Supportnet / Forum / Windows2000
Wurm resistent gegen Formatierung?
Frage
Haben 2 Laptops, beide Wk2. Auf dem einen (AsusL84009), welchen ich - abgesehen von einem 3-monatigen Auslandaufenthalt im Sommer - hat sich der Welchworm eingenistet; liess sich mit dem Symantec-Tool entfernen. Beim anderen Laptop (SonyVAIO) konnte ich bereits das 2.SP nicht installieren, es gab damit immer Probleme (explorer.exe hat einen Fehler verursacht).Der Sony hat aber bestimmt auch ein "Viech" eingefangen, er läuft extrem langsam uns kommt immer wieder mit "sychost.exe hat einen Fehler u.s.w.". Die Wurmentfernungstools funktionieren aber z.T. nur mit SP2. Habe mich deshalb entschlossen, das Betriebssystem neu zu installieren, die aktuellen Updates zu laden und dann Schritt für Schritt die restlichen Programme aufzuspielen. Sony gibt 3 CD-Roms für die Systemwiederherstellung, die muss man benutzen. Habe früher mal das W2k mit einer anderen CD repariert, danach wusste der Rechner nicht mehr, dass er ein Sony ist. Habe die "advanced" Variante gewählt, dabei sollen alle Daten gelöscht und aller neu formatiert werden. Danach werden die Standartprogramme installiert. Danach habe ich als erstes den NAV installiert. Nächster Schritt: WindowsUpdate. Klappt aber nicht.Ich komme bis zum Schritt, in welchem das SP4 installiert werden sollte, dann kommt wieder "sychost.exe..." oder der Compi bleibt einfach stehen. Falls es ein Wurm ist, müsste die Formatierung den doch gekillt haben, oder nicht ? Bin ich völlig auf dem Holzweg mit meiner Wurmtheorie ? Kann ich mit meinem funktionierenden Laptop(mit SP4) das SP (brauche es für Sony in englisch, Asus hats in Deutsch) runterladen, auf eine CD brennen und dann auf den Sony spielen ? Wenn ja, wie geht das genau ? Bin wieder mal völlig am Berg!
Antwort 1 von Schnoof
Das klingt nach dem Blasterwurm, und der sucht sich selbständig Rechner mit einer bestimmten Sicherheitslücke. D.h. wenn Du ins Internet gehst und Dein Rechner noch nicht geschützt ist, installiert der Wurm sich gleich von Neuem.
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bul... Hier müßtest Du direkt den dafür nötige Microsoft-Patch finden.
Bis denne!
Schnoof
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bul... Hier müßtest Du direkt den dafür nötige Microsoft-Patch finden.
Bis denne!
Schnoof
Antwort 2 von TheBlackBird_
Hi!!
Riecht fuer mich nach dem Blaster-Wurm. Den kannst Du zwar mit einer Formatierung killen, faengst ihn Dir aber mit einem ungepatchten System beim ersten OnlineBesuch wieder ein.
Infos darueber:
Heise-Security
Patch fuer 2K SP2 oder hoeher:
Microsoft-Security ziemlich weit unten
Entfernung des Wurms
Symantec-Removal-Tool
Cu TheBlackBird ®
Riecht fuer mich nach dem Blaster-Wurm. Den kannst Du zwar mit einer Formatierung killen, faengst ihn Dir aber mit einem ungepatchten System beim ersten OnlineBesuch wieder ein.
Infos darueber:
Heise-Security
Patch fuer 2K SP2 oder hoeher:
Microsoft-Security ziemlich weit unten
Entfernung des Wurms
Symantec-Removal-Tool
Cu TheBlackBird ®
Antwort 3 von sutadur
Dass der Wurm nach dem Formatieren noch immer da ist, halte ich für sehr unwahrscheinlich. Vielleicht ist auch ganz einfach ein defekter Speicherchip o.ä. für die Fehlermeldung verantwortlich.
Antwort 4 von Schnoof
Der Patch von TheBlackBird (03-26) ist leider nicht mehr auf dem neuesten Stand. Sie haben noch ein paar weitere Lücken gefunden. In dem 03-39 ist dann diesbezüglich alles drin.
