Remoteprodzduraufruf

[ONeil]

Gerade kam diese Meldung hier.
Als das kam war ich grad aufm Board.
Was ist das und wie wird ausgelöst?

Argh, jetzt hab ichs grad wieder...

[MewtoX]

OMG f*** ich hab das auch seit heute andauernt.... da isses GRRRRR

[Gonzo]

ne lösung könnte sein den dienst gar nicht erst zu starten
(wird nur selten benötigt, z.B. bei der directx-installation)

[theRock]

siehe hier http://www.supportnet.de/discussion/...?AutoID=145337 und hier
http://www.united-forum.de/showthrea...threadid=20753

[MewtoX]

also ich hab MSN mal ausgelassen... und ich bin im mom schon 5min online also hoffe es klappt noch dass er net wieder das machen will

[Gonzo]

Zitat:

Original geschrieben von theRock
siehe hier http://www.supportnet.de/discussion/...?AutoID=145337 und hier
http://www.united-forum.de/showthrea...threadid=20753

super danke, danke, und nochmals danke

[ONeil]

Tja, shit happens.
Ich hab den Dienst deaktiviert gehabt und danach ging gar nix mehr
Hab jetzt WinXP neuinstalliert und naja...wird heut noch ne lange Nacht bis ich das ganze Zeugs wieder am laufen hab.

[Skyline44]

So das Problem das sich der PC nach einer fehlermeldung selbstständig herunter fährt, hat anscheinend ganz Deutschland wenn nicht mehr
Also es liegt an Microsoft und die haben schnelle Abhilfe geschafft. Gebe euch einen Link zur Homepage von Microsoft. Die exe runterladen und installieren. Danach Neustart und Problem tritt nicht mehr auf .
Nur einen Nachteil hat es...Virenprogramme schlagen Alarm wegen der exe. Ist aber nicht weiter zu beachten, das ist normal.
Leider habe ich die exe nur für das Betriebssystem XP. Aber ich denke das sich alle auskennen mit Updates und finden ihre exe auch noch So hier der link :

Link zur exe


Hoffe ich konnte helfen

Sky


@ Edit Habe gerade noch was gefunden

guckst du hier

[Gonzo]

die msblast sollte man noch deaktivieren in msconfig und anschließend löschen

[EviLSnipeR]

Tja... ich hab Windows XP und bis jetzt noch nichts ungewöhnliches bemerkt...

Vielleicht ist es möglich den RPC wieder zu starten.

Start>Ausführen>"msconfig">"Dienste">"Remoteprodezuraufruf RPC" - dort ein Häckchen machen. Nur weiß ich nicht ob es deaktviert angezeigt wird bei eurem Problem !?

[Gonzo]

Zitat:

Original geschrieben von ONeil
Tja, shit happens.
Ich hab den Dienst deaktiviert gehabt und danach ging gar nix mehr
Hab jetzt WinXP neuinstalliert und naja...wird heut noch ne lange Nacht bis ich das ganze Zeugs wieder am laufen hab.

wie geht gar nichts mehr ? erklär das mal bitte genauer
ich kann bei mir diesen dienst problemlos ein und ausschalten
( außer wenn ich directx neu installieren will verweigert er das)

[ddeber]

wie jeder xp user schon festgestellt hat schaltet sich der rechner sobalt man im internet ist nach 5 min ab was kann man dagegen machen

1 ladet euch diese datei runter installt sie startet den rechner neu und fertig

2. sucht in regcleaner die datei msblast.exe und sofort löschen
wer regcleaner nicht hat im internet downloaden
dann in taskmanager die datei msblast.exe suchen und prozess sofort beenden
den windows ordner öffnen im system32 ordner die datei msblast.exe suchen und sofort löschen

danach soltet ihr erstmal ruhe haben wie man das teil entgültig löscht weiß ich noch nicht suche aber noch im netz wer probleme von euch hat meldet euch bin die ganze nacht wach

was ist das überhaupt
hab mal in vielen forums geschnüffelt so wie es aussieht ist das teil ein virus + trojaner nur xp anwender sind davon betroffen
wenn ihr das problem habt stellt eure system uhr auf 10.8.03 0:00 uhr und macht das was ich oben geschrieben habe

[redroach]

also bei mir hat es gereicht, in der systemsteuerung den dienst einfach neu starten zu lassen, wenn er sich beendet. defaultmässig steht da "pc neu starten".

aber ich habe auch diese msblast.exe

[Skyline44]

Auf der Mailing-Liste Full-Disclosure gab es gestern erste Postings, die vermuten ließen, dass der erwartete RPC-Wurm im Internet unterwegs ist und verwundbare Windows-Systeme über den RPC-Port 135 und andere befällt.

