Dringend Hilfe!!!

Alles was nichts mit Münzen zu tun hat

Moderator: Locnar

Benutzeravatar
Morgoroth
Beiträge: 837
Registriert: Di 15.04.03 19:43
Wohnort: Müncheberg

Dringend Hilfe!!!

Beitrag von Morgoroth » Mo 11.08.03 19:53

Hi ich habe ein großes Problem!
NAch ein paar Minuten des starten des Computers kommt ein Bild schirm der mir sagt das System wird jetzt heruntergefahren ausgelöst durch einen Befehl von NT -AUTORITÄT/SYSTEM

Befehl hat gegeben die Remoteprozedurauforderung. Was ist das und wie geht das weg??? Bitte um schnelle Hilfe!!!!!!!!!!!!!

Danke im Vorraus!!
oida ou eidos

Benutzeravatar
pesocubano
Beiträge: 61
Registriert: Di 05.08.03 20:37
Wohnort: Jena

Beitrag von pesocubano » Mo 11.08.03 22:53

Das ist was komplexeres, dass man dir, ohne den Rechner zu kennen, nicht so schnell beantworten kann. Hast du niemanden, der sich den Rechner mal anschauen kann? Wenn nicht - Fachhändler/Service.
***
Gruß
p.c.

mfr
Beiträge: 6393
Registriert: Fr 26.04.02 13:22
Danksagung erhalten: 1 Mal

Beitrag von mfr » Mo 11.08.03 23:38

Das ist sehr wahrscheinlich ein Virus, gleiches habe ich heute schon von bestimmt 10 Leuten gehört.

Lass mal nen aktuellen Scanner drüber laufen.

Benutzeravatar
Morgoroth
Beiträge: 837
Registriert: Di 15.04.03 19:43
Wohnort: Müncheberg

Beitrag von Morgoroth » Mo 11.08.03 23:39

Hab ich ANtivir der hat aber nix gefunden (ist die aktuellste update Version)
oida ou eidos

mfr
Beiträge: 6393
Registriert: Fr 26.04.02 13:22
Danksagung erhalten: 1 Mal

Beitrag von mfr » Mo 11.08.03 23:48


Benutzeravatar
Morgoroth
Beiträge: 837
Registriert: Di 15.04.03 19:43
Wohnort: Müncheberg

Beitrag von Morgoroth » Di 12.08.03 00:55

Ich komm gar net dazu mir was runterzuladen
oida ou eidos

Marco-15
Beiträge: 207
Registriert: So 03.11.02 17:25
Wohnort: Heidelberg

Beitrag von Marco-15 » Di 12.08.03 12:10

Hier die Lösung für das Problem mit dem richtig heftig tobenden Wurm:

...

Plötzliche Fehlermeldung mit dem Inhalt:

"...

Windows muss jetzt neu gestartet werden, da der Dienst Remoteprozeduraufruf (RPC) unerwartet beendet wurde..."

Diese Meldung kam auch bei mir seit einigen Minuten immer wieder und eine Lösung habe ich in einem anderen Forum gefunden:

Patch laden, für Win XP ist das der hier:
http://download.microsoft.com/download/ ... 86-DEU.exe

patch installieren -> neustart -> msblast.exe aus Autostart löschen -> neustart -> msblast.exe aus Windows / System32 Ordner löschen -> neustart -> geschafft!

Außerdem sollte man auch noch die TFTP.EXE aus Windows / System32 löschen, bei mir war das aber nicht zwingend notwendig!

Um erstmal Zeit zu bekommen die ganzen Schritte auszuführen, kann man erstmal das hier machen:

Start -> ausführen -> services.msc -> remoteprozeduraufruf auswählen -> eigenschaften -> wiederherstellen (oben im aufgepopten fenster) -> und überall statt "Herunterfahren", keine aktion durchführen auswählen

Danach aber unebdingt trotzdem noch oben genannte Schritte ausführen!
Gruß Marco

Benutzeravatar
Morgoroth
Beiträge: 837
Registriert: Di 15.04.03 19:43
Wohnort: Müncheberg

Beitrag von Morgoroth » Di 12.08.03 13:43

Hi danke!
ich habe es installiert, aber msblast.exe ist nicht in autostart, nur in windowssystem32 aber da lässt es sich nicht löschen"Zugriff verweigert"
was nun?
oida ou eidos

mfr
Beiträge: 6393
Registriert: Fr 26.04.02 13:22
Danksagung erhalten: 1 Mal

Beitrag von mfr » Di 12.08.03 14:06

Wurm Blaster rast durchs Internet

Seit vergangener Nacht verbreitet sich ein neuer Wurm namens "Blaster" oder "Lovsan" explosionsartig im Web. Nachdem verschiedene Antiviren-Software-Hersteller den Schädling als äußerst gefährlich einstuften, warnt nun auch das Bundesamt für Sicherheit in der Informationstechnik vor dem sich rasant ausbreitenden Internet-Wurm. Experten zufolge befiel der Wurm am Montag bereits tausende von PCs in den USA. Auch in Deutschland gab es bereits gestern Abend die ersten Fälle. Symptom für den erfolgreichen Angriff ist ein Fenster, das mitteilt das System müsste heruntergefahren werden, da der Dienst "Remoteprozeduraufruf" unerwartet beendet wurde.
Zum Download - W32.Blaster.Worm Removal Tool 1.0.0

