Zum Inhalt springen
  • Das GSF wandelt Links in Affiliate Links um, um ggf. eine Provision erhalten zu können. Gerne nutzen bitte, danke! Mehr Infos, wie ihr das GSF unterstützen könnt, findet ihr im GSF Support Topic.

Empfohlene Beiträge

Geschrieben

Hallo,

ich hab das Problem, daß mein WinXP immer nach ein paar Minuten runterfährt. Der Rechner labert da was von einem NT Authorität\System und gibt mir dann 40 Sekunden alles zu speichern und startet neu.

Der Dienst Remoteprozeduraufruf (RPC) wurde anscheinend unerwartet beendet...

Hat jemand 'ne Ahnung was das soll?

Gruß, Heppi.

Geschrieben

Würd mal probeweise ein Paar andere RAM-Riegel reinstecken, könnte ein Timingfehler deines Speichers sein. Hatte so ein ähnliches Phänomen, war der Speicher.

gruß mopedkerl

Geschrieben

... also war ich nicht alleine ... KACKE!!! :-(:-(:-(

Abhilfe (für DAUs wie mich :-D ):

- Norton AV mit neuester Definitionsdatei

- symantec Removal Tool (von hier)

Ob's der MS-Patch bringt, weiß ich nicht ... mal sehen :-(

Geschrieben

lad dir den patch runter, nimm die kiste vom netz,

geh in die msdos eingabe ( start - ausführen, cmd, enter )

dann gehst ins system32 verz.

cd windows\system32

dann löscht du die msblast.exe

( del msblast.exe )

wenns net löschen lasst bennene sie um

ren msblast.exe oaschloch

dann neustart, dann patch dann sollts wieder gehn..

Geschrieben

Kann es auch sein dass wenn man den Virus drauf hat man keine dateien mehr verschieben kann und bei mobile o.ä. keine "weitere Bilder" mehr öffnen kann? Wenn ich auf nen Link klicke dann geht auch nix!

Geschrieben (bearbeitet)

@Barnosch: stimmet nicht.

In dem Fall hat Pinto überdies schon den richtigen Hinweis gegeben. Allerdings bringen Patches (Der ganz spezielle wäre übrigens der hier gewesen), Antiviren-Updates etc. in so einem Falle nichts mehr. (Mich wundert nur, daß noch niemand ne PF empfohlen hat ... :-D ) Die "line of defense" wurde überschritten. Game over - mein Beileid :-(

Warum ist das so?

Der Punkt ist, daß der RemotePorocedureCall-Bug von dem Wurm auch in der Weise ausgenutzt wird, daß er - wie in obiger Heise-Nachricht auch nachzulesen - zusätzliche "Kommunikationstürchen" aufmacht, die nahezu jedes Kommando auf der penetrierten Maschine erlauben. (Der Wurm-"Dienst" läuft mit Administrator-Privilegien, die an die ausgeführten Kommandos "vererbt" werden.) Die Folge ist, daß an Deinem Rechner so ziemlich alles manipuliert sein könnte. Ein Anti-Viren-Programm kann aber nur entdecken und beseitigen, was es von offizieller Hersteller-Seite als Schadroutine (er)kennt. Die Schäden, die durch die Schadroutine selbst angerichtet wurden oder von Leuten, die sie ausnutzten, nicht. Ergo: nimm die Wurm- und Virenschleuder vom Netz, mach ein Backup Deiner Daten (keine Programme sichern, keine Patches, keine Installationsroutinen, nix!), und spiel den Rechner komplett neu auf. Bei der Gelegenheit würde ich mich an Deiner Stelle ein bischen mit den Sicherheitseinstellungen Deines Betriebssystems vertraut machen, immer brav die neuesten Sicherheitspatches einspielen, sowie "proaktiv" das hier jeden Morgen vor dem Frühstück lesen:

http://cert.uni-stuttgart.de/ticker/

EDIT: Das ist insofern von Bedeutung, als etwa die Forensik für den umlaufenden Wurm noch nicht abgeschlossen ist, die Lücke selbst aber mit einem "proof of concept"-Code-Schnipsel bereits vor 2 Wochen auf diversen Hackerseiten dokumentiert wurde, woraufhin sie auch im RUS-CERT-Ticker gemeldet wurde. Du hättest dann immerhin den RPC-Service runterfahren (sofern er nicht für das System auch StandAlone kritisch ist) oder mittels eines (EXTERNEN!) IP-Filters für Zugriff von außen sperren können, solange Mickey$oft den Patch noch nicht liefert.

Für die Zukunft viel Glück!

Bearbeitet von Lacknase
Geschrieben

ach komm Lacknase, nur nicht so bescheiden :-D

Mich hat dieser Arschlochwurm auch erwischt.

Habs removed und den MS patch auch draufgemacht. Tut wieder alles wie vorher (ohne "ich fahr mich wenn ich keinen Bock mehr hab selber runter- modus)

Du meinst ich sollte alles nochmal draufmachen?

Ich dreh durch. die scheiss mühle läuft aber perfekt gerade (bis auf diesen Wurm gestern)

Kann ich nicht noch irgendwie anders prüfen, was der mir noch zerschossen hat?

Ich will nicht neu installieren!

Nein, nein, nein.

Dann ess ich auch meine Suppe nicht.

Geschrieben

Laufen lassen? Naja. Das muß zunächst mal jeder selber wissen. WENN Du eine Prüfsummen-Überwachung a la tripwire laufen hast, kannst Du Dir freilich einen Bericht der modifizierten/verschwundenen/hinzugekommenen Binaries geben lassen. (WENN tripwire nicht modifiziert wurde ...) Dann hast Du (theoretisch) ein wenig mehr Sicherheit bei der Entscheidung. Ich würde allerdings keinem Produktivsystem mehr vertrauen, das mal geentert war, und wo infolge dessen Dienste liefen, die beliebigen Zugriff auf das System erlaubten. Und selbst bei $DADDELKISTE hätte ich Skrupel, da man im dümmsten Fall damit rechnen muß, daß $DADDELKISTE dazu benutzt wird/werden kann, andere zu schädigen. Und wo in Deutschland die Beweislast liegt, kannste an drei Fingern abzählen. :-D

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
  • Wer ist Online   0 Benutzer

    • Keine registrierten Benutzer online.


×
×
  • Neu erstellen...

Wichtige Information