Antwort 5 von Casvil
wenn du den nicht laden kannst weil der runterfahren will(ebenfalls blaster)
dann drücke start dann ausführen und cmd ein.
danach im cmd gibst du shutdown -a ein enter und du hast ruhe vor dem runterfahren.
aber ich denke nicht dass dies ein wurm ist. nach dem formatieren ist alles weg, selbst wenn einer da war ist der jetzt weg. und an den blaster mag ich auch nicht so recht glauben, da der blaster ja immer runterfahren will. das ist aber nicht ersichtlich aus deinem post.
also ersmal die komponenten checken(habe keinen laptop, vieleicht gibts tools dafür?!) ansonsten das neueste sp laden.
©as
dann drücke start dann ausführen und cmd ein.
danach im cmd gibst du shutdown -a ein enter und du hast ruhe vor dem runterfahren.
aber ich denke nicht dass dies ein wurm ist. nach dem formatieren ist alles weg, selbst wenn einer da war ist der jetzt weg. und an den blaster mag ich auch nicht so recht glauben, da der blaster ja immer runterfahren will. das ist aber nicht ersichtlich aus deinem post.
also ersmal die komponenten checken(habe keinen laptop, vieleicht gibts tools dafür?!) ansonsten das neueste sp laden.
©as
Antwort 6 von Tuxchen
Zitat:
nach dem formatieren ist alles weg
nach dem formatieren ist alles weg
Hierfür muss man von einem sauberen Medium booten und das infizierte Laufwerk formatieren ohne vorher auf dieses zu wechseln. Erklärung: Ein Virus der im Bootsektor sitzt lädt sich dort automatisch in den Speicher und schreibt sich sauber wieder in den Bootsektor nachdem die Platte formatiert wurde.
(Als Beispiel)
Antwort 7 von Schnoof
@casvil: Deine Infos stimmen nicht ganz. Der Blasterwurm will nicht immer herunterfahren, eigentlich will er das sogar überhaupt nicht. Da ist "nur" ein Fehler im Code. Probleme mit der svchost.exe sprechen durchaus FÜR den Blasterwurm.
Und wie ich bereits weiter oben schrieb, installiert der sich völlig selbständig, wenn er einen Rechner im WWW findet, der nicht sicher ist. D.h. mit einem frisch aufgesetzten Win2000 hat man den sich ratzfatz beim ersten Internetgang den Wurm (erneut) eingefangen.
Bis denne!
Schnoof
Und wie ich bereits weiter oben schrieb, installiert der sich völlig selbständig, wenn er einen Rechner im WWW findet, der nicht sicher ist. D.h. mit einem frisch aufgesetzten Win2000 hat man den sich ratzfatz beim ersten Internetgang den Wurm (erneut) eingefangen.
Bis denne!
Schnoof
Antwort 8 von DJWolfgang
Hi Caramelle
hast du rein zufällig eine Windows98 Startdiskette zur Hand??...damit reinigst du erstmal den Bootsektor deiner Festplattte(fdisk /mbr)...danach solltest du die Festplatte nochmals formatieren und Windows 2000 aufspielen..--wenn das nicht geht, hast du (mit höchster Wahrscheinlichkeit)einen Hardwaredefekt...
MfG
DJWolfgang
hast du rein zufällig eine Windows98 Startdiskette zur Hand??...damit reinigst du erstmal den Bootsektor deiner Festplattte(fdisk /mbr)...danach solltest du die Festplatte nochmals formatieren und Windows 2000 aufspielen..--wenn das nicht geht, hast du (mit höchster Wahrscheinlichkeit)einen Hardwaredefekt...
MfG
DJWolfgang
Antwort 9 von Schnoof
Ich weiß nicht, ob Bootsektorviren Probleme mit der svchost.exe verursachen. Ich halte wirklich den msblaster für am wahrscheinlichsten (es gibt einige, die den gleich 3x hintereinander hatten), und das ist KEIN Bootsektorvirus.
Bis denne!
Schnoof
Bis denne!
Schnoof
Antwort 10 von h01
Hatte auch die msblaster.exe
Das MS Tool hat nichts gebracht.
Zu finden ist die msblaster.exe im
Ordner System32.