Eine Firewall schützt
Da sich der Wurm nicht über eMail-Nachrichten versendet, kann er an eMail-Gateways nicht abgefangen werden. Lediglich eine Firewall kann hier helfen. Alternativ hilft ein Patch, der das Sicherheitsloch abriegelt.

Firewalls für den PC - Schutz vor Internet-Angriffen

Unbedingt Patch installieren
Betroffen von der Sicherheitslücke sind ausschließlich Nutzer der Windows-Versionen NT 4.0, 2000, XP sowie der jeweiligen Server-Fassungen. Um sich vor einem derartigen Wurm-Angriff zu schützen, sollten alle Windows-Nutzer den Patch gegen das RPC-Sicherheitsloch schleunigst auf ihren Systemen einspielen.

Zum Download - Windows XP Security Patch

Suche nach nicht gesicherten Rechnern im WWW
Wurm Blaster sucht über zufällig ausgewählte IP-Adressen auf dem TCP-Port 135 nach anfälligen Windows-Systemen im Internet. Findet er ein System ohne installierten Patch, öffnet er eine Remote-Shell auf TCP-Port 4444, lädt den Wurm-Code Msblast.exe über TFTP auf den Rechner und kopiert diesen in das Windows-Verzeichnis System32. Auf einem infizierten System lauscht der Wurm fortan am UDP-Port 69 und versendet den Wurm-Code von dort auf Anfrage weiter, um sich so weiter zu verbreiten.

Denial-of-Service-Attacke steht bevor
Der Schädling sorgt dafür, dass er bei jedem Rechner-Neustart geladen wird, indem er einen entsprechenden Eintrag in der Registry vornimmt. Bedingt durch die zufällig ausgewählten Daten, die der Wurm an andere Rechner sendet, können Systeme so auch zum Absturz geführt werden. Ab dem 16. August 2003 startet der Wurm außerdem eine Denial-of-Service (DoS)-Attacke auf die Website www.windowsupdate.com, was verhindern soll, dass sich Anwender entsprechende Patches auf den Rechner laden können. Die DoS-Attacke läuft dann ununterbrochen bis Ende des Jahres.

Der Wurm-Code enthält einen Text, der sich an Bill Gates von Microsoft richtet:
I just want to say LOVE YOU SAN!!
billy gates why do you
make this possible ?
Stop making money and fix your software!!

Dieser Text wird jedoch vom Wurm nicht angezeigt, sondern verbirgt sich lediglich im Programmcode.
Quelle: http://computer.t-online.de/comp/sich/v ... -wurm.html

Marco-15
Beiträge: 207
Registriert: So 03.11.02 17:25
Wohnort: Heidelberg

Beitrag von Marco-15 » Di 12.08.03 14:07

Wenn sich die Datei nicht löschen lässt, deutet es eigentlich daraufhin, dass sie noch aktiv ist!

Sicher, dass sie nicht im Autostartverzeichnis ist? Hast du es so gemacht wie ich es beschrieben habe? Schau dir die Dateien, die du dort findest nochmal an, es ist sehr wahrscheinlich dass dort eine "msblast.exe" ist, bei der müsstest du dann den Haken entfernen, dann neustarten, und dann lässt sie sich auch aus dem Windows System32 Ordner entfernen.

Wenn sie wirklich nicht da ist, dann mach mal rechtsklick auf die Datei und schau, ob dort ein Haken bei "schreibgeschützt" ist, wenn ja, dann mach den Haken weg und dann solltest du sie vielleicht löschen können!

Wenn das auch nicht funktioniert, dann klick mal gleichzeitig strg+alt+entf ! Dann gehst du da zum Registerreiter "Prozesse" und schaust, ob du da die "msblast.exe" findest. Wenn ja, mach ein Rechtsklick drauf und geh dann auf "Prozess beenden". Und dann nochmal versuchen sie zu löschen....

