xDSL.at

[RedDragon]

bei mir kommt dauernt

Ereignistyp: Fehler
Ereignisquelle: Service Control Manager
Ereigniskategorie: Keine
Ereigniskennung: 7031
Datum: 12.08.2003
Zeit: 01:43:12
Benutzer: Nicht zutreffend
Computer: SILLE
Beschreibung:
Der Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Computer neu..

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


mein rpc stürzt dauernt ab , un startet meinen rechner einfach neu !!!
wie kann ich dieses problem beheben ?
brauche dringend hilfe !!!!!!!!!!!!!


kommt ne fehler meldung


bla bla

das herunterfahren wurde von
NT-AUTORITÄT\SYSTEM ausgelöst

windows muss jetzt neu gestartet werden
da der dienst remotepprozeduraufruf (rpc)
unerwartet beendet wurde.

damit kommtn countdown un nach 1 minute fährt der pc runter
un das passiert ständig!

hab mein system wiederhergestellt mit drive image
hatte also ne alte sicherung drauf
un das kommt immernohc
kann das n virus sein oder spinnt mein pc wegen der hitze ????

der pc wird nur 40 grad bei max belastung

manno dummer fehler !!!!

[RedDragon]

konnte das problem lösen

Exploit für Windows-RPC-Bug im Umlauf

Nur wenige Tage nach Erscheinen des Microsoft-Bulletins MS03-026 zu einem Fehler in Microsofts RPC-Implementierung wurden bereits erste Exploits veröffentlicht. Durch einen Pufferüberlauf kann beliebiger Code ausgeführt werden; einer der Exploits öffnet beispielsweise eine TCP-Verbindung zurück zum Rechner des Angreifers, über die dieser beliebige Kommandozeilenbefehle eingeben kann.

Der Fehler betrifft alle Windows-Versionen ab Windows NT -- einschließlich des neuen Windows Server 2003. Außerdem hat sich herausgestellt, dass er entgegen Microsofts ursprünglicher Analyse nicht nur über den TCP-Port 135 ausgenutzt werden kann; dies ist auch über den UDP-Port 135 und die TCP-Ports 139 beziehungsweise 445 möglich. Microsoft hat sein englisches Advisory bereits entsprechend ergänzt. Dort weist Microsoft auch darauf hin, dass zusätzliche Dienste, die RPC nutzen, auch auf anderen Ports aktiv sein können -- verrät aber nicht, welche das sein könnten. Auf Mailinglisten ist zu lesen, dass über den Dienst ncacn_http prinzipiell auch ein Exploit über dessen Port 593 möglich sei. Sind auf einem Server zusätzlich auch noch COM Internet Services aktiviert (nicht per default), könne ein Angreifer den verwundbaren RPC-Dienst eventuell sogar über Port 80 erreichen.

Spätestens jetzt ist es höchste Zeit, den von Microsoft bereitgestellten Patch einzuspielen. Denn Experten fragen sich eigentlich nur noch, wann der erste Wurm den RPC-Bug zur Verbreitung nutzen wird. SecurityFocus-Kolumnist Tim Mullen hat sogar schon einen Namen parat: In Anspielung auf die Entdecker des Bugs, die Hackergruppe Last Stage of Delirium (LSD), schlägt er "Mescaline" vor. (ju/c't)



und nun mal meine neue frage :
wie kam mein pc an diesen bug herran????
lädt das mistvieh sachen ausm inet ohne das ich das weiß??


mfg reddragon

[radditz]

ich hab den gleichen dreck fehler seit ein paar Tagen, weiß aber nicht was oder wie ich mir etwas eingefangen haben kann

für alle, die umgehen wollen, dass der pc herunterfährt:
shutdown -a in der Ms Dos Konsole eingeben

edit:
http://microsoft.com/downloads/details. ... 86813B4D9E
sollte das Problem beheben


edit:
noch ein Problem bei mir:
Generic Host Process for Win32 Services hat ein Problem festgestellt und muss beendet werden.

danach wird der RPC Dienst beendet.
Also funzt der Patch dort oben wieder nicht.

im übrigen vermute ich, dass sich jemand auf meinen PC befindet, da meine Internet Verbindung leicht ausgelastet wird.
netstat gab folgendes zurück

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP coding-8swz3ja1:1080 205.188.2.89:5190 WARTEND
TCP coding-8swz3ja1:1081 baym-cs25.msgr.hotmail.com:1863 WARTEND
TCP coding-8swz3ja1:1301 M793P004.adsl.highway.telekom.at:4444 HERGESTELLT

[compedro]

Hallo,

Ich hatte gestern das gleiche Problem.
Verursacht vom W32.Blaster,einen Wurm.
Auf der Site www.kleo.org befindet sich ein Link zu Microsoft,
wo man den Patch KB823980-x86-DEU downloaden kann.

Nach Install von diesem Patch ist das Problem weg.

Symatec hat auch ein Tool zur Beseitigung des W32.Blaster bereit gestellt.

Aber unbedingt oben genannten Sicherheitspatch installieren.