Die Exe msblaster.exe umbenennen zB. in Ärger.old und auf das Desktop verschieben, Dann in einen neuen Ordner verschieben,diesen dann in den Ordner Eigene Dateien verschieben und löschen. Dann noch einen Ordner erstellen und diesen auch löschen. Danach den Inhalt im Papierkorb löschen und die msblaster.exe ist verschwunden.
Gruß h01
Das MS Tool hat nichts gebracht.
Zu finden ist die msblaster.exe im
Ordner System32.
Die Exe msblaster.exe umbenennen zB. in Ärger.old und auf das Desktop verschieben, Dann in einen neuen Ordner verschieben,diesen dann in den Ordner Eigene Dateien verschieben und löschen. Dann noch einen Ordner erstellen und diesen auch löschen. Danach den Inhalt im Papierkorb löschen und die msblaster.exe ist verschwunden.
Gruß h01
Antwort 11 von TheBlackBird_
Hi!!
Ich moechte hier wirklich niemandem zu nahe treten, aber so langsam aber sicher wird es hier doch recht haarstraeubend. Wir wollen hier im Forum doch helfen, und nicht durch Mutmassungen und Halbwahrheiten noch mehr Verwirrung stiften, als bei den Hilfesuchenden meist eh schon vorhanden ist.
Ein paar von uns vermuten den Blaster-Wurm als Ursache fuer das Problem von Caramelle. Andere sehen das Problem woanders. Soweit ist auch alles OK. Es gibt hier aber ein paar Sachen, die meiner Meinung nach hier nicht zur Loesung des Problems betragen, bzw. falsch sind:
Antwort10
Das „MS-Tool“ ist ein Patch, der das Betriebssystem vor dem erneuten Befall mit dem Blaster-Wurm schuetzen soll (Wenn mit MS-Tool in diesem Fall denn der von Schnoof in Antwort1 verlinkte Patch gemeint ist.). Es hat nichts mit der Entfernung des Wurms zu tun. Dafuer gibt es extra Tools von unterschiedlichen Herstellern. Ich habe in meinem ersten Posting nur eines davon genannt.
Und was ist das denn fuer eine abenteuerliche Umbennenungs-, Kopier- und Loesch-Aktion? Was will man damit erreichen? Den Prozess beenden und das File zu loeschen haette es wohl auch getan. Es waere nicht alles, was zu tun ist, aber das steht mal aussenvor. Was ist also der Sinn dieser Geschichte?
Antwort8
Was hat eine W98-Startdisk auf einer W2K-Installation zu suchen? Richtig -> Nicht sehr viel. Zumindest nichts was mit dem Befehl fdisk /mbr zusammenhaengt. Und wozu die Neuinstallation? Nur um beim ersten Online-Besuch sich den Wurm mit dem noch ungepatchten BS erneut einzufangen? Das waere wie ein Kampf gegen Windmuehlen, zumal die Neuinstallation eh oversized waere, wenn meine Vermutung zutrifft, und es sich wirklich um den Blaster handelt.
Antwort5
Hier wird auf den Shutdown-Befehl verwiesen. Soweit ich mich erinnere gibt es diesen Befehl unter W2K nicht. (Ich mag mich irren, aber das wird dann sicher gleich jemand korrigieren.) Auch glaube ich mich zu erinnern, dass der Blaster ein W2K-System nicht mit der von XP bekannten Meldung (60sek) beglueckt, sondern dieses schlicht zum Absturz zwingt, bzw. es mit Fehlern in verschiedenen EXE-Files zur Funktionsuntuechtigkeit verdammt. Aber auch das werden W2K-Betroffene sicher korrigieren, wenn es denn falsch ist.
Was will ich eigentlich damit zum Ausdruck bringen? Tja, was eigentlich?
Lasst es mich so ausdruecken: Das „Helfen wollen“ in allen Ehren, aber schreibt doch bitte nur Tipps, von denen Ihr sicher seid, dass sie funktionieren, bzw. die Ihr gut recherchiert oder gar selbst getestet habt. Wenn es sich um Vermutungen oder auch nur um Ideen aus dem Bauch heraus handelt, dann schreibt dies doch bitte dazu, oder lasst dies im Text durchblicken.
So und nun weiter zum Tagesgeschaeft: Warten wir einfach mal ab, wie es Caramelle mittlerweile ergangen ist, und ob sie neue Infos zu ihrem Problem hat, bzw. wenn es denn beseitigt ist, woran es denn gelegen hat.