Eine der 3 Methoden müsste eigentlich funktioniern :) !
Gruß Marco

Benutzeravatar
Morgoroth
Beiträge: 837
Registriert: Di 15.04.03 19:43
Wohnort: Müncheberg

Beitrag von Morgoroth » Di 12.08.03 14:13

Direkt bei Programme den Ordner Autostart? Da ist keiner...
oida ou eidos

Benutzeravatar
Morgoroth
Beiträge: 837
Registriert: Di 15.04.03 19:43
Wohnort: Müncheberg

Beitrag von Morgoroth » Di 12.08.03 14:21

Beim Autostart einen Haken wegmachen? Wie denn?
oida ou eidos

Benutzeravatar
tournois
Beiträge: 4446
Registriert: Fr 26.04.02 17:38
Wohnort: Rhein-Lahn-Kreis
Danksagung erhalten: 1 Mal

Beitrag von tournois » Di 12.08.03 14:32

Der Spiegel schreibt:

Großangriff aufs Internet?

Die Hacker-Attacke auf das Internet, vor der US-Behörden seit Ende Juli warnen, hat offenbar begonnen: Das Virus "Blaster" alias "LovSan" verbreitet sich rasend und bereitet eine gigantische DoS-Attacke vor. Ziel des Angriffes: Microsoft.

Warnung erfolgte bereits im Juli
Am 16. Juli sah sich Microsoft wieder einmal gezwungen, die Hosen herunter zu lassen: Eindringlich warnte das US-Unternehmen vor den klaffenden Sicherheitslücken in der eigenen Software. So etwas ist zwar peinlich, andererseits aber auch nicht ungewöhnlich. Wer Microsofts Newsletter abonniert hat, bekommt regelmäßig entsprechende Warn-Post - und in aller Regel passiert dann ja doch herzlich wenig. Wie auch das aktuelle Beispiel - zumindest bisher - zeigte. Obwohl die gefürchtete Lücke im "Windows RPC Interface" seit einem Monat bekannt war und zudem das FBI lautstark Werbung dafür machte, war es bisher zu keinem ernsthaften Versuch gekommen, das offene Scheunentor für eine Attacke zu nutzen.
Windows-Sicherheitslücke wird exakt ausgenutzt
Bis gestern Nacht. Da begann ein Viren-Wurm um die Welt zu ziehen, an den man sich am Microsoft-Firmensitz in Seattle möglicherweise länger erinnern wird. "Blaster", von einigen IT-Sicherheitsfirmen auch "LovSan" oder "LovGate" genannt, zielt haarscharf auf die RPC-Sicherheitslücke und belässt es auch nicht bei der Viren-typischen Selbstvermehrung. "Der Wurm ist geradezu explodiert", sagte der Karlsruher Sicherheits- und Virenexperte Christoph Fischer.

Wurm versucht Patch-Installation zu verhindern
Microsoft hingegen will, dass die User das Sicherheitspatch gegen die RPC-Sicherheitslücke installieren, so lange das noch geht. Denn Blaster will das gern unterbinden: Das Virus schließt einige Ports der befallenen PCs, öffnet etliche andere und bereitet eine Denial-of-Service-Attacke vor, die sich gewaschen hätte, wenn sie gelingt. Vom 15. August bis zum 31. Dezember planen die Blaster-Autoren, Microsoft unter Dauerfeuer zu nehmen. Zielpunkt der Attacke: Die Update-Seiten, über die man unter anderem die Sicherheitsloch-Flicken beziehen kann, die die Attacke vielleicht noch verhindern könnten.

Botschaft im Code des Blaster-Wurmes:
"Billy Gates why do you make this possible?
Stop making money and fix your software!"

Das meistverbreitetste Virus bleibt meist unbemerkt
Zehntausende von Rechnern, melden Sophos und Symantec, seien schon befallen. Die aktuellen Viren-Top-10 von Trend Micro zeigen LoveSan als weltweit meistverbreitetes Virus: In den USA gehen über 90 Prozent aller Virenbefälle auf seine Kappe - und das nach nur wenigen Stunden. Viele Computer-Nutzer werden einen Angriff nicht sofort bemerken, da sich der Wurm nicht über E-Mail verbreitet. Neben dem aktuellen Microsoft-Flicken brauche man deshalb auch dringend ein Update des Virenscanners. Einige der IT-Sicherheitsunternehmen haben bereits Tools bereit gestellt, mit denen sich Blaster/LoveSan entfernen lässt.

Die Blaster-Attacke: Auftakt einer Angriffswelle?
Die Hauptrisikogruppe - neben Microsoft selbst - hat IT-Sicherheitsexperte Fischer auch schon ausgemacht: "Besonders betroffen sind Privatleute und kleine Unternehmen, die etwa über Modem oder DSL- Leitung ans Internet angeschlossen sind." Zwar zerstöre Blaster zunächst keine Daten auf den befallenen Rechnern. Der Wurm könne aber zu unkontrollierbaren Abstürzen führen, warnt das Bundesamt für Sicherheit in der Informationstechnik BSI.

