Virus oder was ???

[matthi]

Bei uns zu Hause treten akut zwei Probleme auf.

1. Der Pc meines Sohnes
Bei Start des IE wird trotz der Einstellung about.blank als Standardseite, eine Seite aufgerufen. Zusätzlich kommen Warnungsfenster hoch, mit dem Hinweis auf Spy. Man soll dann einen Link anklicken. Sicherheitshalber lieber nicht. Pestcontrol, Spybot und Ad-Aware bringen keine Ergebnis. Wie werde ich diesen Blödsinn wieder los ?

2. Mein PC
Start des XP dauert irre lange. Nach Login kommt dann die Meldung der PC würde herunterfahren (60s), da der RPC unerwartet beendet wurde. Der RPC lässt sich nicht wieder starten. Eine Fehlermeldung im Ereignisprotokoll lässt sich nicht ansehen. Doppelklick darauf hat keine Wirkung. Einziger sichtbarer Kommentar bei einem Fehler, ist Fehler 1067 bei Tcpip. Ad-Aware bringt kein Ergebnis. Pestcontrol lässt sich nicht starten. Norton startet zwar, aber OneButtonCheck und Virenscan läuft nicht (RPC läuft nicht ?)

 

[phimax]

Ganz spontan...

In Verbindung mit RPC findet man etwas zum Blaster-Wurm.

Kannst du noch im abgesicherten Modus starten?

Windows XP
Schalten Sie den PC ein, warten Sie auf die Meldung

Windows wird gestartet...
und drücken Sie dann sofort die Taste [F8].

Vielleicht kannst du dann mit deinen Sicherheitstools arbeiten.
Chook dee khrap.

 

[altf4]

beim sohnemannrechner ists nur ne kleinigkeit (wenn das alles iss)

in der regestrierung einfach den key für die standardseite loeschen.

unter HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

wirst die url wiederfinden .. den eintrag einfach entfernen ..
also den der die URL beinhaltet ! nicht alles .. hehe
der IE repariert das dann beim nächsten programmstart.

das XP problem ist nicht so einfach ...
das ist mit sicherheit ein progrämmchen drauf das versucht direckt nach dem start netzwerkverbindungen über einenstac zu oeffenen welche noch nicht exestieren oder nochnicht geladen siind ...

einfacher itsts wenns "nur" n Netsky oder n Blastevirus iss ...
wobei die stackfehler irreperabel sind ...

am besten schauen ob die kiste sauber ist .. und wenn ja SP2 drauf !

 

[irrlicht]

@matthi:

zu deinem xp-problem - bei mir war's vor einiger zeit mal der blaster...

 

[altf4]

1. Systemsteuerung>Verwaltung>Dienste :
Dort den Nachrichtendienst deaktivieren ( da der in Abhängigkeit mit RPC steht )

also wenn der dienst einfach so "abschlatbar wäre" hätt den M$ besimmt nicht drinn inner liste .. hehe

ohne RPC kommt man ganz nebenbei:
- nichtmehr ins internet
(zumindest nicht über ne direckte aktive verbindung)
- das telefonbuch ist offline
(somit ist dfünetzwerk gestorben)
- netshares sind nioht mehr moeglich
- alle netvontrols sind geschichte
- das dienstemanagement kann nichtmehr auf messages reagieren
- und dem AT-Service gefällt das mit sicherheit auch nicht ..

"remote procedure" steht AUCH für den datenaustausch
auf dem system selbst !
also die services untereinander ... nachrichtenmanagement .. eventlogging ... blah ...

also ne derartige kastration kan ma vornehmen um das problem mal schnell abszustellen, aber ne loesung ist das nicht ...

den auto-shutdown kannst auch mit "shutdown -a" abbrechen ...
(also in dem moment wo das fenster erscheint "shutdown in progress"

 

[phimax]

;-D Danke für den Tip, hatte meine Fundstelle einfach hier reinkopiert.

P.S. Habe es noch rausnehmen können, nicht das jemand auf falsche Gedaken kommt

Von den Servies (Nachrichtendienst und UPD mal abgesehen) laß´ ich sowieso die Finger,
nachdem ich durch probieren damit mal ein w2k gekillt hatte :P

 

[Rene]

Ich möcht mal einen kleinen Tip loswerden. Es ist ja nun inzwischen hinlänglich bekannt, das man sich gerade mit dem IE allerlei Ungemach einhandeln kann. Eine Bitte an euch, versucht doch bitte man einen anderen Browser.

René

 

[FarangLek]

Bei ungewollten Startseiten und anderen "Hijackern" (Es wird ungewollt auf andere Seiten weitergeleitet) gibt es dieses nützliche Tool für den IE:

HijackThis: Downloaden hier

Eine Erklärung ist auch vorhanden. Ist sehr einfach.

Gruß
FarangLek

 

[matthi]

Ich bin jetzt im Büro. Wenn ich zu Hause bin, werde ich mal die verschiedenen Tips durchgehen.

Natürlich kann ich noch im abgesicherten Modus starten. Das Herunterfahren hat sich mittlerweise gegeben. Ich habe einfach, blond wie ich bin, die rpc*.dll's im system32-verzeichnis ersetzt. So weit, so gut. Aber das Hochfahren des XP ist immer noch grottenlahm.

 

[altf4]

HijackThis:
Eine Erklärung ist auch vorhanden. Ist sehr einfach.

aber dann ned wundern wenn der PC immer langsamer wird ..
wenn sich die 431 trayicons um den space neben der uhr streiten (irgendwann) ... und kein platz mehr im PC
fürn weiteres terrabyte ram iss ...

für ALLES gibts ein tool/programm das irgendwas besser macht ...

die Betriebsysteme sind immer so gut wie ihre Anwender!
voellig egal ob nun Win, Unix, Beos oder OS/2.

Konsequenz ... ist zu 99% die loesung aller probleme.
gegen alle andren .. kann man eh nix machen.

stellt einfach die sicherheitseinstellungen auf ein
dementsprechend hoeheres level ...
dann braucht man weder software und
man hat länger spass am system und dessen stabilität ...

weil ... mit jeder anwendung kommt ein neues problem ...
Murphy hat da schon recht .. hehe

Eine Bitte an euch,
versucht doch bitte man einen anderen Browser.

iss auch ne andre anwendung ....
(somit trifft auch da Murphys regel zu)
die dann nicht so publik ist .. somit gibts weniger exploits
wenig pubizitaet hat auch meisst ein qualitätsdefizit zur folge.

wobei lynx Ruled ! .. hehe
schneller und einfacher gehts nicht -g-

 

[matthi]

In Verbindung mit RPC findet man etwas zum Blaster-Wurm.

Nachtrag :

Wenn zur Zeit neue Malware unterwegs ist, mag das ja angehen. Bei bekannter war ich davon ausgegangen, dass Norton und Firewall doch effektiver sind.

 

[matthi]

Es ist kein Blaster und kein Mydoom. Ich kann die Systemwiederherstellung nicht deaktivieren. Ich kann mit den Inhalt von Fehlern im Ereignisprotokoll nicht anschauen. Ich kann keine Dateien kopieren. use. usw. Ich habe die Faxen dicke. Genug Zeit verplempert. Ich ziehe das System neu hoch. Das nächste Mal mache ich mir ein Image. Versprochen.

 

[matthi]

Es ist doch schön zu sehen, wie sauber und schnell ein frisch installiertes System laufen kann. Eins habe ich mir vorgenommen, für irgendwelche Spielereien werde ich jetzt einen anderen Rechner verwenden. Ein erstes Image habe ich auch schon erstellt.

 

[phimax]

...für irgendwelche Spielereien werde ich jetzt einen anderen Rechner verwenden.

Eine zweite primäre Partition würde schon reichen...
...kannst du auch jetzt noch einrichten.

BTW: DriveImage u.ä. sind schon ihr Geld wert ;-D

 

[thurien]

@mathi:

hier meine eigene Erfahrung mit dem Runterfahren nach 60 sec
und der Abhilfe:

Ich denke, das ist eine Variante des Sasser Worms.
Der waere harmlos, weil er keine Datein loescht oder
sonst boese Sachen macht.

W32.Sasser.E.Worm (Lsasss.exe)

Normalerweise muesste aber ein normaler, auf den
neuesten Stand gebrachter, Virenscanner den Virus
finden und automatisch entfernen. Das wuerde ich
zuerst versuchen.

Ansonsten findest Du alle wichtigen Infos zur
Reparatur dazu bei www.symantec.de.

So. Damit Du mehr als 60 Sekunden arbeiten kannst,
musst Du aber zuerst den automatischen Shutdown
abschalten. Das geht so: Einfach Start > ausfuehren
aufrufen. In das Eingabefeld "shutdown -a" eingeben
(ohne Anfuehrungszeichen und das Leerzeichen nach
shutdown nicht vergessen) Dann faehrt der PC nicht
mehr automatisch herunter und Du kannst wieder "normal"
arbeiten. Aufpassen beiBackups. Dort wird der
Virus auch zu finden sein.Also erstmal nicht
zurueckspielen.

Tipp: Bei Chip.de usw. gibt es eine inoffizielle
Patchsammllung. Da haben ein paar Freaks alle Patches,
die in letzter Zeit von Microsoft herausgebracht wurde
einfach in einem Paket zusammengeschnuert. Das wuerde
ich als zusaetzliche Sicherheitsmassnahme noch empfehlen.

Achtung: Die Datei lsass.exe steuert die lokale
Benutzeranmeldung. Die Datei auf gar keinen Fall
loeschen. Dann geht naemlich gar nichts mehr.

 

[thurien]

Nachmeldung zu meinem soeben Geschriebenen:

@matthi (u. für alle anderen evtl. Betroffenen)

Info zu Sasser- Virus (automatic internet- u. system
shutdown nach 60 sec) auch im Nittaya unter "AV Info",
Suche "search threat database"; da steht Einiges...

Übrigens hatte ich den Sasser vor ca. 4 Wochen von
meinem IT- provider in Khorat "gratis" mitgeliefert
bekommen: auf einem nagelneuen Rechner war dies Virus
Teil der software...= Maschin kaputt bevor ich auch
nur einmal ins internet ging...