freez 10 Geschrieben 17. August 2003 Melden Teilen Geschrieben 17. August 2003 Hallo, habe auf einem Rechner von einem Kollegen merkwürdige Probleme. Zu den Daten: w2k pro system mit ie6 Standalone system mit 56k modemzugang per freenet Einige Links lassen sich einfach nicht mehr öffnen. Meistens sinds externe. zB. kann ich mich hier im board ohne probleme bewegen. Aber bei einem externen Link passiert einfach nix. weder eine Fehlermeldung, noch ändert sich was in diesem Fenster. Wenn ich den Link anklicke mit 'In neuem Fenster öffnen' passiert auch nix. Allerdings wieder, wenn ich mich im Board bewege. In der Adressleiste kann ich problemlos Adressen eingeben. Wenn ich allerdings einen externen Link per copy&past in die Zeile zu bringen, übernimmt er mir die Adresse nicht in die Zwischenablage. Das ganze ist nicht nur hier im Board so. Es gibt dieselben Probleme auch in waslos.de. Da werden teilweise auch Links von waslos.de nicht ausgeführt (immer, wenn ein neues Fenster geöffnet werden soll). Mehr habe ich nicht probiert (langt ja auch). Da ich auch den w32.blaster vermutet habe (die msblast.exe läuft aber nicht als Prozess), habe ich mal ein removal tool nach den wurm suchen lassen. ohne Erfolg. Ein weiteres Phänomen ist dabei aufgetreten. In der Beschreibung zu diesem Tool stand drin, das in den Eigenschaften von RPC Locator was geändert werden muss. Hm, eine Eigenschaftenfenster hat sich nicht geöffnet, aber als ich die services.msc wieder schliessen wollte, kam die Meldung, das noch ein Eigenschaftenfenster offen sei. Nur war nirgends eins zu finden. Auch nicht im Taskmanager. Ich habe das Gefühl, das die Sachen geöffnet werden, aber irgendwie nicht sichtbar für mich. Es ist echt komisch. Aber bevor ich das System neu aufsetzte, wollte ich einen externen Rat einziehen. Vielen Dank im vorraus. Zitieren Link zu diesem Kommentar
freez 10 Geschrieben 17. August 2003 Autor Melden Teilen Geschrieben 17. August 2003 axo, was noch zu erwähnen wäre, beim hochfahren ist icq lite und svhost abgestürzt. Die Fehlermeldung war eine Standard von Windows. An den Wortlaut kann ich mich nicht erinnern. Morgen werd ich auch mal einen Virenscanner drüber laufen lassen. Zitieren Link zu diesem Kommentar
freez 10 Geschrieben 21. August 2003 Autor Melden Teilen Geschrieben 21. August 2003 so, habs gestern mal geschafft nen virenscanner drauf laufen zu lassen. ohne erfolg. das sonderbare ist, das ich einen 2. Kumpel hab, mit genau den selben sympthomen. die winlogin.exe oder msblast.exe läuft aber nicht als prozess, was auf den blaster wurm hindeuten tät (auch die sympthome sind da etwas anders, wie bei diesem wurm ... oder hatte jemand des schon mal in verbindung mit dem wurm?). Hat jemand ne Ahnung? Ich hab das Gefühl, es ist ein Wurm/Virus. Aber der Virenscanner (Antivir) findet einfach nix (aktuelle Signaturen!). Zitieren Link zu diesem Kommentar
CrueBaby 10 Geschrieben 21. August 2003 Melden Teilen Geschrieben 21. August 2003 Hi! sehr interessant: http://www.mcseboard.de/showthread.php?s=&threadid=12269 Einfach austesten und den Patch mal drauf spielen. Ich habe das Ding in einem Netzwerk gesehen - es ist jedes mal anders. Versuch es. Mehr als nicht helfen kann es nicht. Und "gefunden"wird er auch nicht immer - glaubs mir. Er ist da ohne gesehen zu werden. Try it out. Gruß, Tina Zitieren Link zu diesem Kommentar
freez 10 Geschrieben 21. August 2003 Autor Melden Teilen Geschrieben 21. August 2003 Danke erst mal. Ich konnte bisher nicht den Patch installieren, da des entsprechende Service Pack fehlt. Und er hat nur ein Modem :c(. Also, muss ich mal guggn, das ich ihm das auf cd mitgeb. und ich werd sehen, was er sagt. Also, danke erst mal, ich meld mich Zitieren Link zu diesem Kommentar
MarcBDZ 10 Geschrieben 22. August 2003 Melden Teilen Geschrieben 22. August 2003 Hallo! Dieses Phänomen wird definitiv durch den Patch gegen die Sicherheitslücke im RPC behoben. Ein Tool von irgendeinem Script-Kiddie hat in diesem Fall über die Sicherheitslücke bestimmte Dienste abgeschossen. Nach Installation des Patches ist dies nicht mehr so leicht möglich. Dadurch treten folgende Symptome auf: -DFÜ-Verbindung lässt sich nicht mehr öffnen, anzeigen, trennen -Kopieren von Text unmöglich -Kopieren von Dateien unmöglich -Fehlermeldungen wegen fehlendem Java-Script auf manchen Websites -Links in neuem Fenster öffnen geht nicht etc. CU! Marc Zitieren Link zu diesem Kommentar
freez 10 Geschrieben 22. August 2003 Autor Melden Teilen Geschrieben 22. August 2003 genau diese Symptome meinte ich. super, danke dieser Wurm/script/virus ist aber damit nicht entfernt, oder? Gibt es da noch vorschläge? Am Montag hab ich endlich Zugriff auf beide Rechner, da kann ich genau sagen, was Sache ist. Zitieren Link zu diesem Kommentar
MarcBDZ 10 Geschrieben 22. August 2003 Melden Teilen Geschrieben 22. August 2003 Nein, der Wurm ist damit nicht gemeint. Es gibt ja diese Sicherheitslücke im RPC, über die zum Einen Viren wie der lustige W32.Blaster ins System eindringen kann, aber zum anderen können auch Script-Kiddies mit lustigen "Hackerprogrammen" wahllos Angriffe starten und bestimmte Dienste zum Absturz bringen. Man kann den Blaster mit den Removaltools, z.B. von Symantec entfernen. Jedoch wird so nicht die Sicherheitslücke geschlossen, und selbst ohne Blaster stürzen die Systeme ab. Zwei unterschiedliche Probleme, die über das gleiche Sicherheitsleck auftreten. Die Sicherheitslücke wird durch den Patch auf der Microsoft Website geschlossen. Zitieren Link zu diesem Kommentar
freez 10 Geschrieben 22. August 2003 Autor Melden Teilen Geschrieben 22. August 2003 Ja, des mit dem blaster wurm und der sicherheitslücke hab ich ja verstanden. Sind dann also keine unerwünschten Programme auf diesen Rechnern? Das kann ich mir net vorstellen, da des ja ständig passiert. Zitieren Link zu diesem Kommentar
MarcBDZ 10 Geschrieben 22. August 2003 Melden Teilen Geschrieben 22. August 2003 Ausschließen lässt sich das nicht, denn die Sicherheitslücke ermöglicht unter anderem, dass Code von aussen auf dem PC ausgeführt wird. Das geht dann schon etwas weiter als die "Hacker-Tools" die von den Kindern benutzt werden. Gestern hatte ich einen Kunden-PC hier mit Win2K, bei dem war auch nach Installation des Patches immer direkt nach dem Start eine Fehlermeldung von wegen SVCHOST.EXE wird geschlossen bla., obwohl der PC keine Internetverbindung hatte. Nach etwas Suchen hab ich dann unter Dienste einen Eintrag "Remote_Procedure_Call" entdeckt, der eine bestimmte Batchdatei im Windows-Ordner ausgeführt hat. Diese hat dann beim Start SVCHOST.EXE zum absturz gebracht. Irgendwer hatte also die Sicherheitslücke genutzt um -einen Eintrag in die Registry zu erstellen und den Dienst "Remote_Procedure_Call" zu erstellen -eine Stapelverarbeitungsdatei erstellt im Windows-Ordner Naja, konnte alles bereinigt werden, aber sorgenerregend isses schon ein bisschen *g* Schließlich kann man in eine Batchdatei viele böse Sachen reinschreiben... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.