PDA

Vollständige Version anzeigen : Remote Hack fährt Windows runter


daabrippa
11-08-2003, 22:06
PROBLEM:
Ich zock Yuri, die Firewall hatte ich aus wegen rotem Ping.

Dann kam bei mir in Windows so ein Fenster -> Remote Procedure Call RPC <irgendwas> ist fehlgeschlagen, der Rechner wird heruntergefahren. Danach zählt ein Countdown von 45 auf 0 und peng. Ende im Gelände.

Danach wieder in Yuri, hab ein Spiel gemacht und plötzlich sagte TurkYuriz (sorry falls ich den Nick falsch geschrieben habe), dass sein Rechner in 30 Sekunden runterfährt. Das selbe Ding. Ich denke da ist einer zugange der wieder irgend ein Sicherheitsloch von Windows ausnutzt.

LÖSUNG:

Nach dem Neustart meldet meine Firewall dass msblast.exe versucht auf das I-Net zuzugreifen. Hab ich natürlich geblocked und mal nach dem Ding gesucht. Also es heißt msblast.exe und liegt im Verzeichnis C:\Windows\System32. Dazu liegt ebenfalls noch ein msblast.exe.prefetch rum. Diese beiden Files löschen. (Dazu den Task msblast.exe im Taskmanager abschiessen -> strg+alt+entf, Prozesse und msblast.exe anklicken, dann auf Prozess beenden klicken)

Dagegen hilft bei mir folgendes:

-> FIREWALL AN <- auch wenn es nen roten Ping bedeutet.

P.S. Ich hab Win XP Prof ohne SP1, kA ob das auf anderen Systemen ebenfalls funktioniert.

Sting6789
11-08-2003, 22:21
also mein bruder hatte genau das selbe prob nur er kann sie nit löschen dann hat er sie einfach umbenannt

Gonzo
11-08-2003, 22:29
lösung im thread "Remoteprozeduraufruf"
is nen xp-bug , gibs bei ms nen patch

daabrippa
11-08-2003, 22:34
Kannst Du bitte auch den Link posten? Danke...;)

EsFriert
11-08-2003, 22:38
jo, habe das selbe problem, echt scheisse!!!

Gonzo
11-08-2003, 22:55
also gut, hier der patch zum saugen
Remote-Patch (http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-
9532-3de40f69c074&DisplayLang=de)

ihr müßt aber zuerst in "msconfig" das "msblast" deaktivieren
anschließend rechner neu starten und dann in windows/system32 die datei "msblast.exe" löschen
dann den patch ausführen
viel glück
p.s.: die hätten genauso gut einfach alle festplatten löschen können, noch mal glück gehabt

golddime
12-08-2003, 00:30
hab das problem auch seit heute.
ist zum kotzen echt

Comora
12-08-2003, 01:28
Zum schnellen saugen hier die Links

Deutsch (http://www.gwdg.de/samba/updates/winxp/de/WindowsXP-KB823980-x86-DEU.exe ) :D

Englisch (http://www.gwdg.de/samba/updates/winxp/us/WindowsXP-KB823980-x86-ENU.exe ) :D

Wer auf die Seite von Microsoft will hier das

Deutsche (http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&DisplayLang=de) :rolleyes:


Aber bevor ihr startet erst mit strg und alt und entf in Task Manager und da auf Prozesse gehen.

Bei dem File " msblast.exe " mit Rechten Mausdruck auf Prozess beenden machen, dann das Update starten !!!


Gruss Como

EsFriert
12-08-2003, 14:46
hier noch ein tool um nach dem würmchen zu suchen:

http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Comora
12-08-2003, 17:01
Original geschrieben von EsFriert
hier noch ein tool um nach dem würmchen zu suchen:

http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html


Ist down !

Die Seite kann nicht angezeigt werden.

Hier die Info und den Wurm (http://de.bitdefender.com/virusi/virusi_descrieri.php?virus_id=139) - Finder


Gruss Como

CNCAaron
12-08-2003, 19:28
:blah: GRÜß GOTT!!!

Jo da mein Freund Viktor auch das Problem hat und ihr FoF's ja auch zu unseren vertrauten gehören , habe ich mich mal schlau gemacht .

Meine firewall hat mich zum glück vor diesem sche*ß bewahrt ;)

Ok also hier ist ein gutes remove tool das den w32 blaster entfernt falls ihr euch ihn eingefangen habt :

Blaster Entfernen Download (http://securityresponse.symantec.com/avcenter/FixBlast.exe)

Und hier der neueste sicherheitspatch von MS :

MS Patch für RPC Für XP Alle (http://download.microsoft.com/download/9/6/9/9692371d-a587-42bd-81ba-0df4982040ae/WindowsXP-KB823980-x86-DEU.exe)

Sind eigentlich die 2 efektivsten mittel um es erstmal zur ruhe zu bringen , zusätzlich würde ich euch empfehlen eure platten zu durchsuchen nach verdächtigen datein die mit blast oder blaster zu tun haben könnten.

