23.07.2025, 12:55
Change Language
Register
Login
You are not logged in.
DAP
God
Re: Immer noch Blaster32?
Sunday, April 18th 2004, 7:02pm
das thema hatten wir hier noch nie (naja vielleicht 8357 mal) und es is auch unmöglich sowas über die suchfunktion zu finden... :
guckst du z.b. hier
guckst du z.b. hier
DAP
God
Re: Immer noch Blaster32?
Sunday, April 18th 2004, 8:44pm
Quoted from "DAP"
nochmal für alle gaaaaaanz langsam:
wenn der rpc-dienst abkackt kommt das NICHT davon dass der rechner mit msblast infiziert wäre.
msblast verbreitet sich über den rpc-dienst dabei wird in 80% der fälle code für winxp gesendet, in 20% der fälle für win2k (zufallsgenerator).
sollte der code für 2k auf nem xp-rechner ankommen (oder umgekehrt) -> bäng -> rpc-dienst stürzt auf dem zielrechner ab -> rechner wurde NICHT infiziert, windows will aber den rechner neu startet da der rpc-dienst beendet wurde.
sollte dagegen der richtige code ankommen is dein rechner infiziert, du merkst garnix davon... der wurm läuft nur im hintergrund und versucht ab sofort andere rechner zu infizieren
wie kann man verhindern dass der rpc-dienst abstürzt?
a) ms-bugfix installieren (link wurde schon gepostet)
b) firewall (einer der wenigen fälle wo ne firewall mal wirklich was bringt...)
c) router.. sofern man net grad den rpc-port an den eigenen rechner weiterleitet kann hinter nem router (von außen) auch nix passieren
es is also ganz normal dass das symantec-tool nix findet - dein rechner is offensichtlich nich infiziert
:-X
Kar.98
Senior Member
Re: Immer noch Blaster32?
Monday, April 19th 2004, 4:13am
stell mal unter den Diensten ein, dass er den RPC Dienst nur neu starten soll, falls da was nich hinhaut.
standartmäßig is eingestellt, dass der rechner neu startet.
Heißt die Einstellung RPC Locator?
MFG
Kar.98
Y0Gi
God
Re: Immer noch Blaster32?
Tuesday, April 20th 2004, 8:31am
*argh*
direkt über DAPs post im ursprungsthema
direkt über DAPs post im ursprungsthema
zunächst mal solltest du Einstellungen -> Systemsteuerung -> Verwaltung -> Dienste den Remoteprozeduraufruf (RPC) bearbeiten und in der Registerkarte "Wiederherstellen" die Aktion bei Fehlschlägen auf "keine Aktion durchführen" umstellen - dann fährt der rechner zumindest nicht runter.
erfahrungsgemäß funktioniert das aber nicht, wenn der countdown bereits läuft, also am besten direkt nachm systemstart machen.
dann solltest du auch eine firewall laufen haben, die nur explizit freigegebene verbindungen zulässt; daran sollte der wurm also ebenfalls scheitern. da du ja sagst, eine firewall zu betreiben (wie gut die konfiguriert ist, ist eine andere geschichte), ist das schonmal ein anfang.
allerdings fängt man sich den wurm auch ein, indem man z.b. verseuchte mails öffnet - daher muss also die firewall nicht schuld sein.
andererseits muss der rechner auch gar nicht infiziert sein, denn möglicherweise wurde er auch "nur" angegriffen. dabei versucht ein anderer, infizierter rechner, auf bestimmte ports auf zufällig kontaktierten ip-adressen zu connecten und "böse sachen zu machen". bereits dadurch kann es zu o.g. phänomen kommen, ohne dass der eigene rechner jedoch infiziert ist (ging mir auch so).
dagegen sollte allerdings die firewall eingestellt sein - _sollte_.