Das Sicherheitsbulletin MS-03-026 dreht sich um einen Fehler in der RPC-Schnittstelle von Windows NT, 2000, XP und 2003 Server. Es handelt sich dabei um ein Buffer-Overflow-Problem im DCOM-Interface, das auf die Remote Procedure Calls (RPC) aufsetzt.

Laut dieser Aussage ist leider JEDES SYSTEM befallbar. Also sollte jeder mal einen check machen ob er die exe hat


Sky

[The Bang 2]

Für die bereits seit dem 26.07.03 bekannte RPC Sicherheitslücke im Betriebssystem Windows sind zwischenzeitlich bequeme Exploits in Umlauf, die über eine Remote-Verbindung via Port 4444 einen Pufferüberlauf erzeugen und dem Angreifer Zugriff auf das lokale System ermöglichen. Es wird also aktuell nicht nur Port 135 für Angriffe benutzt sondern auch andere höhere Ports.
In der jetzt gefundenen PDF Dokumentation erhalten selbst völlig unerfahrene Anwender eine exakte Schritt für Schritt Anleitung nebst Downloadmöglichkeit der Hilfsmittel wie IP Scanner und den entsprechenden Exploit zur Ausführung des Zugriffs.

Der in der Anleitung angebotene Exploit lässt sich durch die Verwendung einer ID, die dem entsprechenden Betriebssystem (Windows 2000 oder XP mit und ohne Servicepack) entspricht, zielgerichtet einsetzen. Anschließend wird der entsprechende Code zum Überlauf der RPC Schnittstelle mittels Batchdatei injiziert. Anschließend erfolgt mittels zum Beispiel netcat der Zugriff auf den verwundbaren Rechner.

Test-Scans verschiedener IP Ranges zeigten sehr eindrucksvoll, dass trotz bekannter Gefahr durch die Sicherheitslücke noch immer sehr viele Systeme nicht gepatcht und/oder nicht ausreichend geschützt und entsprechend angreifbar sind.

Hintergrund

Microsoft Windows NT/2000/XP/2003 weist eine Pufferüberlaufschwachstelle in der Remote Procedure Call (RPC)-Komponente auf, die den Nachrichtenaustausch über TCP/IP für DCOM verarbeitet. Angreifer können diese Schwachstelle über das Netzwerk mittels einer RPC-Anfrage (über verschiedene TCP- und UDP-Ports) zur Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien ausnutzen. Eine Authentifizierung ist hierfür nicht notwendig (wenn sie nicht zur Nutzung des RPC-Transportes nötig ist; bei den Ports 135/TCP und 135/UDP gibt es eine solche Sicherung nicht).

Entgegen der ersten Analyse von Microsoft, die eine wesentliche Grundlage für die erste Fassung dieser Mitteilung war, kommen als Einfallstor weitere RPC-Transportwege außer Port 135/TCP in Frage.

Workaround


Im Microsoft-Advisory wird für Windows XP und Server 2003 beschrieben, wie DCOM abgeschaltet werden kann.


Falls Verkehr zu den Ports 135, 139 und 445 (jeweils TCP und UDP, eventuell auch noch Port 593/TCP) gefiltert wird, kann der Kreis der Angreifer beschränkt werden.
Gegenmaßnahmen

Microsoft stellt Patches zur Behebung der Sicherheitslücke zur Verfügung:

Windows NT 4.0 Workstation, Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition
Windows Server 2003 32 bit Edition
Windows Server 2003 64 bit Edition

Die Installation des Sicherheitsupdates erfordert einen Neustart des Systems und kann auf Windows NT 4.0 mit Service Pack 6a, Windows NT 4.0 Terminal Server mit Service Pack 6, Windows 2000 mit Service Pack 3 oder 4, Windows XP mit oder ohne Service Pack 1 und Windows Server 2003 erfolgen.

[EviLSnipeR]

LoL das heißt denn wohl das alle die einen Router haben und bestimmte Ports freigegeben haben dieses Problem nun haben.

Bei mir ist es immer noch nicht aufgetreten und ich bin schon seit 4 Stunden On-Line.

[Smatze]

hier der LInk,

mit allen Patches und Infos im Überblick und auf einer Seite.

http://cert.uni-stuttgart.de/ticker/...e.php?mid=1124

Und nicht vergessen, nach einer MSblast.exe zu suchen und zu löschen.

Bei Windows 2000 erscheint übrigens, dass svhost.exe einen Fehler verursacht hat. Bei XP wird der PC regestartet.

Patch saugen und installieren, nach neustart msblast.exe löschen und registry säubern. Fertig.

