blockierung und löschung aus allen win dateien (kernel32.dll, advapi32.dll, crtdll.dll, win_inet.dll, ws2_32.dll) versuchen wenn der virus das ignoriert werd ich mit c++ rangehen wenn jemand den virus hat wer es nett zu posten was er anrichtet denn momentan hab ich keine ahnung was er alles macht auch wär es nett den standort zu posten wo der virus alles auftritt

btw hiermit wird der virus msblast getauft

und den programmierer des virus richte ich mein respekt aus den soviele probleme mit dem hex code hatt ich nicht mal mit i love you usw...

cya fidel (manche kennen mich manche nicht schönen guten TAG)

Marmot · 12.08.03, 01:13

Dein Engagement in allen Ehren, aber man würde es trotzdem begüßen, wenn du den Virus mal einem Antivirenhersteller oder so schickst, bist bestimmt nicht der einzige mit dem Virus.
Wenn es so einfach währe...
Hast du den Virus schonmal auf ein dump-system los gelassen?
Woher weist du das er sich nicht auch an anderer Stelle einnistet, z.B. im Speicher?
oder polimorph ist?
oder auf Antivirenprogs ausgelegt ist, stealthroutinen besitzt und etwas gegen seine vollständige Löschung hat?
Du schreibst schließlich das du nicht einmal weisst, was der Virus genau macht.

Odin · 12.08.03, 01:18

erstmal antwort zu deinem punkt2 sicherlich wäres besser aber ich wüsste bei witem nicht was ich heute nacht machen würde außerdem bin ich u.a in der softwarebranche tätig und finde das man bei so einenem virus der das potential hat wie "i love you" zu finden btw ich hab grad wieder den fehlern muss deswegen aufhören bis dann

Odin · 12.08.03, 01:30

Ich werd das Gefühl nich los das durch den Virus auch der Fernseher ausgefallen ist !!!!

Marmot · 12.08.03, 02:15

Also, dein Virus scannt alle Computer eines netzwerkes nach dem RPC-Bug durch, findet er einen Pc, kopiert er sich per TFTP darauf.
Übrigens, hast noch zeit bis zum 15 August...

ich brauchte 15 Min um den Virus zu bestimmen(W32/Blaster), 15 Min um den Source zu finden. Bin gerade auf einer Seite zufällig darauf gestosen.

sieben · 12.08.03, 02:46

http://www.microsoft.com/germany/ms/...inms03-026.htm

Problem loesen gluecklich sein.

Wenn akut: shutdown -a

YoDa
der sich jetzt sogar schon um Windows-Benutzer sorgt. :-/

Odin · 12.08.03, 03:54

JO , thnx fürn tipp , konnten ja selber nicht im Netz loaden da er immer vorher den Pc heruntergefahren hat beim Patch loaden . Und der der das Antiprogramm gebaut hat wollte auf keine Fremde hilfe annehmen , da er lange weile hatte und selber machn wollte....Sturkopf ....

poiin2000 · 12.08.03, 10:05

Zitat:

Original von YoDa
YoDa
der sich jetzt sogar schon um Windows-Benutzer sorgt. :-/

(: !

Marmot · 12.08.03, 11:48

Guckst du http://cert.uni-stuttgart.de/ticker/...e.php?mid=1132
MfG Marmot, stolzer Besitzer des Sources einer noch nicht erkannten Variante :]

west- · 12.08.03, 15:23

Schaut es euch an... Es hilft auch

http://chuckeh.dompy.net/RPC-Nuke/RPC-Nuke.htm

Anzeige

- Anzeige -

11.08.03, 21:16	#1 (permalink)
Odin Registriert seit: 07.08.03 Likes: 0	Remotepr.(RPC) RE:Virus Anzeige Hi , Leute ! Ich habe eine wichtige Frage : Vor 10 Minuten hatte ich einen Fehler der mir sagte mein Pc würde in 1ner Minute neugestartet werden ! Nach dem neustart kam der gleiche Fehler wieder und wieder und weider ! Ich weiss leider nicht genau was das für ein fehler war , aber der fehler kam relativ gleichzeitig auf allen Rechnern in unserem LAN . Ich habe nur Stichpunkte beim Abschreiben des Fehlers machen können , weil der Pc ja heruntefuhr : - NT-Autoritäts/system - Remoteprozeduraufruf (RPC) wurde unerwaret beendet Diesen Fehler konnten wir an den Pcs nur beheben , als wir auf anfrrage beim den tipp bekamen die Datei Msblast.exe zu löschen . Ich erzählte ihn alle meine laufenden Prozesse und Msblast hatte er halt nich/kannte er nicht .Ich beendete den Prozess und habe alle Dateien die mit msblast zu tun hatten geloscght. Ok , bin wieda da . Ja Fehler kam halt wieder . Kurz danach kamen auch Freunde vorbei und haben mir von dem genau gleichen Fehler erzählt der eben im Internecafe auf allen Rechnern kam . Sind das nu alles Zufällele oder wie ?

12.08.03, 02:46	#10 (permalink)
sieben Träger des silbernen Seepferdchens Registriert seit: 24.04.02 Likes: 9	http://www.microsoft.com/germany/ms/...inms03-026.htm Problem loesen gluecklich sein. Wenn akut: shutdown -a YoDa der sich jetzt sogar schon um Windows-Benutzer sorgt. :-/ __________________ Diese Zeile ist reserviert für Clark Kent.

12.08.03, 15:23	#14 (permalink)
west- Registriert seit: 12.08.03 Likes: 0	.... Schaut es euch an... Es hilft auch http://chuckeh.dompy.net/RPC-Nuke/RPC-Nuke.htm

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Virus Tesch Inkasso virus mail	echo	Virenschutz · Tools & Aggressive Software	11	24.11.08 09:16
Virus Tesch Inkasso virus mail	echo	Spiced Pork and Ham - Spam & seine Brüder	1	25.10.08 20:59
Virus Tesch Inkasso virus mail	echo	Windows	1	25.10.08 20:59
Virus!!!!	Nicmon	Die Problemzone	21	21.09.04 23:06
Virus-Hysterie: Gefährlicher Handy-Virus entpuppt sich als Panikmache	Tec	News & Ankündigungen	0	07.11.02 13:25

11.08.03, 21:49	#2 (permalink)
Rushjo Guest Likes:	@Odin Ich denke mal, das eventuell auch jemand einfach versucht, per RPC-Exploit versucht, die Rechner einfach immer wieder zu rebooten. Wenn man dort die falsche Windows-Version angibt, dann wird der Rechner rebootet an Stelle, das er eine Remote-Shell gibt. Wäre mal meine Idee, ansonsten beschreibe mal noch genauer, was Du liest bei Dir! Weiterhin mal die Frage, ob Dein Rechner schon gegen RPC-Bug gepatcht ist? MfG Rushjo

11.08.03, 22:19	#3 (permalink)
STeFaN Registriert seit: 02.10.01 Likes: 0	moinmoin, also Rushjo liegt mal wieda richtig mit dem RPC-Exploit. Wir hatten das heute mal ausgetestet, ein guter Kumpel einer anderen Crew testete das mal bei einem nicht ordentlichem gepachten sys bei mia uf der Platte und sie da, nach dem oder dem DL war der Bug gefixt. MfG Stefan

11.08.03, 23:16	#4 (permalink)
Odin Themenstarter Registriert seit: 07.08.03 Likes: 0	Hah , es ist ein Virus ! Ich hab mir mal im Hexeditor die Msblast.exe angeschaut...lol ich zitiere mal was ausm editor : ....................................!..L.!This program cannot be run in DOS mode....$.......PE..L...\|7?...............7. .......P...q...`........@......................... .................................................. ..H............................................... .................................................. ..................UPX0.....P...................... ........UPX1..... ...`......................@...UPX2................ ................@...1.22.UPX!......F_...t0T...... ,..&..=....1.@.L$..A...t..D$..T$.......w...SVW..Pj .h..@.d.5.......%. .X/p....t ;t....$$t..4v...T.H\|...u.w....T....d..5..._^[.U..\Uj....n.h.Z.u.....@]...]..{... ...#.]..E..0@%..4.{k?..@.ur.E...E....w.....C..s-{..b..v....e.t:VU.k...]^M[.....t(x1%Sr.v....e.V...6....C.0...\.%.4...,.qGj.v ..a.....z..j.s...@.._u!.........;..'...P....P$.. ...!..(..=,......>...r..X..d.....]5.h..U...f.P.I.#....e.P.<$f..$...,$c.(^{.}.$. ~.........$.H...P...o7.1..M.P.....e.7...~...:l1.j .....P_?..fj]He.......?.j2h<...IH....{..\|hCH..L......=........` .k..v.PQR..../.-.%....L...a.".....lh.'.7.6.0ig....c[..D...NG.X....;.%,1@.4!.0Y.....{a.......G.=.J..85> ...A......O.;.........\..>..w..C9.....6.E..@.0,T..[a.....7x.@+I....=W}$h>.Z.H.{..X9..(.!.......0.Jxs. <.<..~.......).#.e.....8\|R...F5...~...}. 94(.s.!g...~...S.Jx..u<\|(1...[...j.......6<...(T..,....:/..o#.Y.....}.W..~..f..4/..8.p.z....s..?.@.......N%,U..8@8...2.....$`A....E .j..........wf....E0T...9w.f........203;.._J#.S..: .F.f....P..&........8.N.w....../1.h7.+.\|.........C....7....%..L.....V...(......... l........W........\|"h..........s.V..Y:...:....H.t. .......\.8@J.B......[...=....~"~..-.0...,.l.,G"0;0....^..0"!.#r.0.1(..?..(..........E ..v..Np....h..?.. ._u.1.%..D.....5..&X...Z./~f..W.3`G.......\|...5.0.c.#.0.+.... H#....l.5..Y......`.m....a.... \|.h...k.e.........x..t..........\89..\|.t.......;.( 9.r..u.\|@-vr.s.9..#.>"...P..w....!l}....9E..\G....\|;.8... _.9..%..K..:...1.Y?<...4)....^37...S.v.....u...n.A 8h............u.2...5..4..n......D..A..4....hD..<. y..x.....\|......G.... 8..:5.m.....'.b%.w..`..!....~.......fc....\|]....h.r`o.9..>p.{..V..&p..tH<..<#......<.x0...B.Kx .H&..............d......KF.....d...............i0. ..H....O.k..!.....`......h...).\...r...!t...!..B.B \.........Z.El..b.!......^.MO.i... cn.$l....O...._..B...I,..A.........(.Y..h..0T..K.. ...@...^.sv.=.;[...Xaor..Kh....WF..m....@.<.WO,..........$h......h .F....C...}..8..d..r.m..<[.\|R[L.Gvx/[G...A....M..t..3.D@.)db5.\6.;.%(.....S..L$.1...... ...................t................X............. ..$.(...V...:.8.......]CM........F..G....8...]5QD........G@..Y0,...{.\7..4..X...u..4..>....fa... ....WV..2j..H$...!.)...Q.......G..MIw~f#n#F.\|.h..} rF..R....Zd.d..83...$..n...w..n.... .8I.Bnn.}..._.....E.Ej(../..u.....j............0.I..[.....P..A..2G...:..m..@...%.-..<..v5&..]....e.........W).....$d..la.......,.[..../.j.........z... ...b..<c...L..........+;;..{=..x..~.>. T...%.Q/.................................... .....R.2 .2...J2 .. ...p.....?"u#j".&.j.@.<0E}r...).G..G. t...G...../s_.. u...t.....t..W.D.L__....Y...-...$=.s.....).....,0.....48....