Nichts fuer ungut
TheBlackBird ®
Ich moechte hier wirklich niemandem zu nahe treten, aber so langsam aber sicher wird es hier doch recht haarstraeubend. Wir wollen hier im Forum doch helfen, und nicht durch Mutmassungen und Halbwahrheiten noch mehr Verwirrung stiften, als bei den Hilfesuchenden meist eh schon vorhanden ist.
Ein paar von uns vermuten den Blaster-Wurm als Ursache fuer das Problem von Caramelle. Andere sehen das Problem woanders. Soweit ist auch alles OK. Es gibt hier aber ein paar Sachen, die meiner Meinung nach hier nicht zur Loesung des Problems betragen, bzw. falsch sind:
Antwort10
Das „MS-Tool“ ist ein Patch, der das Betriebssystem vor dem erneuten Befall mit dem Blaster-Wurm schuetzen soll (Wenn mit MS-Tool in diesem Fall denn der von Schnoof in Antwort1 verlinkte Patch gemeint ist.). Es hat nichts mit der Entfernung des Wurms zu tun. Dafuer gibt es extra Tools von unterschiedlichen Herstellern. Ich habe in meinem ersten Posting nur eines davon genannt.
Und was ist das denn fuer eine abenteuerliche Umbennenungs-, Kopier- und Loesch-Aktion? Was will man damit erreichen? Den Prozess beenden und das File zu loeschen haette es wohl auch getan. Es waere nicht alles, was zu tun ist, aber das steht mal aussenvor. Was ist also der Sinn dieser Geschichte?
Antwort8
Was hat eine W98-Startdisk auf einer W2K-Installation zu suchen? Richtig -> Nicht sehr viel. Zumindest nichts was mit dem Befehl fdisk /mbr zusammenhaengt. Und wozu die Neuinstallation? Nur um beim ersten Online-Besuch sich den Wurm mit dem noch ungepatchten BS erneut einzufangen? Das waere wie ein Kampf gegen Windmuehlen, zumal die Neuinstallation eh oversized waere, wenn meine Vermutung zutrifft, und es sich wirklich um den Blaster handelt.
Antwort5
Hier wird auf den Shutdown-Befehl verwiesen. Soweit ich mich erinnere gibt es diesen Befehl unter W2K nicht. (Ich mag mich irren, aber das wird dann sicher gleich jemand korrigieren.) Auch glaube ich mich zu erinnern, dass der Blaster ein W2K-System nicht mit der von XP bekannten Meldung (60sek) beglueckt, sondern dieses schlicht zum Absturz zwingt, bzw. es mit Fehlern in verschiedenen EXE-Files zur Funktionsuntuechtigkeit verdammt. Aber auch das werden W2K-Betroffene sicher korrigieren, wenn es denn falsch ist.
Was will ich eigentlich damit zum Ausdruck bringen? Tja, was eigentlich?
Lasst es mich so ausdruecken: Das „Helfen wollen“ in allen Ehren, aber schreibt doch bitte nur Tipps, von denen Ihr sicher seid, dass sie funktionieren, bzw. die Ihr gut recherchiert oder gar selbst getestet habt. Wenn es sich um Vermutungen oder auch nur um Ideen aus dem Bauch heraus handelt, dann schreibt dies doch bitte dazu, oder lasst dies im Text durchblicken.
So und nun weiter zum Tagesgeschaeft: Warten wir einfach mal ab, wie es Caramelle mittlerweile ergangen ist, und ob sie neue Infos zu ihrem Problem hat, bzw. wenn es denn beseitigt ist, woran es denn gelegen hat.
Nichts fuer ungut
TheBlackBird ®
Antwort 12 von Caramelle
Also, mittlerweilen habe ich das SP4 mit dem "gesunden" Laptop" auf eine CD gebrannt und auf den "kranken" geladen, dann auch den Anti-Blaster-Patch und hinterher mit dem Symantectool nach dem Wurm gesucht. War nichts mehr da, der Rechner lief dann auch ganz ordentlich. Keine sychost.exe-Fehlermeldung mehr. Mit dem neu installierten System ist aber noch nicht alles so wie es sollte - z.B. noch Probleme mit dem alten externen ISDN-Modem und immer wieder Probleme mit den Herunterfahren("Programm reagiert nicht"). Denke, dass ich mal die gängigen Antischädlingstools von Symantec laufen lasse, dann sehe ich weiter. Herzlichen Dank an alle, die Links die ich jeweils kriege speichere ich mir immer für spätere Notfälle - wüsste nicht, was ich ohne das Supportnet machen würde.
