Virus / Rechner startet wegen RPC Fehlermeldung neu

[~Idefix~]

@Admins
Ich weis, es gehört nicht hier rein, aber wahrscheinlich sehen es hier mehr Leute und es haben glaube ich verdammt viele damit ein Problem.

@alle Anderen.

Es ist ein Wurm unterwegs, der über TCP Port 2xx irgendeinen Pufferüberlauf verursacht, sich dann auf die HDD überträgt, ausführt und weiterverbreitet. Das Euer System anfällig oder Infiziert ist, erkennt man daran, dass der eigene PC auf einmal unaufhaltsam mit einer Vorwarnfrist von 60 Sekunden neu startet. Betroffen sind folgende Plattformen:

Windows NT 4
Windows XP
Windows 2000
Windows Server

So wird man den Virus los:

- Tool von Symantec runterladen
http://www.sarc.com/avcenter/venc/data/ ... .tool.html
- Patch von Microsoft runterladen:
http://www.microsoft.com/germany/ms/tec ... 03-026.htm
- Internetverbindung trennen.
- Systemwiederherstellung deaktivieren (Eigenschaften von Arbeitsplatz/Systemwiederherstellung) [win xp und ggf. andere systeme]
- Tool ausführen
- System Patchen
- neu starten
- systemwiederherstellung aktivieren
- manuell nach folgender Datei suchen und ggf. löschen
"msblast.exe"
-fertig

Infos gibts hier:
http://www.heise.de/newsticker/data/dab-12.08.03-000/
http://www.heise.de/newsticker/data/dab-12.08.03-001/

Viel Glück

Gruß

~Idefix~

zu spät! hab grad daraufhin mein rechner komplett neu aufgesetzt

naja dennoch danke zur vorsorgung!

gruß Danny, der alle 60sek einen neustart machen mußte

[~Idefix~]

Dann Patche jetzt. Sonst tritt das Problem wieder auf, weil der Virus wie gesagt nicht über Dateien, emails oder ähnliches sondern über eine Sicherheitslücke im System übertragen wird.

~Idefix~

[Arne]

hi,
gestern hatte eine freundin auch das problem. die fehlerdiagnose über icq war witzig. ständig war sie weg, dann wieder kurz da, dann wieder weg und so weiter... gestern abend lief der rechner dann aber wieder normal.

PS: selber schuld, wer winDOS benutzt!

arne, gentoo user

[~Idefix~]

Naja. Man kann ja auch DSB installieren. Dann hat man das Problem nicht. Aber bringt ja auch Nachteile mit sich.

~Idefix~

[verdi]

linux ruled halt doch

und alle windows systeme hier im haus hängen zum glück hinter nem linux router

[hansenh]

Was bin ich froh, daß diese ganzen Viren für Windows gebaut werden. Mein Linux ist gegen dieses Virus immun.

Heiko

P.S.: was ist der Unterschied zwischen "ja" und "ja" bzw. "nein" und "nein"? Oder sehe ich doppelt?

[killed2]

Habe mein Windows Server 2003 (als Workstation) erst am Wochenende installiert, und alle PAtches gleich installiert.
Also keine Probleme
Bin ansonsten sehr zufrieden mit diesem Windows, es ist schneller und stabiler als XP, und (nach einigen Einstellungen) einfach genial zum zocken.

ciao,
marcel

[~Idefix~]

Ich hatte Probleme mit der Umfrage und weis nicht, wie ich das doppelte wieder wegkriege.

[killed2]

editiere deine 1. Nachricht, dann kannst du unten die antworten löschen.
ich weiß aber nicht, ob es geht, da schon leute geantwortet/gevotet haben.

ciao,
marcel

[~Idefix~]

Sorry, geht nicht.
Ich hatte am Anfang die Umfrage drin, dann habe ich einen Rechtschreibfehler korrigiert und sie war weg.
Dann hab ich sie wieder hingemacht und seitdem sind alle Antworten doppelt und ich kann nix mehr ändern.

;(

danke !

endlich läuft hier wieder alles
Und ich hab mich schon gewundert, 3mal neuinstalliert ...

