Abstürze XP Lösung inside - RPC Sicherheitsloch

[iglo]

MS03-026: Pufferüberlauf in RPC-Schnittstelle kann Ausführung von Code ermöglichen

http://support.microsoft.com/default.as ... ;de;823980

Patch saugen und installieren - bezieht sich auf die Abstürze die Helli, Pogue und Ed hatten heute abend.

[iglo]

Tip noch: man kann das Herunterfahren (Countdown) abbrechen indem man shutdown -a in der Kommandozeile eingibt (Start - Ausführen..).

[Spike]

Win2000 User haben immer den Fehler mit sv***.exe, was aber keine negativen Auswikungen zu haben scheint (ausser das der Dienst halt einmal abkackt).

[iglo]

Hier ein Hacker-Newbie-Guide dazu:

http://www.astalavista.com/library/audi ... newbie.txt

.. d.h. nichts anderes, als daß alle Leute deren Rechner heruntergefahren sind mit hoher Wahrscheinlichkeit bereits "Besuch" hatten.

[Krallzehe]

Puh...bin hier gerade schon wahnsinnig geworden.

[Krallzehe]

Hab jetzt

- Virenscan durchlaufen lassen

- überprüft, ob alle Windows Dateien noch original sind und

- Spybot einmal drüberlaufen lassen.

Das müsste reichen oder?

[Gunsmoke]

Super Support Igge.

[iglo]

Denke ja Kralle, aber man weisses natürlich nie.. :nocomment:

Bitte Gunny

[Hessie J.]

Boah!

Auch von mir besten Dank, Iglo, für den spitzen Support. Ich hätte meine Kiste fast durchs geschlossene Fenster getreten. Überleg Dir schonmal, was Du auf der Junien trinken möchtest

[iglo]

erst mein Bier dann Dein Bier

[iglo]

Nochwas: u.U. sind rechner dann auch bereits vom Wurm W32.Blaster.Worm betroffen, der diesen Bug explizit nutzt:

http://securityresponse.symantec.com/av ... .worm.html

Dagegen hilft wohl nur alle betroffenen Daten per Scan aufzuspüren und zu entfernen und dann die beschriebenen Einträge in der Registry zu löschen (s. Link).

Wer keinen Scanner hat kann auch diesen Online-Scanner verwenden.

[Rochen]

Juppi suppi iggy

ich bedank mich auch mal das du mich nach meinem kurzen hilferuf im IRC sofort ZUHAUSE um 1:30 NACHTS angerufen hast *g*
wird werden warscheinlich nie wissen wie du an meine privatnr. gekommen bist aber das is mir auch schnuppe *g*

so alles wieder in ordnung ..
was lernen wir daraus ?

windoof update is doch nicht SOOOO falsch

in diesem sinne ..

[iglo]

Deine Nummer? Durch die "Firma"

[PogueMahone]

Hab jetzt

- Virenscan durchlaufen lassen

- überprüft, ob alle Windows Dateien noch original sind und

- Spybot einmal drüberlaufen lassen.

Das müsste reichen oder?

nope, tut es anscheinend nicht.....
Norton gesetern geupdatet, trotzdem tot.

Hier ein Link zum Thema:

http://neocron.jafc.de/showthread.php?s ... genumber=1

auf Seite 3 wird es interessanter.

Ich hab eben mal nach der "msblast.exe" gesucht, die da genannt wird und siehe da, ich hab sie gefunden. Mag ja sein, dass es die schon immer gab, aber meine hat das Installationdatum: 11.08.2003 20:42, also gestern......
Da ich gestern Abend zu dem Zeitpunkt definitiv nur HLSW, TS und CS laufen hatte und die Map gezogen hab, kann eigentlich nur einer der o.g. Faktoren dafür ausschlaggebend gewesen sein.....
Die SVCHOsT-Abstürze, hab ich auch erst seit gestern Abend, witziger Weise, klingelte Simultan das Telefon, als der Rechner abrauchte....

[HellsKitchen]

Danke auch noch mal an dieser Stelle an den Iglo!
Ohne Deine Unterstützung und Deinen Rat hätte ich wohl schon den Motek geschwungen.

Meinen Rechner hats wohl ziemlich übel erwischt.
Da hat sich der Angriff von außen noch mit meinem unüberlegtem Aktionismus gepaart,
das wird mich wohl noch einige Nerven kosten, das Abenteuer.

[Hunter]

ups, so schlimm Helli ? Was hast Du denn noch gemacht gestern ?!?

[Quickkiller]

denkt bitte auch daran, dass ihr die scanner updatet und testen mit 2 verschiedenen...... nur so als tip.

[HellsKitchen]

Tja Hunter was hab ich gemacht, das ist eine verdammt gute Frage.

Als Ed im TS verkündet hat er hätte eine Lösung hab ich mich natürlich gefreut und gleiches bei mir eingestellt. Dachte ich. Nach dem einstellen noch flink ein Systemstart
und .... nix.
Das System fährt nun mit einer Geschwindigkeit hoch, das ist ist zum wahnsinnig werden.
Dauert bestimmt so 10 min.
Dann seh ich mein Hintergrundbild und alle Icons, aber keine Taskleiste und die windooftaste reagiert auch nicht. Von den Icons reagieren auch längst nich alle.
Hmmm was mir noch aufgefallen ist..., wenn ich mit dem Taskmanager einen Dienst beende, dann bekomm ich ein akustisches Signal aus dem Rechner (peeep), das war vorher noch nicht da.
Nachdem mir Iglo Dank Hunter den Weg in die Systemsteuerung zeigen konnte hab
ich versucht die Einstellung welche ich vorher verändert hatte zu überprüfen, aber
der Rechtsklick mit dem Versuch an die Eigenschaften zu kommen schlug fehl, da
reagierte mein lieber Freund der PC leider nicht.

Je mehr ich davon schreibe, desto mehr Lust bekomm ich wieder mit nem Hammer nach
Hause zu fahren und meinem anthrazit farbenden Freund mal ne Runde Mores zu lehren.

[Hunter]

Nunja, an den Einstellungen bezüglich Neustart bei Fehler bei dem Dienst liegt es mit Sicherheit nicht, dass dein PC so rummuckt. Ich fürchte Du hast Dir bei dem versuchten Angriff wirklich was eingefangen. Ich hab mir Iglos Link mit der Anleitung mal durchgelesen, das ist wirklich erschreckend einfach...
Wenn alles nix hilft versuch mal eine Reparaturinstallation, die ersetzt zumindest die Systemdateien durch ihre Originale, falls da wer was gedreht hat.

[Spike]

Ja scheiss Win Sicherheitslöcher, da probieren wohl Script Kiddies neue Sachen aus.
Komisch ist ja das wir das alle fast gleichzeitig hatten, nachdem wir TS auf hatten?

Ed hat ja kein CS gespielt, also daran sollte es nicht liegen.
TS schuld?

[Hunter]

Glaub ich nicht Spike, eher T-Online und Portscans...

[Quickkiller]

wenn es alle die hatten, die im ts waren, ist der über den ts port reingekommen. allerdigns das er alle gelcihzeitig erwischt hatt über einen portscann ist sehr unwarscheinlich, da die IP ranges zu weit auseinander liegen. von ED zu Helli liegen welten dazwischen, was die ip´s angeht.
was ich mir vorstellen könnte, ist das entweder bei k-play jemand drauf gekommen ist, oder das ihr alle keine firewalls am rechner habt. wobei, wenn der über eine runnin prozess gekommen ist währe auch die firewall egal, am besdten en router *reusper*
was du gegen dein problem machen kannnst helli, ist wei hunter gesagt ham, mal die systemdateien wieder herstellen beim start.
das könnte helfen.

[Spike]

Tjo dann mach ich mal SP3 drauf und lass das Win Update durchlaufen *first time*

Quick Firewall ist egal soweit ich gelesen habe, wenn Win die Ports offen hat durch Bugs nützt ne Firewall nix.

[Krallzehe]

Nochwas: u.U. sind rechner dann auch bereits vom Wurm W32.Blaster.Worm betroffen, der diesen Bug explizit nutzt:

http://securityresponse.symantec.com/av ... .worm.html

Dagegen hilft wohl nur alle betroffenen Daten per Scan aufzuspüren und zu entfernen und dann die beschriebenen Einträge in der Registry zu löschen (s. Link).

Wer keinen Scanner hat kann auch diesen Online-Scanner verwenden.

Ui, die Sau hab ich auch drauf. Na warte. :dirty:

Außerdem hab ich beim Hochfahren und immer mal wieder zwischendurch, dass sensapi.dll keine gültige Windows-Datei sei. Was ist denn davon zu halten?

[Quickkiller]

hab ich am sonntag noch gemacht bevor ich gefahren bin,
da waren ja bistimmt schon wieder 15 sicherheitsupdates seit anfang april drauf, hatte vor der junen das letzt update gemacht.

[Headi]

Hier gibts einen Lösungsvorschlag:
http://www.planet3dnow.de/vbulletin/sho ... did=112917

[Ed]

Ach falls sich jemand wundert, wieso ich gestern nicht wieder ins TS gekommen bin: Es ging nichts mehr! Hochfahren siehe Helli, nach einigem zusätzlichen Rumpfuschen in der Registry musste ich XP neu installieren... Insgesamt ne schöne 4-Stunden-Aktion, und ich bin noch nicht wieder da, wo ich vorher war

[Spike]

Ich bin nach wie vor skeptisch gegenüber XP *weglauf*

[Hunter]

Das Problem betrifft aber alle auf NT basierenden Windows-Versionen - mit mehr oder weniger unterschiedlichen Auswirkungen...

[Schnuffz]

DAS IST DER WAAAAAAAAAAAHHHHHHHHNSINNNN

Mein Telefon steht nicht mehr still und so ca. 80% von meinen Bekannten, die XP haben, haben das Problem... aaaaaaaahhhhhhhhhhh...
Ich mach mich mal auf Update-Rund-Fahrt heute mittag, heeeeeeeul ...
S.