|
Ich hatte (oder habe?) das Problem auch. Allerdings ist mir aufgefallen, dass vor dem Neustart (wenn eigentlich msblast.exe gar nicht mehr da war und das Problem dennoch auftrat) folgende Meldung kam: Generic Host Process for Win32 Services hat ein Problem festgestellt und muß beendet werden. Danach kam die übliche Meldung: Das System wird heruntergefahren. Speichern Sie alle Daten, und melden Sie sich ab. Alle Änderungen, die nicht gespeichert werden, gehen verloren. Das Herunterfahren wurde von NT-AUTORITÄT\SYSTEM ausgelöst. Meldung: Windows muß jetzt neu gestartet werden, da der Dienst Remoteprozeduraufruf (RPC) unerwartet beendet wurde. Dieses Problem hatte ich sowohl auf meinem Laptop als auch auf meinem PC. Im Büro hatten wir den Wurm nicht, deshalb konnte ich mir die Kommentare hier ausdrucken und zu Hause ausprobieren. Da ich jetzt schon ca. 5 Minuten nach der Meldung mit dem "Generic Host Process" noch ohne Neustart online bin, habe ich den Wurm wohl durch eure Hilfe entfernt. Ich hoffe, er bleibt auch weg! Kann jemand was zu der Meldung mit dem "Generic Host Process" mitteilen? (Oder hat das gar nichts mit dem msblast.exe zu tun?) |
</font><blockquote>Zitat:</font><hr /> Original von forge77: Wer sich nicht sicher ist, ob sein Port 135 erreichbar und damit potentiell "angreifbar" ist, sollte mal kurz diesem Link folgen: https://grc.com/x/portprobe=135 </font>[/QUOTE]bei mir ist das "Stealth" Ein Grund mehr, dem von mmk schon geposteten Link http://kssysteme.de zu folgen und möglichst viele Dienste zu beenden [img]smile.gif[/img] Bei Kaspersky ist jetzt auch eine schöne Beschreibung des Wurms: http://www.kaspersky.ch/avpve/worms/win32/lovesan.stm Gruß Hendrik |
Just as a little note: DA gibts einen kleinen Remover von mir der 1. den Wurm entfernt und 2. weitere Infektionen verhindert. |
nur mal so am rande bemerkt. die DoS attacke beginnt am 16.08 und soll bis jahresende gehn. aber schon jetzt kann ICH zumindest den meisten links garnicht mehr folgen. weder m$ update, noch antivir update, noch verscheidene hir gepostete links funzen bei mir. ich weiss nicht wies bei euch ist, aber die DoS oder dDoS atacke machen wir im moment schon. bei mir jedenfals funzt fast kein sicherheits link. cya peter |
Ich denke mal die Server sind überlastet, weil jeder updaten mag und Infos haben will ... |
@ Andreas: Ich habe versucht (zur Vorbeugung) mir das Tool runteruladen, von deinem Link, doch mein AVK springt da an und Meldet folgenden Virus: PWS Hacksoft A; Engine: RAV...wohl Fehlalarm oder? Die Datei lautet RMX56kud und landet unter Einstellungen.....in Temp [ 12. August 2003, 23:10: Beitrag editiert von: I_wanna_know ] |
Schon :o). Ich jag alle releases vorher immer durch 3 virenscanner ;o). |
Hallo peter1966, bei mir hat das Update von AntiVir erst vor wenigen Minuten geklappt. Schau mal hier rein. Ich denke auch, dass ganz einfach die Server überlastet sind, weil viele gleichzeitg updaten wollen. Aber mich mit Windows ME betrifft der lovesan ja gottseidank nicht. Gruß :D :D :D :D |
Komisch...wie kommt es eigentlich zu derartigen Fehlalarmen? Weisen einige Programmteile [img]redface.gif[/img] :cool: Gemeinsamkeiten mit Viren auf oder wie? [ 13. August 2003, 10:14: Beitrag editiert von: I_wanna_know ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von YAW Support: Ich denke mal die Server sind überlastet, weil jeder updaten mag und Infos haben will ... </font>[/QUOTE]Joh, denk ich auch. So wie dieser Blaster heute um sich gegriffen hat im Netz, kein wunder... :( |
Hallo erstmal :] Wie geht das denn jetzt genau ab, wenn der virus ankommt. ich habe mich da gerade mal eingelesen, und für mich war es ganz neu, dass ein programm sich auf diese art einschleichen kann. ich habe selbst ein wenig programmier-erfahrung, und immer wenn ich filme wie "Hackers" oder "Terminator3" gesehen habe, in denen so ein virus/eine maschine einfach mal tut was sie will, saß ich nur schmunzelnd und dachte : "sowas geht doch garnicht"; also wie soll das gehen und warum geht das? auch wenn viren unbestritten )&§&$(/& sind, ist der Text an Billy (the one making the) Gates (for you) ja mal ernst zu nehmen. wie kann man in ein Betriebssystem eine funktion einbauen, die einem fremdem User die möglichkeit gibt ohne den Administrator Code auszuführen, so wie es ein Trojaner tut? Das klingt für mich ganz nach m$-Hintertuer zum spionieren, oder liege ich da falsch? Wie kann so ein Fehler denn auftauchen? Da muss doch irgendwer absichtlich diese Lücke geschaffen haben, oder? [img]graemlins/balla.gif[/img] |
Nein sicher keine Hintertür zur Spionage.Der Code wird auch nicht als Administrator ausgeführt sondern mit Rechten des Systems. Der RPC ist ein Systemdienst, der mit Rechten des Systems ausgeührt wird, es nutzt Sockets um via IP mit anderen Windows PC´s zu kommunizieren.(z.b mit einen Domänencontroller). Wenn der Wurm über einen Socket ein Buffer overflow produziert bekommt er die selben Rechte wie der Systemdienst..... |
@forge: Sorry, ich hab' mich schlecht ausgedrückt: ich habe ja alle bei mir nicht nötigen Dienste sowieso schon geschlossen gehabt, deshalb ist der Port ja auch "Stealth"... Ich meinte: Da man durch Portschliessen sich schützen kann (sozusagen doppeltgenäht hält besser zusammen mit dem Patch), ist der Link von mmk wirklich empfehlenswert. Und obendrein ist man dann möglicherweise vor dem nächsten Wurm schon sicher. Hendrik |
ja klar sind die server überlastet. mit DoS angriff,meinte ich doch UNSERE downloadversuche. war etwas ironisch gemeint. cya peter [img]smile.gif[/img] |
</font><blockquote>Zitat:</font><hr /> bei mir ist das "Stealth" Ein Grund mehr, dem von mmk schon geposteten Link http://kssysteme.de zu folgen und möglichst viele Dienste zu beenden </font>[/QUOTE]Das Problem ist ja leider, dass gerade dieser Dienst auf vielen Systemen nicht ohne negative Folgen zu beenden ist... [img]redface.gif[/img] Allerdings verstehe ich jetzt nicht so ganz, warum "stealth" erst recht ein Grund dafür sein soll, den Dienst zu beenden... :confused: "Stealth" bedeutet doch, dass für den Moment keine Gefahr droht, und sagt auch nix darüber aus, ob an dem Port eigentlich ein Dienst lauscht, oder nicht (was nicht heißen soll, dass ein beendeter Dienst nicht die optimale Lösung wäre.) [img]smile.gif[/img] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board