Tips voor verwijderen Blaster.worm / Lovsan.worm
Veel mensen blijken problemen te hebben of weten niet hoe ze de Blaster worm moeten verwijderen. Hierdoor kan de worm nog steeds PCs besmetten. Inmiddels zijn er al meer dan 125.000 PCs besmet met Blaster. W32.Blaster is een Internetworm die gebruik maakt van een kwetsbaarheid in Microsoft Windows. Deze kwetsbaarheid is van toepassing op de volgende Windows-systemen: NT 4.0, 2000, XP en Server 2003. In het RPC protocol zit een fout bij het handelen van opdrachten richting een remote-systeem. In theorie kan een aanvaller volledige toegang krijgen over het systeem. Dit heeft tot gevolg dat:
- de computer onklaar wordt gemaakt en niet meer opstart
- de computer kan op afstand, bijvoorbeeld via het Internet, worden bestuurd door kwaadwillenden
- essentiële computerbestanden kunnen worden verwijderd, waardoor de computer niet meer werkt
- bestanden worden herschreven waardoor deze niet meer bruikbaar zijn.
- (Persoonlijke) gegevens, zoals bijvoorbeeld wachtwoorden of creditcardnummers, komen in handen van kwaadwillenden
- de computer stopt met functioneren en niet meer opstart
De volgende verwijder instructies zijn voor besmette PCs met Windows XP:
1. Verbreek de fysieke verbinding van de PC met netwerk of Internet (verwijder telefoon/netwerk kabel of wireless kaart).
2. Sluit het "msblast.exe" proces via Taakbeheer.
- Druk de toetsencombinatie Ctrl-Alt-Delete
- Selecteer de "Taakbeheer" optie
- Selecteer het "Processen" tabblad
- Kies "msblast.exe"
- Selecteer de "Proces beëindigen" optie, kies "Ja" als de waarschuwing verschijnt
3. Verwijder op de PC elk bestand met de naam "msblast.exe".
- Start -> Zoeken -> Bestanden of mappen
- Zoek naar "msblast.exe"
- Rechtermuisklik elk bestand en verwijder het
4. (Optioneel) Schakel DCOM uit
Hiervoor verwijzen wij u naar het Microsoft Security bulletin MS03-026
5. Zet de Internet Connection Firewall (ICF) aan
Hiervoor verwijzen wij u naar het Microsoft Knowledge Base Article 283673.
6. Herstart de PC en sluit deze weer aan op het netwerk of Internet.
7. Installeer de patch via Windows Update of via het Microsoft Security bulletin MS03-026.
- Ga via Internet Explorer naar Windows Update en volg de daar gegeven instructies met betrekking tot het installeren van beschikbare patches.
8. Lees en pas de laatste maatregelen toe zoals beschreven in het Microsoft Security bulletin MS03-026.
Er zijn inmiddels ook removal tools verschenen die de worm automatisch verwijderen:
Symantec W32.Blaster.Worm Removal Tool
McAfee AVERT Stinger
Trend Micro System Cleaner
Met dank aan de Waarschuwingsdienst en VirusAlert.
GD
Ik heb geen verstand van computers dus deze techniek is zeer aan te raden:
Voer het stap voor stap uit:
1. Start je computer op veilig modus op met verbindingsmogelijkheden.
Dit doe je door je computer aan te zetten en tegelijkertijd f8 in te drukken. Het kan zijn dat dit de eerste keer niet lukt, probeer het dan gewoon opnieuw. Je krijgt dan als het goed is een scherm en dan ga je met de pijltjestoetsen naar ' veilig modus met verbindingsmogelijkheden. Druk dan op enter. De computer start op, voer zo nodig je inlog wachtwoord in.
2. Je zult misschien alles een beetje vergroot zien, dit hoort. Zorg dat (draadloos) netwerkverbinding hebt en start internet op. Ga naar de site http://free.antivirus.com/hijackthis/ . Je ziet daar onder een link staan, klik daarop (je download Hijackthis). Dit is een veilig programma dat spyware e.d. kan verwijderen.
3. Als je de link hebt aangeklikt download je het; dat gaat bij iedereen anders. Zorg dat je het uitvoert. Bij sommige komt er ook een snelkoppeling op het bureaublad te staan.
4. Open je gedownloade Hijackthis. (klik op de snelkoppeling op je bureaublad of zoek via 'zoeken'/alle programma's naar Hijackthis)
5. Als je het programma opent krijg je een scherm met zinnen die beginnen met O3, R1, enz. Ook een kladblok met daarin een stuk tekst waar je niks van snapt. selecteer deze tekst uit het kladblok en kopieer deze (ctrl en c tegelijk indrukken of met rechtermuisknop).
6. Ga dan naar http://hijackthis.de/ . Je ziet daar een soort wit tekstvak staan, plak daar de tekst uit je kladblok (ctrl en v tegelijk indrukken of rechter muisknop). Scroll naar onder en druk op Analyse.
7. Je krijgt nu een rij met 'programma's' e.d. van jou computer. Zoek je virus, dus blasterworm. Er staat i.p.v. een vinkje een vraagteken of kruisje. Als je je virus hebt gezien, bekijk dan wat er voor staat (links). Als het goed is staat er een letter en getal (bijvoorbeeld ook R2) voor. Onthoud die, en zoek in je Hijackthis programma wat je open hebt gemaakt naar exact hetzelfde getal. (De twee moeten dus overeenkomen). Klik deze (1x) aan zodat hij geselecteerd word, en druk op de knop NAAST scan (iets met fixed/fixen ofzo?)
Ze vragen of je het écht wil deleten, accepteer dit gewoon.
8. Sluit de computer af en zet hem weer gewoon aan (hij start automatisch weer normaal op) en als het goed is, is je virus nu verdwenen!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!