Nieuws
image

Tips voor verwijderen Blaster.worm / Lovsan.worm

woensdag 13 augustus 2003, 10:12 door Redactie, 2 reacties

Veel mensen blijken problemen te hebben of weten niet hoe ze de Blaster worm moeten verwijderen. Hierdoor kan de worm nog steeds PCs besmetten. Inmiddels zijn er al meer dan 125.000 PCs besmet met Blaster. W32.Blaster is een Internetworm die gebruik maakt van een kwetsbaarheid in Microsoft Windows. Deze kwetsbaarheid is van toepassing op de volgende Windows-systemen: NT 4.0, 2000, XP en Server 2003. In het RPC protocol zit een fout bij het handelen van opdrachten richting een remote-systeem. In theorie kan een aanvaller volledige toegang krijgen over het systeem. Dit heeft tot gevolg dat:


  • de computer onklaar wordt gemaakt en niet meer opstart
  • de computer kan op afstand, bijvoorbeeld via het Internet, worden bestuurd door kwaadwillenden
  • essentiële computerbestanden kunnen worden verwijderd, waardoor de computer niet meer werkt
  • bestanden worden herschreven waardoor deze niet meer bruikbaar zijn.
  • (Persoonlijke) gegevens, zoals bijvoorbeeld wachtwoorden of creditcardnummers, komen in handen van kwaadwillenden
  • de computer stopt met functioneren en niet meer opstart

De volgende verwijder instructies zijn voor besmette PCs met Windows XP:

1. Verbreek de fysieke verbinding van de PC met netwerk of Internet (verwijder telefoon/netwerk kabel of wireless kaart).

2. Sluit het "msblast.exe" proces via Taakbeheer.


  • Druk de toetsencombinatie Ctrl-Alt-Delete
  • Selecteer de "Taakbeheer" optie
  • Selecteer het "Processen" tabblad
  • Kies "msblast.exe"
  • Selecteer de "Proces beëindigen" optie, kies "Ja" als de waarschuwing verschijnt

3. Verwijder op de PC elk bestand met de naam "msblast.exe".


  • Start -> Zoeken -> Bestanden of mappen
  • Zoek naar "msblast.exe"
  • Rechtermuisklik elk bestand en verwijder het

4. (Optioneel) Schakel DCOM uit

Hiervoor verwijzen wij u naar het Microsoft Security bulletin MS03-026

5. Zet de Internet Connection Firewall (ICF) aan

Hiervoor verwijzen wij u naar het Microsoft Knowledge Base Article 283673.

6. Herstart de PC en sluit deze weer aan op het netwerk of Internet.

7. Installeer de patch via Windows Update of via het Microsoft Security bulletin MS03-026.


  • Ga via Internet Explorer naar Windows Update en volg de daar gegeven instructies met betrekking tot het installeren van beschikbare patches.

8. Lees en pas de laatste maatregelen toe zoals beschreven in het Microsoft Security bulletin MS03-026.

Er zijn inmiddels ook removal tools verschenen die de worm automatisch verwijderen:

Symantec W32.Blaster.Worm Removal Tool

McAfee AVERT Stinger

Trend Micro System Cleaner

Met dank aan de Waarschuwingsdienst en VirusAlert.

Reacties (2)
02-10-2003, 15:41 door Anoniem
Ik heb dit allemaal geprobeert en toch zit er iets niet goed ik krijg nog steeds een melding dat windows opnieuw moet worden opgestart precies het zelfde als daar voor niks help WAT MOET IK NU HELP AUB ik weet het echt niet meer ik krijg steed die melding RPC protocol is een fout opgetrenden windows moet opnieuw worden opgestart IK WEET HET ECHT NIET MEER HELP AUB
GD
16-03-2012, 23:08 door Anoniem
Ik had ook dit virus en bij mij deed echt heel internet het niet meer. Uiteindelijk heb ik het heel simpel kunnen verwijderen.
Ik heb geen verstand van computers dus deze techniek is zeer aan te raden:

Voer het stap voor stap uit:
1. Start je computer op veilig modus op met verbindingsmogelijkheden.
Dit doe je door je computer aan te zetten en tegelijkertijd f8 in te drukken. Het kan zijn dat dit de eerste keer niet lukt, probeer het dan gewoon opnieuw. Je krijgt dan als het goed is een scherm en dan ga je met de pijltjestoetsen naar ' veilig modus met verbindingsmogelijkheden. Druk dan op enter. De computer start op, voer zo nodig je inlog wachtwoord in.
2. Je zult misschien alles een beetje vergroot zien, dit hoort. Zorg dat (draadloos) netwerkverbinding hebt en start internet op. Ga naar de site http://free.antivirus.com/hijackthis/ . Je ziet daar onder een link staan, klik daarop (je download Hijackthis). Dit is een veilig programma dat spyware e.d. kan verwijderen.
3. Als je de link hebt aangeklikt download je het; dat gaat bij iedereen anders. Zorg dat je het uitvoert. Bij sommige komt er ook een snelkoppeling op het bureaublad te staan.
4. Open je gedownloade Hijackthis. (klik op de snelkoppeling op je bureaublad of zoek via 'zoeken'/alle programma's naar Hijackthis)
5. Als je het programma opent krijg je een scherm met zinnen die beginnen met O3, R1, enz. Ook een kladblok met daarin een stuk tekst waar je niks van snapt. selecteer deze tekst uit het kladblok en kopieer deze (ctrl en c tegelijk indrukken of met rechtermuisknop).
6. Ga dan naar http://hijackthis.de/ . Je ziet daar een soort wit tekstvak staan, plak daar de tekst uit je kladblok (ctrl en v tegelijk indrukken of rechter muisknop). Scroll naar onder en druk op Analyse.
7. Je krijgt nu een rij met 'programma's' e.d. van jou computer. Zoek je virus, dus blasterworm. Er staat i.p.v. een vinkje een vraagteken of kruisje. Als je je virus hebt gezien, bekijk dan wat er voor staat (links). Als het goed is staat er een letter en getal (bijvoorbeeld ook R2) voor. Onthoud die, en zoek in je Hijackthis programma wat je open hebt gemaakt naar exact hetzelfde getal. (De twee moeten dus overeenkomen). Klik deze (1x) aan zodat hij geselecteerd word, en druk op de knop NAAST scan (iets met fixed/fixen ofzo?)
Ze vragen of je het écht wil deleten, accepteer dit gewoon.
8. Sluit de computer af en zet hem weer gewoon aan (hij start automatisch weer normaal op) en als het goed is, is je virus nu verdwenen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure