!!!!!! Win XP fährt immer unerwartet runter wenn ich online bin. !!!!!

Status
Für weitere Antworten geschlossen.
Snoopyracer

Snoopyracer

Registriert
26. Dezember 2001
Reaktionspunkte
108
Hallo,

ich habe seit heute ein komisches Problem.
Immer wenn ich einige Minuten online bin kommt eine "komisch" Meldung das von Win XP das der PC in den nächsten Sekunden runter fährt.

Zitat:
Windows muß neu gestartet werden da der Remoteprozeduraufruf (RPC) unerwartet beendet wurde.

Herunterfahren wird von NT-Autorität\System ausgelöst.
Zitat Ende:

Was kann das sein?
Ein Virus?

Danke für jede Info.

Gruß

Christian
 
Hallo,

danke für deine Info.
Ich habe die XP TCPIP Firewall aktiviert und den Patch installiert. Bis jetzt funktioniert es wieder. Vorhin konnte ich keine zwei Minuten im Web bleiben.

Gruß

Christian
 
Hier die Aufklärenden Zeilen von mir, die ich erst kürzlich an meine "Buddys" versendet habe :D

Hi Friends,

Ich möchte euch an dieser Stelle auf eine Sicherheitslücke bei den Microsoft Betriebssystemen aus folgender Liste hinweisen:
Nur wenn ihr eines dieser Betriebssysteme auf eurem PC habt könntet ihr betroffen sein!

Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition
Microsoft Windows NT Workstation 4.0

Wie äußert sich die Sicherheitslücke?
Auf eurem Rechner öffnet sich plötzlich ein Fenster in welchem mitgeteilt wird, daß sich der RPC Dienst unerwartet beendet hätte und der Rechner in ca. 50 sek. Neu gestartet wird. Ihr habt dann genau diese 50 sekunden Zeit um ggf. geöffnete Dateien/Dokumente zu sichern, da sich der Vorgang nicht abbrechen läßt!!!!

Werdet ihr also derzeit oder in Zukunft mit dieser Nachricht "belästigt" (vorwiegend beim surfen im Internet, aber auch, wenn ihr nur eine Verbindung aufbaut um Beispielsweise eure Mails abzuholen!), so installiert bitte den unten verlinkten Sicherheitspatch von Microsoft damit wieder Ruhe einkehrt!

In dem verlinktem KnowledgeBase Artikel ist das Problem beschrieben. Vermutlich wird der eine oder andere nicht alles verstehen, aber genug um mal wieder zu sehen das MS da gewaltig "gepatzt" hat. :eek:


Hier der Artikel aus der KnowledgeBase:

http://support.microsoft.com/default.aspx?scid=kb;de;823980

In dem Artikel fürhen auch Links zu den entsprechenden Downloads (je nach Betriebssystem!).

Gruß,
Harry / IBC-Securitybeauftragter ;)
 
Den Port zu schliessen und die lächerliche "XP Firewall" zu installieren ist pure Symptombekämpfung und nichts weiter! Ihr müsst den Wurm entfernen, ansonsten seid ihr mit einer kompromittierten Kiste im Netz.
Warum denkt ihr nur bis auf eure Nasenspitze? Ist das Windowsmenthalität?
 
Hallo,

meinst Du denn das ich jetzt schon dadurch einen Virus auf meinem Rechner habe?
Mit welcher Software könnte ich ihn suchen und eventuell wieder runter werfen?

Gruß

Christian
 
Hallo Kater,

danke für den Hinweis! Wer sich bereits mit dem Wurm infiziert hat sollte sich die nachstehenden Informationen zu Herzen nehmen ;)
Wer den Patch rechtzeitig installiert hatte, kann sich mit dem Wurm nicht infizieren, soweit zum Satz mit der Nasenspitze von unserem Pinguin-User(?) :D ;)

=====================
New Virus: W32.Blaster.worm

SEVERITY: CRITICAL
DATE: August 11, 2003
PRODUCTS AFFECTED: Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition

WHAT IS IT?
The Microsoft Product Support Services Security Team is issuing this alert to inform customers about a new worm named W32.Blaster.Worm which is spreading in the wild. This virus is also known as: W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates). Best practices, such as applying security patch MS03-026 should prevent infection from this worm.

Customers that have previously applied the security patch MS03-026 before today are protected and no further action is required.

IMPACT OF ATTACK: Spread through open RPC ports. Customer's machine gets re-booted or has mblast.exe exists on customer's system.

TECHNICAL DETAILS: This worm scans a random IP range to look for vulnerable systems on TCP port 135. The worm attempts to exploit the DCOM RPC vulnerability patched by MS03-026.

Once the Exploit code is sent to a system, it downloads and executes the file MSBLAST.EXE from a remote system via TFTP. Once run, the worm creates the registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Symptoms of the virus: Some customer may not notice any symptoms at all. A typical symptom is the system is rebooting every few minutes without user input. Customers may also see:
- Presence of unusual TFTP* files
- Presence of the file msblast.exe in the WINDOWS SYSTEM32 directory

To detect this virus, search for msblast.exe in the WINDOWS SYSTEM32 directory or download the latest anti-virus software signature from your anti-virus vendor and scan your machine.

For additional details on this worm from anti-virus software vendors participating in the Microsoft Virus Information Alliance (VIA) please visit the following links:

Network Associates:
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547

Trend Micro:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

Symantec:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

Computer Associates:
http://www3.ca.com/virusinfo/virus.aspx?ID=36265

For more information on Microsoft's Virus Information Alliance please visit this link: http://www.microsoft.com/technet/security/virus/via.asp


Please contact your Antivirus Vendor for additional details on this virus.

PREVENTION: Turn on Internet Connection Firewall (Windows XP or Windows Server 2003) or use a third party firewall to block TCP ports 135, 139, 445 and 593; TCP ports 135, 139, 445 and 593; also UDP 69 (TFTP) for zombie bits download and TCP 4444 for remote command shell. To enable the Internet Connection Firewall in Windows: http://support.microsoft.com/?id=283673

1. In Control Panel, double-click Networking and Internet Connections, and then click Network Connections.
2. Right-click the connection on which you would like to enable ICF, and then click Properties.
3. On the Advanced tab, click the box to select the option to Protect my computer or network.

This worm utilizes a previously-announced vulnerability as part of its infection method. Because of this, customers must ensure that their computers are patched for the vulnerability that is identified in Microsoft Security Bulletin MS03-026. http://www.microsoft.com/technet/security/bulletin/MS03-026.asp. Install the patch MS03-026 from Windows Update http://windowsupdate.microsoft.com

As always, please make sure to use the latest Anti-Virus detection from your Anti-Virus vendor to detect new viruses and their variants.

RECOVERY: Security best practices suggest that previously compromised machine be wiped and rebuilt to eliminate any undiscovered exploits that can lead to a future compromise. See Cert Advisory:
Steps for Recovering from a UNIX or NT System Compromise. http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

For additional information on recovering from this attack please contact your preferred anti-virus vendor.

RELATED MICROSOFT SECURITY BULLETINS: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

RELATED KB ARTICLES: http://support.microsoft.com/?kbid=826955
This article will be available within 24 hours.

RELATED LINKS: http://www.microsoft.com/security/incident/blast.asp
As always please make sure to use the latest Anti-Virus detection from your Anti-Virus vendor to detect new viruses and their variants.

If you have any questions regarding this alert please contact your Technical Account Manager or Application Development Consultant.

PSS Security Response Team
 
Original geschrieben von Rabbit

Wie äußert sich die Sicherheitslücke?
Auf eurem Rechner öffnet sich plötzlich ein Fenster in welchem mitgeteilt wird, daß sich der RPC Dienst unerwartet beendet hätte und der Rechner in ca. 50 sek. Neu gestartet wird. Ihr habt dann genau diese 50 sekunden Zeit um ggf. geöffnete Dateien/Dokumente zu sichern, da sich der Vorgang nicht abbrechen läßt!!!!
Zum Vergrößern anklicken....

Herunterfahren von Hand abbrechen

Wenn der Computer immer wieder automatisch herunterfahren will und die Zeit nicht ausreicht, um Dateien aus dem Internet herunterzuladen, gibt es einen Trick:

• klicke auf „Start“
• klicke auf „Ausführen“
• gib ein:
shutdown -a
• klicke auif „OK“

Dadurch wird das Herunterfahren des Rechners abgebrochen, und du hast alle Zeit der Welt, um die benötigten Programme aus dem Internet herunterzuladen. Bitte beachte aber, dass du den Wurm, solange du dich im Internet aufhältst, ungewollt weiter verteilst! Bleibe also bitte nur so lange wie unbedingt nötig im Netz!
 
nabend ihr würmer!
Der wurm ist ja nicht sooo bösartig wie andere viren. nur halt das herunterbooten nervt halt. sonst würd ich ihn nämlich net runterhauen!
Hintergrund: Der mensch, der sich den wurm ausgedacht hat, hat das ding mit nem geilen hintergrund programmiert! Am 16 august starten alle rechner auf denen der wurm installiert ist einen server und schicken sinnlosen müll zum microsoft server. Ja, stellt euch mal vor so ca nen paar millionen leute schicken auf einmal müll zum microsoft server! :):):)
Gebt doch mal zu, irgentwie habens die säcke von microsoft verdient! Vertickern hier ihre arsch teure software mit sicherheitslücken. ahnungslose kunden KAUFEN (*hust*) das natürlich und werden mit würmern belohnt! da lob ich mir meinen sekundärrechner mit linux! der geht imma!

aber noch was zum beheben des wurms: ich habe leider schon zu lange an dem problem herumgewurschtelt, und hab erst heute mitbekommen das es eine "offizielle" version des wurmtötens gibt. ich kann diesen scheiss patch net starten. Vorher hatte ich diesen dienst der probleme macht (remoteausrufbla) so frisiert, dass er mir meinen rechner nicht immer runterfährt. nach der zeit wo er mir den dann normalerweise runterfahren würde, gabs aber ne menge probleme, da ziemlich viele andere dienste mit diesem verknüpft waren! (Probleme wie treiberverlust, aussetzen des zwischenspeichers usw.) das booten brauch auch ne halbe ewigkeit (5min) hat da auch schon einer erfahrungen mit und kann mir nen sinnvollen tip geben????
 
"Nicht so bösartig"? Hallo? Dein System wird kompromittiert und Teil eines DDoS was _strafbar_ ist.
 
kompromittiert? was is das??? also zumindest stufe ich das ding als nicht bösartig ein. es gibt schlimmere viren. die machen gleich kurzen prozess. da is nix mit einer minute daten sichern und so.
bei meinem vater hab ich ihn ja auch ohne props wegbekommen, nur bei mir hab ich halt vorher zu lange dran rumgebastelt ohne mal im inet zu schauen wies wirklich geht.
und das mit dem strafbar halt ich ja wohl für nen gerücht! soll sich microsoft mal anstrengen, dass sowas garnich zustande kommt!
 
müsst halt ne firewall benutzen dan kann sowas garnicht passieren:rolleyes:

zone alarm ist z.b kostenlos zum downloaden und ist völlig ausreichend
 
Der Patch ist seit Mitte Juli verfügbar. Wer in Abständen das Windows-Update laufen läßt, sollte den Patch bereits haben.
 
Original geschrieben von kater
Das Thema mit den pseudo Paketfiltern unter Windows hatten wir schon oft...
Zum Vergrößern anklicken....

In dem Fall hat aber die Kerio Firewall geholfen. Hab mal testweise meinen Windoze Rechner ungeschützt ins Netz gehängt - 20 Sekunden, dann Attacke !
 
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

RISE
XP laaaahmt nach Neuinstallation
Antworten
9
Aufrufe
1K
ambro
ambro
TheFallOfTroy
Win XP fährt sich ständig von selbst runter
Antworten
6
Aufrufe
726
Shy-D
Shy-D
D
Virus!?
Antworten
10
Aufrufe
724
rockbar
rockbar
Snoopyracer
Win XP einfach drüber installieren?
Antworten
4
Aufrufe
733
Snoopyracer
Snoopyracer
Snoopyracer
Neuer PC fährt mit Win XP nicht ganz runter
Antworten
5
Aufrufe
616
tobi
tobi
Zurück