[Arne]

hi,
ich habe mal die umfrage gefixt. leider sind alle bisher abgegebenen stimmen weg.

arne

[~Idefix~]

Zitat:

Zitat von Arne

hi,
ich habe mal die umfrage gefixt. leider sind alle bisher abgegebenen stimmen weg.

arne

THX

~Idefix~

[Memme]

Bei meiner Freundin hat er auch zugeschlagen, allerdings war mir eine
Fehlerdiagnose via ICQ zu kopliziert, bin auf's Telefon umgestiegen

Meine Rechern werden zu Glück von einem freilaufenden Pinguin in meinem
Fli4l Router geschützt. Ich mag mir zur Zeit gar nicht die Log-Dateien der Firewall ansehen, die sind so
laaaaaaaang.

Hab gerade bei T-Online eine Umfrage zu dem Thema gesehen:
fast 25.000 Teilnehmer und rund 67 % hat es erwischt

Memme

Hatte ihn zum Glück auch nicht,
aber zwei Kumpels.

Dank Firewall bleibt er bei mir außen vor, aber alle 5-10 Minuten
kommt ne Anfrage auf den entsprechenden Port,
also geht ganz schön rund der Wurm

ich war in nem chat und fand das ganze ultralustig, 20 leute drinne, 17 davon sind immer irgendwann weg gewesen und dauernd stand da "oh nein schon wieder der countdown..."
auch wenn ich viren nicht mag, muss man das ganze ja mit humor nehmen
Der Virus hat ja zum Glück nichts zerstört und vielleicht hatte der ein oder andere der am Computer arbeitet dadurch nen halben tag frei

ich sag da auch nur linux rult
zum glück hab ich im moment eins drauf, mit dem ich außer zocken alles mache(vorbereitung informatik studium). da kann nix anbrennen.

in der ct war anfang des jahres knopix drauf, gut zum schauen was mit linux geht. nächste ausgaabe knopix als reiner virenscanner, ist für solche fälle uch ganz hilfreich!
ist ne empfehlung für alle die in die richtung probs haben, die 2 ct sind einfach pflicht!

[Sensenmann]

viel cooler find ich den Wurm: http://www.heise.de/security/news/meldung/39358

den täte ich auch freiwillig als Untermieter mitnehmen, da der am 16.08 Webweit Internetattacken auf den MS UpdateServer fährt

Sensenmann

Zitat:

Zitat von Sensenmann

viel cooler find ich den Wurm: http://www.heise.de/security/news/meldung/39358

den täte ich auch freiwillig als Untermieter mitnehmen, da der am 16.08 Webweit Internetattacken auf den MS UpdateServer fährt

Sensenmann

darum geht es doch!

Hatte den Wurm nicht!!

Firewall!!

Habe aber vosichtshalber remove-tool und patch runtergeladen.

Knoppix ist wirklich klasse, sollte jeder zu haus haben (MS Probleme sind ja keine Seltenheit )

[Lax]

moin

hab mal ne frage

funzt nen router wie ne firewall? bzw bin ich hinter nem router sicher?

gruß jan

[Arne]

hi,
naja es ist ähnlich sagen wir mal.
gegen diesen typ wurm bist du auf jeden fall hinter einem auch router sicher.

arne

[~Idefix~]

Das kann man so nicht pauschalisieren. Generell bist du nicht sicher.
Allerdings ist heute so, dass fast alle Router eine Hardwarefirewall integriert haben. Und wenn man die ordentlich konfiguriert ist man sicher.

~Idefix~

[verdi]

selbst wenn der router keine firewall hat wird standardmässig ja kein port weitergelietet also biste vor dem wurm auch sicher

[~Idefix~]

Wie meinst du es wird standardmäßig kein Port weitergeleitet?

Ich würde eher sagen es wird standardmäßig alles weitergeleitet. Ich hab noch nicht erlebt, dass man die paar Ports, die man braucht, einzeln alle freigeben muss.

~Idefix~

[verdi]

nee für normales surfen etc braucht du ja auch nix weiterleiten


PC - Router - Internet

du schickst ne anfrage raus
dann kommt die antwort und da der router weiss woher die anfrage kam geht die antwort auch direkt wieder dorthin

aber:

der wurm schickt ne anfrage von aussen auf port 137
der router empfängt die nachricht aber fragt sich dann an welchen von den 50 rechner im netz soll das denn nun gehen ? steht ja nur die InternetIP drin nicht die ausm LAN und schon verwirft er die nachricht -> alle pc's sicher

das war die einfache Kurzversion

[~Idefix~]

Hmm. Macht Sinn.

~Idefix~

[verdi]

manchmal macht es also doch sinn wenn man bei der vorlesung datenkommunikation & rechnernetze nicht immer nur schläft

dazu hätt ich noch keine vorlesung gebraucht aber verdi hat recht..

- Alex

[hansenh]

Nett erklärt, Verdi, aber:

Zitat:

Zitat von verdi

der wurm schickt ne anfrage von aussen auf port 137

Es ist die 135. Nur für den Fall, daß sich jemand darauf verlässt.

Ein Ergänzung noch: wenn ein PC in dem Plastikrouter als "Exposed Host" oder "DMZ" konfiguriert ist (z.B. damit eDonkey oder Netmeeting oder sonstwas funktioniert), wird auch der Port 135 weitergeleitet. Es kann auf jeden Fall nicht schaden, den Patch zu installieren.

Heiko

[verdi]

oki wusste nur es war der 13x bereich

yo das mit der DMZ is natürlich klar is ja das selbe wie ne extra portweiterleitung

[hansenh]

Zitat:

Zitat von verdi

yo das mit der DMZ is natürlich klar is ja das selbe wie ne extra portweiterleitung

Im Prinzip schon. Ich wollte es ergänzen, weil das vielleicht nicht unbedingt für den Fragesteller (wer auch immer das nochmal war) selbstverständlich ist.

Heiko

[verdi]

oki

fli4l ruled

[~Idefix~]

Mal so 'ne Frage. Wenn ich ICQ laufen habe auf einem Rechner hinter einem Router. Und da kommt jetzt von irgendwem eine Nachricht, woher weiß der Router, an wen die geht? Für ICQ stellt man ja auch nichts besonderes ein.

~Idefix~

[hansenh]

Zitat:

Zitat von verdi

fli4l ruled

Wenn man sich dann noch 'ne DMZ und 'nen zweiten Rechner für Web-Server, Mail-Server und sowas leisten kann, ja! So benutze ich OpenBSD und konfiguriere halt von Hand. Das ergibt auch lustige Gespräche an der Arcor-Hotline:

- "Meine Internetverbindung über DSL funktioniert nicht."
[...]
- "Welches Betriebssystem benutzen Sie?"
- "OpenBSD."
- "Was?"
- "O-p-e-n-B-S-D. Das ist ein freies Unix."
- "Ach Linux?!"
- "Nein..."



Heiko

[verdi]

deswegen kriegst du die ( sofern du keine ports eingestellt hast etc ) vom icq server. und zu dem hast du ja schon ne verbindung und über die kommen dann die nachrichten.


wenn du auf deinem router ports zu deinem rechner leitest ( und in der firewall freigibst ) und diese in icq definierst dann kommen sie direkt rein

[Lax]

ok

danke für die antworten

ich denke meine router ist also nicht sicher, da ich shareaza nutze

aber mittlerweile hab ich es geschafft mir den patch zu ziehen

gruß jan

[Arne]

hi,
mit "shutdown -a" kann man den countdown überings abbrechen.

arne

Habe gestern mal den Log-File meiner Firewall angeguckt...

Seitenweise Einträge über Port 135 und 137 in nur zwei Tagen!!!

Muss man mal gesehen haben

[Sensenmann]

<- gentoo router ^^

Smoothwall ist für den normalen USer auch sehr geeignet, da es recht bedienerfreundlich ist


Sensenmann

pc nicht ungewollt runtergefahren
router
firewall

und das trotz windows

kann ich davon ausgehen ich bin nicht betroffen?

[Cherry]

Zitat:

Zitat von Markus

pc nicht ungewollt runtergefahren
router
firewall

und das trotz windows

kann ich davon ausgehen ich bin nicht betroffen?

Du kannst ziemlich sicher davon ausgehen, daß du den Wurm nicht hast. Mal checken kann trotzdem nicht schaden. Und den/die aktuellen Patches würde ich trotzdem installieren.

Cherry, der morgen erstmal den Rechner @Home entwurmen und auf den neuesten Patch-Stand bringen darf.

ich hab sogar nachgeguckt, der log bei mcafee firewall is auch komplett leer!

Ist wohl die hardware firewall im router

P.S. und ladet euch ja nicht als "vermeindlichen virusschutz" bzw in dem fall die patches einen neuen virus runter *g*