PC-Eindringling wartet auf Befehle
Wichtiger noch ist aber, dass Blaster ganz nebenbei einige Ports als Hintertürchen offen hält, was prinzipiell die völlige Fernsteuerung des Heimrechners ermöglichen würde. Genau darum geht es anscheinend auch: Die Ports verbleiben im "Listen"-Modus, warten also auf Befehle.

Virenexperte rechnet mit neuen Wurm-Variationen
Nicht nur deshalb erwartet Alfred Huger, Virenexperte bei Symantec, dass die Blaster-Attacke erst der Beginn eines rauen Rittes auf der RPC-Sicherheitslücke darstellt. Blaster sei "sehr leicht zu entpacken und zu verändern". Irgendein Online-Vandale werde da schon sicherstellen, dass keine Langeweile aufkommt: "Ich glaube, es ist hoch wahrscheinlich, dass dieses Virus verändert und wieder in Umlauf gebracht wird. Wenn nicht heute, dann im Laufe der Woche".

Gut für Virenschreiber: Windows bietet viele Sicherheitslücken
Ansatzpunkte finden die Virenschreiber stets genug: Neben den offen Ports der bereits befallenen Rechner bieten sich weiterhin die bekannten Sicherheitslücken von Windows an, die von zu vielen Nutzern nicht rechtzeitig geflickt werden.

Sicherheits-Patchwork von Microsoft
Doch selbst wenn, bedeutet das keinen völligen Schutz: Auch das aktuellste Microsoft-Sicherheitspatch schließt nicht alle bereits bekannten Sicherheitslücken. Neben dem durch den Flicken behebbaren Leck im RPC-Dienst klafft da nämlich noch ein Löchlein - am gleichen Orte, knapp neben dem Flicken: Das wird dann wohl beim nächsten Update gestopft. Bis dahin, rät Heise, sollte man ein Auge auf die UDP- und TCP-Ports 135 bis 139 sowie 445 und 593 halten: Dort findet man den Hintereingang für ungebetene Besucher.
[b]tournois[/b]
[img]http://www.my-smileys.de/smileys3/zensurmann.gif[/img]
"Wir leben in einem Zeitalter, in dem die überflüssigen Ideen überhand nehmen und die notwendigen Gedanken ausbleiben!"
Joseph Joubert 1754 - 1824

Marco-15
Beiträge: 207
Registriert: So 03.11.02 17:25
Wohnort: Heidelberg

Beitrag von Marco-15 » Di 12.08.03 14:42

Nein, nein, eben nicht bei Programme! Da ist`s klar, da sieht man das Ding nicht!

Du musst es machen wie ich es geschrieben hab, hier nochmal ganz ausführlich:

Start Button klicken, dann auf "Ausführen..." klicken, dort "msconfig" eingeben, dann auf "OK" klicken, nun öffnet sich ein neues Fenster, das "Systemkonfigurationsprogramm. Dort gibt es rechts einen Registerreiter, der "Systemstart" heißt. Diesen anklicken. Hier werden dir nun alle Programme aufgelistet, die beim Start von Windows geladen werden. Und DORT schaust du ob bei den vielen Programmen eine namens "msblast" dabei ist bzw. "msblast.exe". Wenn du sie findest, machst du vorne dran den HAKEN weg! Dann gehst du auf "Übernehmen" und dann auf "ok". jetzt startest du den PC neu und kannst die msblast.exe entfernen :) !
Gruß Marco

Benutzeravatar
Morgoroth
Beiträge: 837
Registriert: Di 15.04.03 19:43
Wohnort: Müncheberg

Beitrag von Morgoroth » Di 12.08.03 14:45

Danke Marc! Aber das mit msconfig hast du nicht gesagt :wink:
oida ou eidos

  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag
  • Hilfe, was ist das?
    von heiheg » » in Token, Marken & Notgeld
    2 Antworten
    236 Zugriffe
    Letzter Beitrag von heiheg
  • Hilfe bei Bestimmung
    von gina_28 » » in Mittelalter
    5 Antworten
    441 Zugriffe
    Letzter Beitrag von Otakar
  • Brauche Hilfe!
    von heiheg » » in Token, Marken & Notgeld
    3 Antworten
    239 Zugriffe
    Letzter Beitrag von heiheg
  • Hilfe zur Bestimmung
    von Domingo63 » » in Altdeutschland
    5 Antworten
    212 Zugriffe
    Letzter Beitrag von heiheg
  • Hilfe bei Bestimmung
    von dudler82 » » in Deutsches Mittelalter
    5 Antworten
    364 Zugriffe
    Letzter Beitrag von dudler82

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste