• 22.07.2025, 16:59
  • Registrieren
  • Anmelden
  • Sie sind nicht angemeldet.

 

Kar.98

Senior Member

Immer noch Blaster32?

Sonntag, 18. April 2004, 18:36

Hi,

hab den Patch schon mehrmals installiert, und die Platte mit den dazugehörigen Tools untersucht. Der Virus wird nicht gefunden!, der Rechner fährt aber immer wieder runter. Was kann man da noch machen?
2400XP@2200MHz FSB200*11 Asus A7N8X Rev 2.0 2*512 Twinmos/Winbond PC3200 BH-5 Powercolor X850XT @ 546/587 Soundblaster Audigy 2 ZS Teufel Concept E Magnum 200GB Maxtor HDD

Minusch@Linux

unregistriert

Re: Immer noch Blaster32?

Sonntag, 18. April 2004, 18:36

Weichware...

DAP

God

Re: Immer noch Blaster32?

Sonntag, 18. April 2004, 19:02

das thema hatten wir hier noch nie (naja vielleicht 8357 mal) und es is auch unmöglich sowas über die suchfunktion zu finden... ::) ;)

guckst du z.b. hier

Eumel

God

Re: Immer noch Blaster32?

Sonntag, 18. April 2004, 19:02

Verdächtige Tasks aktiv?

MfG
"I've always said, the Web is the sum of all human knowledge plus porn.", Ron Gilbert
UltraStar Manager 1.7.2 | Infos zu meinem PC | .o0 DeathSpank 0o.

HoferSackal

Senior Member

Re: Immer noch Blaster32?

Sonntag, 18. April 2004, 19:20

kommt das fenster?
remote herunterfahren fenster?

Kar.98

Senior Member

Re: Immer noch Blaster32?

Sonntag, 18. April 2004, 19:26

Ja,

dieses Fenster kommt. Mal nach 2 Stunden und mal schon nach ner halben Stunde.
Dann kann man es zwar mit Shutdown -a Aufhalten, es kommt dann aber irgendwann immer wieder.
Habe Panda Antivirus mit Firewall drauf, aktuellste Updates und es wird nicht besser.

Es sind keine Tasks außer :Browser und T-online aktiviert
2400XP@2200MHz FSB200*11 Asus A7N8X Rev 2.0 2*512 Twinmos/Winbond PC3200 BH-5 Powercolor X850XT @ 546/587 Soundblaster Audigy 2 ZS Teufel Concept E Magnum 200GB Maxtor HDD

Smily

God

Re: Immer noch Blaster32?

Sonntag, 18. April 2004, 20:30

Bei Tasks wirst du das Ding auch nicht finden, schau mal unter den Prozessen nach.
So etwas Ähnliches habe ich auch in meinem Praktikum erlebt. Der Rechner hatte ziemlich eindeutig den Blaster Virus, aber weder der Firmen Virenscanner noch das Tool von Symantec konnten ihnen vernichten. Leider war die letzte Lösung da eine komplette Neuinstallation.

DAP

God

Re: Immer noch Blaster32?

Sonntag, 18. April 2004, 20:44

Zitat von »DAP«

nochmal für alle gaaaaaanz langsam:

wenn der rpc-dienst abkackt kommt das NICHT davon dass der rechner mit msblast infiziert wäre.

msblast verbreitet sich über den rpc-dienst dabei wird in 80% der fälle code für winxp gesendet, in 20% der fälle für win2k (zufallsgenerator).

sollte der code für 2k auf nem xp-rechner ankommen (oder umgekehrt) -> bäng -> rpc-dienst stürzt auf dem zielrechner ab -> rechner wurde NICHT infiziert, windows will aber den rechner neu startet da der rpc-dienst beendet wurde.

sollte dagegen der richtige code ankommen is dein rechner infiziert, du merkst garnix davon... der wurm läuft nur im hintergrund und versucht ab sofort andere rechner zu infizieren :)


wie kann man verhindern dass der rpc-dienst abstürzt?

a) ms-bugfix installieren (link wurde schon gepostet)
b) firewall (einer der wenigen fälle wo ne firewall mal wirklich was bringt...)
c) router.. sofern man net grad den rpc-port an den eigenen rechner weiterleitet kann hinter nem router (von außen) auch nix passieren :)


es is also ganz normal dass das symantec-tool nix findet - dein rechner is offensichtlich nich infiziert :)


:-X :P

HoferSackal

Senior Member

Re: Immer noch Blaster32?