Antwort 13 von Lutz1965
@TheBlackBird
Und Deine Antwort 11 ist jetzt die Lösung ....
Herzlichen Glückwunsch.....
Jetzt wissen alle Bescheid und der Fehler ist aus der "Welt"
Weiter so...
Und Deine Antwort 11 ist jetzt die Lösung ....
Herzlichen Glückwunsch.....
Jetzt wissen alle Bescheid und der Fehler ist aus der "Welt"
Weiter so...
Antwort 14 von DJWolfgang
@TheBlackBird ®
danke für die Belehrung Herr Oberlehrer...könnten Sie dann bitte hier und jetzt das Problem lösen??
Wäre Ihnen sehr verbunden...
da wir ja alle anscheinend nur ein wenig dumm zu sein scheinen, dürfte die Lösung für Sie ja wohl ein Leichtes sein....
DJWolfgang
danke für die Belehrung Herr Oberlehrer...könnten Sie dann bitte hier und jetzt das Problem lösen??
Wäre Ihnen sehr verbunden...
da wir ja alle anscheinend nur ein wenig dumm zu sein scheinen, dürfte die Lösung für Sie ja wohl ein Leichtes sein....
DJWolfgang
Antwort 15 von _gau_
Komisch - wenn einer (TheBlackBird) mal eine ausführliche und kompetente Erklärung liefert, dann wird gleich auf ihm "rumgehackt".
Er hat niemanden für dumm erklärt, sondern nur (für mich übrigens ziemlich sachlich) einiges an "Halbwissen" und ein paar unausgegorene Tips korrigiert.
Im Übrigen halte ich seinen vorletzten Absatz ("Was will ich eigentlich damit...") nicht nur in diesem Thread, sondern allgemein im SN, für überaus bedenkenswert.
[gau]
Er hat niemanden für dumm erklärt, sondern nur (für mich übrigens ziemlich sachlich) einiges an "Halbwissen" und ein paar unausgegorene Tips korrigiert.
Im Übrigen halte ich seinen vorletzten Absatz ("Was will ich eigentlich damit...") nicht nur in diesem Thread, sondern allgemein im SN, für überaus bedenkenswert.
[gau]
Antwort 16 von SvenjaK
Hallo!
Hier möchte ich [gau] zustimmen. TheBlackBird hat sich m.E. sehr vorsichtig ausgedrückt, um niemandem an den Karren zu fahren und trotzdem gesagt, was er sagen wollte. Ich selber muss mir den Schuh hoffentlich nicht anziehen. Denn wenn ich versuche, jemandem zu helfen, dann entweder aus persönlicher Erfahrung oder weil ich gerade selber etwas gelesen habe, das jemand anderem helfen könnte. (Wieso glaube ich eigentlich, mich rechtfertigen zu müssen? ;-))
Aber obwohl ich selber ziemlicher DAU bin, würde ich einige der Tipps in diesem Thread ebenfalls vorsichtig ausgedrückt als "abenteuerlich" bezeichnen. Und wenn ich alle Tipps befolgt hätte, die man mir im SN gegeben hat, könnte ich mich bestimmt nicht mehr zu diesem Thema äußern. Guter Wille in allen Ehren (ich versuchs ja auch immer mal wieder), aber wie TBB ganz richtig bemerkt hat, sollte man fairerweise dem Fragesteller den eigenen Wissensstand (in dem jeweiligen Themenbereich) nicht vorenthalten, um die Sache nicht zu verschlimmbessern.
Ich hätte übrigens getippt, dass der Threaderöffner seine Festplatte gar nicht formatiert, sondern lediglich W2K drüber installiert hat. Ist aber auch nur sone DAU-Vermutung...
