Lösung für RPC / msblast-Geschädigte

Lösung für RPC geschädigte

Okay habe es jetzt in einigen Foren gesehen das habe ich bisher als Lösung gefunden

Es ist ein EXPLOIT:

cert.uni-stuttgart.de/ticker/article.php?mid=1124

"Der RPC-Dienst von Windows NT/2000/XP/2003 weist eine kritische Pufferüberlaufschwachstelle auf, durch die Angreifer ohne vorherige Authentifizierung mittels einer RPC-Anfrage das beherbergende Rechnersystem über eine Netzwerkverbindung kompromittieren können. Neben den ursprünglich von Microsoft genannten Einfallstoren sind weitere Angriffswege möglich. Mittlerweile ist ein Exploitcode verfügbar, der einem Angreifer eine Systemkompromittierung mittels einer Verbindung zu TCP-Port 135 erlaubt."

System patchen:

http://www.microsoft.com/downloads/...6C-C5B6-44AC-9532-3DE40F69C074&displaylang=de

Edit: Ich habe den Link mal zum Link gemacht
Ralph

das ist ein Exploit, der Win2k und WinXP betrifft vielleicht auch das neue Win2003...
Das Problem hatte ich auchmal, als sich auf meinem libelings IRC Netz einer rumtrieb, der bei jedem der auf den Server connectet hat versuchte diesen Exploit auszuführen...
Dank router und linux sind solche Probleme jetzt weg

hier ein fix von M$
http://support.microsoft.com/default.aspx?scid=kb;en-us;823980

hmm immer wenn ich den windows messenger bekomme ich so ne dumme meldung und das: PC stürtz ab ! kann das vielleich daran liegen!?

puhh THX bubti hatte den Fehler auch gerad
zum Glück war ich gerad am PC

@ matmuska bei mir kam der Fehler als ich den Messenger vollkommen per Firewall geblockt hab

Irgendwie funken diese Links nimmer wie die in dem Thread hier z.B. ich klick drauf aber nix passiert mit Rechtsklick und "in neuem Fenster öffnen" gehts auch nicht und Copy & Paste funktioniert auch nicht. Was kann ich da machen?

greetz stone

Die msblast.exe bringt den Rechner zum Neustart.
Es nutzt eine Lücke in Folgenden Systemen:

Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
Microsoft Windows 2000 Terminal Services SP3
+ Microsoft Windows 2000 Advanced Server SP3
+ Microsoft Windows 2000 Datacenter Server SP3
+ Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Terminal Services SP2
+ Microsoft Windows 2000 Advanced Server SP2
+ Microsoft Windows 2000 Datacenter Server SP2
+ Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Terminal Services SP1
+ Microsoft Windows 2000 Advanced Server SP1
+ Microsoft Windows 2000 Datacenter Server SP1
+ Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Terminal Services
+ Microsoft Windows 2000 Advanced Server
+ Microsoft Windows 2000 Datacenter Server
+ Microsoft Windows 2000 Server
Microsoft Windows NT Enterprise Server 4.0 SP6a
Microsoft Windows NT Enterprise Server 4.0 SP6
Microsoft Windows NT Enterprise Server 4.0 SP5
Microsoft Windows NT Enterprise Server 4.0 SP4
Microsoft Windows NT Enterprise Server 4.0 SP3
Microsoft Windows NT Enterprise Server 4.0 SP2
Microsoft Windows NT Enterprise Server 4.0 SP1
Microsoft Windows NT Enterprise Server 4.0
Microsoft Windows NT Server 4.0 SP6a
Microsoft Windows NT Server 4.0 SP6
Microsoft Windows NT Server 4.0 SP5
Microsoft Windows NT Server 4.0 SP4
Microsoft Windows NT Server 4.0 SP3
Microsoft Windows NT Server 4.0 SP2
Microsoft Windows NT Server 4.0 SP1
Microsoft Windows NT Server 4.0
Microsoft Windows NT Terminal Server 4.0 SP6a
Microsoft Windows NT Terminal Server 4.0 SP6
Microsoft Windows NT Terminal Server 4.0 SP5
Microsoft Windows NT Terminal Server 4.0 SP4
Microsoft Windows NT Terminal Server 4.0 SP3
Microsoft Windows NT Terminal Server 4.0 SP2
Microsoft Windows NT Terminal Server 4.0 SP1
Microsoft Windows NT Terminal Server 4.0
Microsoft Windows NT Workstation 4.0 SP6a
Microsoft Windows NT Workstation 4.0 SP6
Microsoft Windows NT Workstation 4.0 SP5
Microsoft Windows NT Workstation 4.0 SP4
Microsoft Windows NT Workstation 4.0 SP3
Microsoft Windows NT Workstation 4.0 SP2
Microsoft Windows NT Workstation 4.0 SP1
Microsoft Windows NT Workstation 4.0
Microsoft Windows XP 64-bit Edition SP1
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional

Es kann vonüberall her kommen.

@Bubti

Vielen Dank, du bist mein Retter

Bei mir is der Fehler heute plötzlich aufgetretten, und das 10 mal, jetzt is er weg...

Kann es sein, das der Computerbase Server auch von diesem Problem betroffen ist?
Ich kann die Seite alle paar Minuten nicht erreichen, ebenso Planet3dnow.

Original erstellt von TheCounter
@Bubti

Vielen Dank, du bist mein Retter

Bei mir is der Fehler heute plötzlich aufgetretten, und das 10 mal, jetzt is er weg...

Zum Vergrößern anklicken....

Danke Danke fühle mich richtig gehert habe nur ein bsichen in anderen Foren gesucht und da zufällig die Lösung gefunden.

Sehr seltsam.....
Naja vielen dank für die schnelle Lösung.
Helden T-Shirt geht an Bubti

Aber wieso trift es gerade heute soviele, der Patch ist vom 17.06.2003

Puh, das Ding ist hart.

Hatte in den letzten 20 Minuten 250 Angriffe von verschiedenen IPs.
Scheint auch ziemlich weit verbreitet zu sein, ne Freundin hat mich grad angeklingelt dass sie das Teil auch draufhat.

Gleiches gilt für nen Haufen leute im ICQ.

Die Symptome:

Der Computer beendet sich mit den Fenster, das man noch eine minute zeit hat seine Daten zu sichen und dann Windows XP von den NT Authoritätsservice heruntergefahren wird.
Nach ablauf der Minute fährt der Rechner runter.

Die Ursache:

Die ursache hierfür ist eine Datei names "msblast.exe" die sich in C:\windows\system versteckt, wobei sie sich nicht wirklich versteckt.
es handelt sich hierbei um einen Trojaner KEINEN virus.

Wie kann man den Trojaner ausschalten:

1. rechner vom inet trennen
2. dem Prozess "msblast.exe" im Taskmanger beenden
3. dann die datei "msblast.exe" löschen
4. Dann die windowsfirewall anstellen (achtung die gibt euch nur ca 20 min zeit, ist getestet da die angriffe weitergehen, auch wenn die datei nicht mehr vorhanden ist)
5. Hier die free version von zonealarm runterladen und installieren.

Natürlich tuts auch ne andere gute Firewall wie z.B. McAffee.

Have Fun.

Es handelt sich scheinbar um einen Wurm.
Smantec hat auch schon reagiert:

Symantec Hilfe (englisch)

Das nützt eine simple Windows Sicherheitslücke aus....

Leider scheints mit dem Patch nicht immer zu klappen. Scheinbar ist das System abhängig

man sollte sowieso alle sicherheitsrelevanten Patches installieren, wobei es diesen Patch schon länger gibt

wieso kommst du jetzt gerade damit !?

Wenn der Patch nicht funzt gehts so:

Die Symptome:

Der Computer beendet sich mit den Fenster, das man noch eine minute zeit hat seine Daten zu sichen und dann Windows XP von den NT Authoritätsservice heruntergefahren wird.
Nach ablauf der Minute fährt der Rechner runter.

Die Ursache:

Die ursache hierfür ist eine Datei names "msblast.exe" die sich in C:\windows\system versteckt, wobei sie sich nicht wirklich versteckt.
es handelt sich hierbei um einen Trojaner KEINEN virus.

Wie kann man den Trojaner ausschalten:

1. Rechner vom inet trennen
2. den Prozess "msblast.exe" im Taskmanger beenden
3. dann die datei "msblast.exe" unter windows/system32/ löschen
4. Dann die windowsfirewall anstellen (achtung die gibt euch nur ca 20 min zeit, ist getestet da die angriffe weitergehen, auch wenn die datei nicht mehr vorhanden ist)
5. Hier die free version von zonealarm runterladen und installieren.

scheinbar hat sich der Wurm erst ausgebreitet und dann richtig zugeschlagen...

Original erstellt von Loopo
man sollte sowieso alle sicherheitsrelevanten Patches installieren, wobei es diesen Patch schon länger gibt

wieso kommst du jetzt gerade damit !?

Zum Vergrößern anklicken....

Weil das Problem besonders heute heftig auftritt.
Nicht immer so mürrisch,tz

Original erstellt von Jarvid
Weil das Problem besonders heute heftig auftritt.
Nicht immer so mürrisch,tz

Zum Vergrößern anklicken....

okok, da ich immer alle Patches installier, hab ich davon nichts bemerkt, habe heute aber mit einem Bekannten telefoniert, der das Problem hatte, ist also doch recht nützlich (wobei ich ihm aber eben empfohlen habe, alle Patches zu installieren)

wie sieht es den aus...
Ich habe trotz dem Patch von Windows die MSBlast.exe drauf.
Habe den Prozess beendet und die betreffende Datei gelöscht, bin ich nun wieder safe ?

Es ist möglich das herunterfahren des Computers zu unterbrechen
einfach auf Start dann ausführen und

shutdown -a

eingeben. dass fährt der Rechner nicht mehr herunter und das das Fenster schliesst.

die msblast.exe ist ein wurm der diese sicherheitslücke ausnutzt wie ihr ihn weg bekommt hier mehr.


http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html


mfg exodus