Auch die registry sicherheitshalber durch suchen nach eventuellen überbleibsl.

Und deaktiviert nicht benötigte Remote dienste und anwendungen.

Was aber am wichtigsten ist , wäre die Ports zu schließen die diese anwendungen benutzt , das wären :

TCP-/UDP-Port 135
TCP-/UDP-Port 139
TCP-/UDP-Port 445

Ach ja übrigens sind auch Betriebssysteme win2k win2k3server und alle xp versionen betroffen.

Hier ein MS info link , lest selbst nochmal nach :

Info MS & Download links (http://support.microsoft.com/?scid=kb;de;823980)

Drück euch allen die daumen die mit diesem problem zu tun haben ,

Ps. Es muß nicht immer der wurm bzw virus sein , sondern auch paar kids machen sich nen spaß draus , da MS leider zuviele sicherheitslücken in ihren system haben , per vb scribts usw.

Greetz
Aaron

Icexxzero
12-08-2003, 20:53
Ebend gerade bei den Rtl2 news wurde auch ein wurm benannt den mein bruder heute morgen bekam!

Hier ein paar infos zu den da dargestellten wurm

saemikneu
13-08-2003, 00:17
Huch!!!!

Am 16.August.2003 plant sein Macher einen gewaltigen Angriff auf den automatischen Windows-Update-Server von Microsoft , der die Betriebssysteme komplett lahm legen soll.

Noch 3 Tage!!

Will wie er das machen?

Gonzo
13-08-2003, 00:49
na ganz einfach
jeder rechner auf dem der virus noch drauf ist und online ist startet einen DoS-Angriff auf windowsupdate.com

fadmax
13-08-2003, 01:47
Da schon alles gesagt ist glaub ich das ich etwas spät bin. Aber darüber existiert auch schon ein Thread.

Dennis:cool:

golddime
13-08-2003, 23:36
Für alle die es trotzdem noch interessiert den eintrag den lovsan in der registry erstellt lautet:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update

also löschen falls das noch drinn ist - zur sicherheit. :)


Auch hier nachzulesen, sehr schön aufgelistet für alle die sich für so was näher interessieren, oder noch immer probleme haben.

http://f-secure.com/v-descs/msblast.shtml

MafiaTanX
14-08-2003, 11:46
ich hatte es auch nuja jetzt net mehr aba ich wollte eben die msbalast löschen aba dann steht da das ich die net löschen kann!!

sie is net schreib geschützt :confused:

naja ich habs bei "msconfig" gelöscht und mir den patch da runter geladen!

Gonzo
14-08-2003, 13:42
in der msconfig löscht dur nur den start-befehl beim systemstart
taskmanager , dort in prozesse ggf. die msblast.exe beenden
anschließend kannst du dann die datei auch löschen

german678
14-08-2003, 18:20
Ist kein Schutz drauf. Ist ganz normal das man die Datei nicht löschen kann wenn die geöffnet ist. Wie gesagt die löschst wenn du den Prozess bei dem Taskmanager beendest. In den Taskmanager kommtse mit alt+strg+entf:D

german678
15-08-2003, 19:21
Nur noch wenige Stunden, dann beginnt Blaster seinen Großangriff auf die Microsoft-Website. Der Wurm ist so programmiert, dass er den Datenbeschuss beginnt, sobald das Systemdatum des Rechners auf den 16. springt. Es werden daher zunächst Rechner im pazifischen Raum (ab 0:00 Uhr Ortszeit) die Attacke starten - aufgrund der Zeitverschiebung also heute Abend gegen 18 Uhr (MEZ). In Deutschland beginnt der Angriff direkt nach Mitternacht. Somit ist der letzte Tag gekommen, an dem PCs noch vor der Attacke gegen Blaster gesichert werden können. Die Vorgehensweise richtet sich danach, ob der Wurm das System schon befallen hat oder nicht.

Wie ihr hört startet heute Nacht um 0 Uhr der angriff auf microsoft. Jeder der noch den Blast drauf hat könnte sich als Problem für microsoft darstellen. Denn sowiet ich es mitbekommen habe greift dann der pc die downloade seite von microsoft an. Wer den Wurm noch drauf sollte ihn schleunigst entfernen. Ausserdem wird das i-net am Wochenende sau lahm werden sagen Experten:grrr:

Sting6789
15-08-2003, 19:23
die ersten angriffe sind schon um 18 uhr gewesen wegen der zeitverschiebung