Gruß
Svenja
Hier möchte ich [gau] zustimmen. TheBlackBird hat sich m.E. sehr vorsichtig ausgedrückt, um niemandem an den Karren zu fahren und trotzdem gesagt, was er sagen wollte. Ich selber muss mir den Schuh hoffentlich nicht anziehen. Denn wenn ich versuche, jemandem zu helfen, dann entweder aus persönlicher Erfahrung oder weil ich gerade selber etwas gelesen habe, das jemand anderem helfen könnte. (Wieso glaube ich eigentlich, mich rechtfertigen zu müssen? ;-))
Aber obwohl ich selber ziemlicher DAU bin, würde ich einige der Tipps in diesem Thread ebenfalls vorsichtig ausgedrückt als "abenteuerlich" bezeichnen. Und wenn ich alle Tipps befolgt hätte, die man mir im SN gegeben hat, könnte ich mich bestimmt nicht mehr zu diesem Thema äußern. Guter Wille in allen Ehren (ich versuchs ja auch immer mal wieder), aber wie TBB ganz richtig bemerkt hat, sollte man fairerweise dem Fragesteller den eigenen Wissensstand (in dem jeweiligen Themenbereich) nicht vorenthalten, um die Sache nicht zu verschlimmbessern.
Ich hätte übrigens getippt, dass der Threaderöffner seine Festplatte gar nicht formatiert, sondern lediglich W2K drüber installiert hat. Ist aber auch nur sone DAU-Vermutung...
Gruß
Svenja
Antwort 17 von Caramelle
@Svenja: Also mit dem Sony Vaio hat das eben so seine Tücken, man hat nur diese 3 CDs für die Reparatur(Vogel friss oder stirb..). Erst hab ich es ja mit der Standartwiederherstellung versucht(entspricht whrsch. einem Drüberinstallieren) - hat aber das Problem nicht gelöst. In einem 2.Anlauf habe ich die Advanced-Version gewählt und bei dieser Gelegenheit auf NTFS formatiert (war vorher FAT32). Bin also davon ausgegangen, das ich alles ausradiert habe. Schon möglich, dass ich mir dann mit dem ungepatchten Betriebssystem gleich wieder einen Käfer eingefangen habe. Bin eben auch nur ein DAU...(seufz). Wenn ich es jetzt noch hinkriege, dass der Sony das alte Elsa Tango ISDN-Modem akzeptiert, kann ich endlich aufatmen - werde aber vorher nochmals ein paar "Wurmentferner" laufen lassen, bevor ich die LAN-Verbindung zu meinem anderen Rechner wieder installiere.
Bin langsam völlig neurotisch ! Wieso finden es diese Freaks so geil, irgendwelche Schädlinge ins Internet zu jagen ?
Bin langsam völlig neurotisch ! Wieso finden es diese Freaks so geil, irgendwelche Schädlinge ins Internet zu jagen ?
Antwort 18 von balduin
Hallo
Hat der Vaio nicht noch so eine kleine Konfigurations-Partition, wo diese Sony-Tools drauf sind.? Da könnte der Virus sich auch noch eingenistet haben.....und ab der Recovery-CD wird diese Partition nicht gelöscht.
Habe vor ca. 3Mt so ein Teil neu installiert....habe aber alle Partitionen gelöscht und direkt ab w2k-CD installiert....lief tadellos.
Gruss Balduin
Hat der Vaio nicht noch so eine kleine Konfigurations-Partition, wo diese Sony-Tools drauf sind.? Da könnte der Virus sich auch noch eingenistet haben.....und ab der Recovery-CD wird diese Partition nicht gelöscht.
Habe vor ca. 3Mt so ein Teil neu installiert....habe aber alle Partitionen gelöscht und direkt ab w2k-CD installiert....lief tadellos.
Gruss Balduin
Antwort 19 von Caramelle
@balduin:Von einer solchen Partition hätte ich zumindest nichts gemerkt; vielleicht ist dies bei den neueren Modellen so - meins ist ein PCG-FX209K und somit nicht mehr ganz aktuell. Übrigens, falls Du weisst wie ich das Gebietsschema "Grossbritannien" wegbekomme, lass es mich wissen. Ich habe alles auf Deutsch und Schweiz gestellt was ich finden konnte,aber in der Systeminformation erscheint immer Gebietsschema Grossbritannien.