Sonntag, 18. April 2004, 20:54

stell mal unter den Diensten ein, dass er den RPC Dienst nur neu starten soll, falls da was nich hinhaut.
standartmäßig is eingestellt, dass der rechner neu startet.

Kar.98

Senior Member

Re: Immer noch Blaster32?

Sonntag, 18. April 2004, 22:52

Alles klar, vielen Dank.

Hab nächste Woche Urlaub, da mich mal ne Neuinstallation und hau alle Patches neu drauf.
2400XP@2200MHz FSB200*11 Asus A7N8X Rev 2.0 2*512 Twinmos/Winbond PC3200 BH-5 Powercolor X850XT @ 546/587 Soundblaster Audigy 2 ZS Teufel Concept E Magnum 200GB Maxtor HDD

Kar.98

Senior Member

Re: Immer noch Blaster32?

Montag, 19. April 2004, 04:13

Zitat von »HoferSackal«

stell mal unter den Diensten ein, dass er den RPC Dienst nur neu starten soll, falls da was nich hinhaut.
standartmäßig is eingestellt, dass der rechner neu startet.


Heißt die Einstellung RPC Locator?

MFG

Kar.98
2400XP@2200MHz FSB200*11 Asus A7N8X Rev 2.0 2*512 Twinmos/Winbond PC3200 BH-5 Powercolor X850XT @ 546/587 Soundblaster Audigy 2 ZS Teufel Concept E Magnum 200GB Maxtor HDD

Kar.98

Senior Member

Re: Immer noch Blaster32 ***ERLEDIGT***

Dienstag, 20. April 2004, 05:11

Kann mir mal jemand sagen ob das die richtige Einstellung ist?

Danke

Kar.98
2400XP@2200MHz FSB200*11 Asus A7N8X Rev 2.0 2*512 Twinmos/Winbond PC3200 BH-5 Powercolor X850XT @ 546/587 Soundblaster Audigy 2 ZS Teufel Concept E Magnum 200GB Maxtor HDD

Y0Gi

God

Re: Immer noch Blaster32?

Dienstag, 20. April 2004, 08:31

*argh*

direkt über DAPs post im ursprungsthema

Zitat von »Y0Gi«

zunächst mal solltest du Einstellungen -> Systemsteuerung -> Verwaltung -> Dienste den Remoteprozeduraufruf (RPC) bearbeiten und in der Registerkarte "Wiederherstellen" die Aktion bei Fehlschlägen auf "keine Aktion durchführen" umstellen - dann fährt der rechner zumindest nicht runter.
erfahrungsgemäß funktioniert das aber nicht, wenn der countdown bereits läuft, also am besten direkt nachm systemstart machen.

dann solltest du auch eine firewall laufen haben, die nur explizit freigegebene verbindungen zulässt; daran sollte der wurm also ebenfalls scheitern. da du ja sagst, eine firewall zu betreiben (wie gut die konfiguriert ist, ist eine andere geschichte), ist das schonmal ein anfang.

allerdings fängt man sich den wurm auch ein, indem man z.b. verseuchte mails öffnet - daher muss also die firewall nicht schuld sein.

andererseits muss der rechner auch gar nicht infiziert sein, denn möglicherweise wurde er auch "nur" angegriffen. dabei versucht ein anderer, infizierter rechner, auf bestimmte ports auf zufällig kontaktierten ip-adressen zu connecten und "böse sachen zu machen". bereits dadurch kann es zu o.g. phänomen kommen, ohne dass der eigene rechner jedoch infiziert ist (ging mir auch so).
dagegen sollte allerdings die firewall eingestellt sein - _sollte_.