<@D....HLP....TX... .\`l....pt..................................E.6... ...@.....0@.<1@.....msblast.exe.I ju. wan.....to say LOVE YOU SAN!!.bill...m.gates&h.d%you make..~.1hi.possiQ.?1[{..Bp.ing.one-Wd.... fix2r] oftireU..=o......H.................F....]..........+.H`KG.........?...._..K.2$X..EdI.p..t,. .`.>7.^..p.G\|...........M...j. .nr..MA..~.RB3............36..EOW...`...8..0.(..f. ........C...@.A....(..6d_.d)....s..C2$C...$C2$...i ./s`.X.@.... x...P....O.. ......._H.f.........+.x......d.p....O...=.W.W2.1'l ......C..s@....1@...;a...........J....Poz...l....0 _n#l.'y... /....c...F.?....6S.Gh...h...e..w_.\..o..C.$.1-3.4.5.6..~.d.sd.o.c.1,e.N.B.......'.........w...^1 ......6..2.................S..tWu......Z....\|..... .&..:k...M.q...6...Z..............A......6t.3.~.$\| ..#.."LLb.........y\|...........u..j...GF....x.z.9. V.J...g......Z...F........k.S..f............b... bk...L..Z...n.L.$..@d......}..c.'..P.W...Z........ x.2.t.......].~'?bB....vj......z.~]^..b..."...c......."....[.k...wes._..d.!....o..:...4r...9..:&.............Q ......g..4^..4w...7......j..h..b...4..J.\|......8.{ F.Ap?.xT....&.a#.T..............41Qk..T.jm...W/...id.W -......{..(......D..wNtwsupd......com.%s...Q.+QI.. tU.c..u-i. GET.%d..S.C~.%i..rb...6.\.A\|IGY\.....u.b.SOFTW.... .E\Micro.\W&[.(.\C..+V.^..er..\Ru..I...^Y/".V.\V.W.JxV.V.....U.R..l..i.....S.4M...,8HM.4MP`p ......4..SW...3.f..O.T.0..i.@Xl\|..w..i...T?...; M...UK.$4M.4,8@HT.4M.`hp\|....M..U...9A.P@...-[.(......G<.%l..r....T.`......./..,B.ExitProcessK...Thread.GetComm.L.K4.ineA.D.For .t.n.g.L.Er=r.....Modul.i.Nam1....MHEl.Clos......T ickeunt.RtlUn.n..M%.hMu.x3....S+ep.Tew...f.a.%...7 {..lRegeKey.&.[...EL.SvValue...i66..__.aaA3.7.rg.2oi.e....wfcO.op en.~.....mcpy..%r;.m..$..sig.l.prQX{0wtf..trc..... .`k~. I%.m...nGun.c.dS.f..t.#..Ah2n..P..i.s.kui...u3_.d r.Foa.nWh.?v..helK...{.~. .t@.m....Ig.h.tb....y.m.bi..s..a..WSA....6vup.Cf.. c...Bl:..:g..7.p.:EA?..<PEL...\|7?....8......7... .....;!`0!@.....$..<`.O,;s.4......r P...!....t.....,{..?`.g...b.G.0K.Ru....\|a.\..d.... '@.do.i(..$'F\|.\`...O.....@.............`..`@..... ..W.............F..G..u........r........u......... ...s.u........s.1....r......F...tt....u........... .u..........u A..u............s.u........s.............../...v...B..GIu..c.................w....L...^....... ..G,.<.w..?.u...._.f........)..................P.. ....t<._...0.p....P.....xp.....G..t...WH..U..\|p... .t...........p..a................................. .................................................. .................................................. .................................................. ..........................x....................... .................................................. .................................................. ............$.......@.......KERNEL32.DLL.ADVAPI32.DLL.CRTDLL.DLL.WININET.DLL.W S2_32.DLL...LoadLibraryA..GetProcAddress..ExitProc ess...RegCloseKey...atoi..InternetGetConnectedStat e...send.......................................... ............................................. .................................................. .................................................. ... ....... ........&...0...B.. lol oder ? Is kein krasser Virus , aberwir basteln grad n Antiprogramm , weil bei uns halb Berlin und alle von unseren bekanntenbefallen sind !

12.08.03, 00:31	#5 (permalink)
Odin Themenstarter Registriert seit: 07.08.03 Likes: 0	hi ich bin jetzt nicht odin sondern der kumpel von ihm der das antiprogramm baut der virus ist echt billig wir werden zuerst auf simpler php basis (hilft bei manchen viren) den virus zu blockieren dass er sich in die win reg einträgt wenn dass nicht funzt werd ich via linux (redhat ka version neuste) mit c eine blockierung und löschung aus allen win dateien (kernel32.dll, advapi32.dll, crtdll.dll, win_inet.dll, ws2_32.dll) versuchen wenn der virus das ignoriert werd ich mit c++ rangehen wenn jemand den virus hat wer es nett zu posten was er anrichtet denn momentan hab ich keine ahnung was er alles macht auch wär es nett den standort zu posten wo der virus alles auftritt btw hiermit wird der virus msblast getauft und den programmierer des virus richte ich mein respekt aus den soviele probleme mit dem hex code hatt ich nicht mal mit i love you usw... cya fidel (manche kennen mich manche nicht schönen guten TAG)

12.08.03, 01:13	#6 (permalink)
Marmot Registriert seit: 19.07.03 Likes: 0	Dein Engagement in allen Ehren, aber man würde es trotzdem begüßen, wenn du den Virus mal einem Antivirenhersteller oder so schickst, bist bestimmt nicht der einzige mit dem Virus. Wenn es so einfach währe... Hast du den Virus schonmal auf ein dump-system los gelassen? Woher weist du das er sich nicht auch an anderer Stelle einnistet, z.B. im Speicher? oder polimorph ist? oder auf Antivirenprogs ausgelegt ist, stealthroutinen besitzt und etwas gegen seine vollständige Löschung hat? Du schreibst schließlich das du nicht einmal weisst, was der Virus genau macht.

12.08.03, 01:18	#7 (permalink)
Odin Themenstarter Registriert seit: 07.08.03 Likes: 0	erstmal antwort zu deinem punkt2 sicherlich wäres besser aber ich wüsste bei witem nicht was ich heute nacht machen würde außerdem bin ich u.a in der softwarebranche tätig und finde das man bei so einenem virus der das potential hat wie "i love you" zu finden btw ich hab grad wieder den fehlern muss deswegen aufhören bis dann

12.08.03, 01:30	#8 (permalink)
Odin Themenstarter Registriert seit: 07.08.03 Likes: 0	Ich werd das Gefühl nich los das durch den Virus auch der Fernseher ausgefallen ist !!!!

12.08.03, 02:15	#9 (permalink)
Marmot Registriert seit: 19.07.03 Likes: 0	Also, dein Virus scannt alle Computer eines netzwerkes nach dem RPC-Bug durch, findet er einen Pc, kopiert er sich per TFTP darauf. Übrigens, hast noch zeit bis zum 15 August... ich brauchte 15 Min um den Virus zu bestimmen(W32/Blaster), 15 Min um den Source zu finden. Bin gerade auf einer Seite zufällig darauf gestosen.

12.08.03, 03:54	#11 (permalink)
Odin Themenstarter Registriert seit: 07.08.03 Likes: 0	JO , thnx fürn tipp , konnten ja selber nicht im Netz loaden da er immer vorher den Pc heruntergefahren hat beim Patch loaden . Und der der das Antiprogramm gebaut hat wollte auf keine Fremde hilfe annehmen , da er lange weile hatte und selber machn wollte....Sturkopf ....

12.08.03, 11:48	#13 (permalink)
Marmot Registriert seit: 19.07.03 Likes: 0	Guckst du http://cert.uni-stuttgart.de/ticker/...e.php?mid=1132 MfG Marmot, stolzer Besitzer des Sources einer noch nicht erkannten Variante :]

[HaBo]

Remotepr.(RPC) RE:Virus