Gruß
Smatze

[ONeil]

Zitat:

Original geschrieben von googonzo
wie geht gar nichts mehr ? erklär das mal bitte genauer
ich kann bei mir diesen dienst problemlos ein und ausschalten
( außer wenn ich directx neu installieren will verweigert er das)

Ich habs deaktiviert und dann neu gebootet. Danach hast Minuten gedauert, bis ich zum Willkommensbildschrim gekommen bin und nochmal 3 Minuten bis ich mich eingelogt hab

Dann ging gar nix mehr: Internetverbindung ging net, Systemwiederherstllung nicht, die eigenschaften bei den diensten konnte ich auch nicht verändern

@Evilsniper

Ich hab keinen Router und hab das Problem auch

[xking38x]

Beschreiben von dem virus



http://www.de.sophos.com/virusinfo/a...32pariteb.html

[Sven]

Meldung von Heise dazu:
http://www.heise.de/newsticker/data/dab-12.08.03-000/

[Andone666]

Zitat:

Original geschrieben von ONeil
Ich habs deaktiviert und dann neu gebootet. Danach hast Minuten gedauert, bis ich zum Willkommensbildschrim gekommen bin und nochmal 3 Minuten bis ich mich eingelogt hab

Dann ging gar nix mehr: Internetverbindung ging net, Systemwiederherstllung nicht, die eigenschaften bei den diensten konnte ich auch nicht verändern

@Evilsniper

Ich hab keinen Router und hab das Problem auch

bei meinem bekannten ist genau das gleiche prob ...

hat schon jemand einen weg gefunden um die sachen wieder herstellen zu können ???

[ONeil]

Naja, ich hab dann die Windows-CD eingelegt und neuinstalliert. Jetzt ist zwar der Worm weg, aber auch einige Programme gehen, aufgrund der gelöschten registry, nicht mehr. Vorher würde ich aber noch empfehlen, den Inhalt des Ordners 'Eigene Datein' in einen anderen Ordner auserhalb des Windows-Verzeichnisses zu kopieren, sonst wird der gelöscht.

[xking38x]

schaut mal bei uns im forum da steht wie man alles wieder herrichten kann

http://www.cncforen.de/forumdisplay....7&daysprune=30

[Gonzo]

Zitat:

Original geschrieben von ONeil
Ich habs deaktiviert und dann neu gebootet. Danach hast Minuten gedauert, bis ich zum Willkommensbildschrim gekommen bin und nochmal 3 Minuten bis ich mich eingelogt hab

Dann ging gar nix mehr: Internetverbindung ging net, Systemwiederherstllung nicht, die eigenschaften bei den diensten konnte ich auch nicht verändern

@Evilsniper

Ich hab keinen Router und hab das Problem auch

hast du mal probiert im abgesicherten modus zu starten und da denn dienst wieder einzuschalten
ich glaub das geht sogar von der reparaturkonsole aus, weiß da nur nicht wie

[Cheaterhossie]

Ihr kommt aber wohl um eine Firewall derzeit nicht außenrum da:

Zitat:

Es wird dringend empfohlen, die Patches zum Beseitigen der Sicherheitslücke einzuspielen. Da der Patch einen weiteren Fehler im RPC-Dienst, der DoS-Attacken ermöglicht, nicht beseitigt, sollten zusätzlich die UDP- und TCP-Ports 135 bis 139, 445 und 593 gefiltert werden.

Ihr müsst die Ports sperren.

[Skyline44]

Zitat:

Original geschrieben von Cheaterhossie
Ihr kommt aber wohl um eine Firewall derzeit nicht außenrum da:



Ihr müsst die Ports sperren.

Hülfe wie sperrt man Ports ???? Davon hab ich keine Ahnung Und wer kann mir eine gute deutsche Firewall empfehlen ??? sorry aber mit sowas hatte ich noch nie zu tun

Sky

[M.C.M]

Zitat:

Original geschrieben von Skyline44
Hülfe wie sperrt man Ports ???? Davon hab ich keine Ahnung Und wer kann mir eine gute deutsche Firewall empfehlen ??? sorry aber mit sowas hatte ich noch nie zu tun

Sky

Norton Firewall 2003 is wohl am einfachsten zu Bedienen

Edit:

Oder du machst, wenn du XP hast die Externe Firewall an und da kommt nix durch

[Cheaterhossie]

Also erstmal die Norton Firewall suckt, und mit der XP Firewall kannste keine Ports blocken.

z.B. Zone Alarm kann UDP und TCP Ports explizit sperren. Zonelabs.com

[M.C.M]

Bevor man Zone Alaram nimmt sollte man lieber Sygate Personal Firewall nehmen. Zone Alarm ist der größte Shicedreck !

[Cheaterhossie]

Ach aber NIS/NPF is besser was? :o: