WinXP fährt immer selbst runter...

[Heppi]

Hallo,

ich hab das Problem, daß mein WinXP immer nach ein paar Minuten runterfährt. Der Rechner labert da was von einem NT Authorität\System und gibt mir dann 40 Sekunden alles zu speichern und startet neu.

Der Dienst Remoteprozeduraufruf (RPC) wurde anscheinend unerwartet beendet...

Hat jemand 'ne Ahnung was das soll?

Gruß, Heppi.

[mopedkerl]

Würd mal probeweise ein Paar andere RAM-Riegel reinstecken, könnte ein Timingfehler deines Speichers sein. Hatte so ein ähnliches Phänomen, war der Speicher.

gruß mopedkerl

[Pinto]

http://heise.de/newsticker/data/dab-12.08.03-000/

[t4.]

... also war ich nicht alleine ... KACKE!!!

Abhilfe (für DAUs wie mich ):

- Norton AV mit neuester Definitionsdatei

- symantec Removal Tool (von hier)

Ob's der MS-Patch bringt, weiß ich nicht ... mal sehen

[tintifax]

lad dir den patch runter, nimm die kiste vom netz,

geh in die msdos eingabe ( start - ausführen, cmd, enter )

dann gehst ins system32 verz.

cd windows\system32

dann löscht du die msblast.exe

( del msblast.exe )

wenns net löschen lasst bennene sie um

ren msblast.exe oaschloch

dann neustart, dann patch dann sollts wieder gehn..

[Lucki]

Kann es auch sein dass wenn man den Virus drauf hat man keine dateien mehr verschieben kann und bei mobile o.ä. keine "weitere Bilder" mehr öffnen kann? Wenn ich auf nen Link klicke dann geht auch nix!

[Barnosch]

Am besten wartet Ihr, bis das "Lacknäschen" hier war.

Der weiß Computertechnisch alles !

[Dr.Paulaner]

pffffttttt dann soll andi das machen...

[Lacknase]

@Barnosch: stimmet nicht.

In dem Fall hat Pinto überdies schon den richtigen Hinweis gegeben. Allerdings bringen Patches (Der ganz spezielle wäre übrigens der hier gewesen), Antiviren-Updates etc. in so einem Falle nichts mehr. (Mich wundert nur, daß noch niemand ne PF empfohlen hat ... ) Die "line of defense" wurde überschritten. Game over - mein Beileid

Warum ist das so?

Der Punkt ist, daß der RemotePorocedureCall-Bug von dem Wurm auch in der Weise ausgenutzt wird, daß er - wie in obiger Heise-Nachricht auch nachzulesen - zusätzliche "Kommunikationstürchen" aufmacht, die nahezu jedes Kommando auf der penetrierten Maschine erlauben. (Der Wurm-"Dienst" läuft mit Administrator-Privilegien, die an die ausgeführten Kommandos "vererbt" werden.) Die Folge ist, daß an Deinem Rechner so ziemlich alles manipuliert sein könnte. Ein Anti-Viren-Programm kann aber nur entdecken und beseitigen, was es von offizieller Hersteller-Seite als Schadroutine (er)kennt. Die Schäden, die durch die Schadroutine selbst angerichtet wurden oder von Leuten, die sie ausnutzten, nicht. Ergo: nimm die Wurm- und Virenschleuder vom Netz, mach ein Backup Deiner Daten (keine Programme sichern, keine Patches, keine Installationsroutinen, nix!), und spiel den Rechner komplett neu auf. Bei der Gelegenheit würde ich mich an Deiner Stelle ein bischen mit den Sicherheitseinstellungen Deines Betriebssystems vertraut machen, immer brav die neuesten Sicherheitspatches einspielen, sowie "proaktiv" das hier jeden Morgen vor dem Frühstück lesen:

http://cert.uni-stuttgart.de/ticker/

EDIT: Das ist insofern von Bedeutung, als etwa die Forensik für den umlaufenden Wurm noch nicht abgeschlossen ist, die Lücke selbst aber mit einem "proof of concept"-Code-Schnipsel bereits vor 2 Wochen auf diversen Hackerseiten dokumentiert wurde, woraufhin sie auch im RUS-CERT-Ticker gemeldet wurde. Du hättest dann immerhin den RPC-Service runterfahren (sofern er nicht für das System auch StandAlone kritisch ist) oder mittels eines (EXTERNEN!) IP-Filters für Zugriff von außen sperren können, solange Mickey$oft den Patch noch nicht liefert.

Für die Zukunft viel Glück!

Bearbeitet 12. August 2003 von Lacknase

[Barnosch]

ach komm Lacknase, nur nicht so bescheiden

Mich hat dieser Arschlochwurm auch erwischt.

Habs removed und den MS patch auch draufgemacht. Tut wieder alles wie vorher (ohne "ich fahr mich wenn ich keinen Bock mehr hab selber runter- modus)

Du meinst ich sollte alles nochmal draufmachen?

Ich dreh durch. die scheiss mühle läuft aber perfekt gerade (bis auf diesen Wurm gestern)

Kann ich nicht noch irgendwie anders prüfen, was der mir noch zerschossen hat?

Ich will nicht neu installieren!

Nein, nein, nein.

Dann ess ich auch meine Suppe nicht.

[Lacknase]

Laufen lassen? Naja. Das muß zunächst mal jeder selber wissen. WENN Du eine Prüfsummen-Überwachung a la tripwire laufen hast, kannst Du Dir freilich einen Bericht der modifizierten/verschwundenen/hinzugekommenen Binaries geben lassen. (WENN tripwire nicht modifiziert wurde ...) Dann hast Du (theoretisch) ein wenig mehr Sicherheit bei der Entscheidung. Ich würde allerdings keinem Produktivsystem mehr vertrauen, das mal geentert war, und wo infolge dessen Dienste liefen, die beliebigen Zugriff auf das System erlaubten. Und selbst bei $DADDELKISTE hätte ich Skrupel, da man im dümmsten Fall damit rechnen muß, daß $DADDELKISTE dazu benutzt wird/werden kann, andere zu schädigen. Und wo in Deutschland die Beweislast liegt, kannste an drei Fingern abzählen.