Gruß
Pedro

[duke]

Da kam nichts auf deinen pc oder sonstiges... des geht alles von nem remote host aus.. der die rpc lücke mittels eines exploits ausnutzt.. und somit deinen rechner runterfährt.... oder mittels dieser schwachstelle im system auch zu systemrechten kommen könnte...


patch müsste es auf der seite von ms geben... hab den link jetzt gerade nicht da...

red dragon hat den link eh schon gepostet was ich gerade gesehen habe.....

[radditz]

so
ich habs auch gerade gesehen
das muss ein Wurm sein

die Datei msblast.exe befindet sich in C:/Windows/System32
auf KEINEN FALL löschen

auf der seite kleo.org oder wie die heißt gibs den Link zu symantec und ein paar infos dazu.

[duke]

yo der wurm ist seit heute bekannt....

Die TrendLabs haben soeben von mehreren Infektionen durch diesen neuen Computerwurm erfahren. Er nutzt den sogenannten RPC DCOM BUFFER OVERFLOW aus. Die TrendLabs arbeiten gerade an einer genauen Analyse dieser Malware. Die Sicherheitslücke kann seit dem 16.07.2003 mit dem von MS bereitgestellten Patch behoben werden! http://www.microsoft.com/technet/treevi ... 03-026.asp
Die Malware nistet sich auf dem lokalen Rechner ein und startet einen Task namens MSBLAST.EXE . Dieser muss manuell über den Taskmanager beendet werden. Dieser Task wird via Registry aufgerufen und muss daher auch unter HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run gelöscht werden. Weitere Informationen finden Sie direkt bei TrendMicro.

http://de.trendmicro-europe.com/enterpr ... _MSBLAST.A

und ein zweiter auch....

Dieser Virus scannt nach verwundbaren Rechnern die anfällig auf das RPC-Exploit sind. Nach der infizierung des Rechners wird wieder nach verwundbaren Rechnern gescant und das Spiel beginnt von vorne. Der Virus wird an den Tasks RPC.EXE und
RPCTEST.EXE erkannt.Es wird dringend Empfohlen die Patches von MS zu installieren!!!

http://de.trendmicro-europe.com/enterpr ... _CIREBOT.B

es steht jeweils dabei wie man vorgehen muss wenn man diesen wurm eingefangen hat..... oder noch besser sich davor zu schützen!


und hier noch etwas weiterführendes:

In vielen Foren wird zur Zeit über den sogenannten RPC Bug von MS diskutiert. Die Betroffenen berichten von dauernden Reboots und Fehlermeldungen, dass der RPC-Dienst unerwartet beendet wurde. Laut unseren Recherchen gibt es bereits einen IRC-Bot der diese RPC Schwachstelle ausnützt und sich auf dem lokalen Laufwerk einnistet. Zudem wird auch von einem DCOM/RPC-Wurm berichtet (http://cert.uni-stuttgart.de/ticker/art ... p?mid=1132) der diesen Bug auch ausnützt. Seit dem 16.7 stellt Microsoft einen Patch bereit um diese Lücke zu stopfen. Es wird DRINGEND empfohlen diesen Patch einzuspielen um weitere Schäden zu vermeiden! Unter http://www.microsoft.com/technet/treevi ... 03-026.asp kann der Patch nachinstalliert werden.
Wer eine Firewall besitzt sollte incomming TCP Port 135 sperren![pcs]

[radditz]

also wenn ich das richtig verstehe, kann sich der virus aufgrund der RPC sicherheitslücke einfach weiterversenden und empfangen werden, ohne dass ich dass will?

[duke]

das ist ja die sache an diesem wurm... so wie es damals bei code red war... und es gibt genügend rechner die noch für das rpc exploit angreifbar sind auch in firmen.. und darin sehe ich natürlich eine nicht sehr kleine gefahr.. mittels des rpc sicherheitsloches kann auch beliebiger programmcode ausgeführt werden und somit ne cmd auf dem remote rechner geöffnet werden

[Viper_XXL]

Zum Glück habe ich schon das Update oben, schaue mindestens 2x mal in der Woche aufs WindowsUpdate, weil in letzter Zeit kommt fast jede Woche eine neuer Hotfix heraus.

Der "Buffer Overflow" ist einer der meistgenutzen Möglichkeiten, sich einen Weg in ein System zu hacken, das Microsoft immer noch nicht checkt ist wieder mal typisch, wenn ich Windows XP + Internet nicht für die Arbeit brauchen würde, wäre schon längst Linux als Hauptsystem installiert...

[lordpeng]

>weil in letzter Zeit kommt fast jede Woche eine neuer Hotfix heraus.
gibt einem doch zu denken oder ?

[Dark SoLdIeR]

hab den schei** dreck worm auch oben gehabt

[RedDragon]

boah leute vielen dank das problem ist gelöst un der befehl

shutdown -a ist auch spitze danke !!!

ihr seid die besten

[DeAtHfIgHtEr]

>weil in letzter Zeit kommt fast jede Woche eine neuer Hotfix heraus.
gibt einem doch zu denken oder ?

Wenigstens tut Microsoft was gegen Fehler...
Nicht so wie die TA!

[Dark SoLdIeR]

microsoft hat anerkannt, dass sie schuldig seien:
http://futurezone.orf.at/futurezone.orf ... &tmp=30902

ob die ta das auch mal macht, wenn dsl mal wieder net geht