NT-AUTORITÄT \ SYSTEM RPC EXPLOIT WORM Read now!

August 11th, 2003, 9:19 pm

Dies ist ein wichtiger Hinweis. wie einige von Ihnen vielleicht wissen iWork-Tech-Unterstützung für einen Kabel-Internet-Provider. heute war eine lebendige Hölle hier bei der Arbeit, weil litterally 10s von Tausenden von Menschen überflutet die Call-Center mit diesem Wurm hat das entfesselte ihre Wut auf allen Windows-Versionen, vor allem Windows XP und Windows 2000.

Ich war am stärksten von dieser Sache, und es war eine Hündin zu entfernen. (Ich habe nicht mehr entfernt werden meine Freundin tatsächlich Während ich bei der Arbeit stecken, (yup sie ist ein Guru wie ich, lol)), aber es bekam kümmert. nach einem Post unter realen bald für die Beseitigung Anweisungen.

Symptome:

Sie erhalten ein Fenster die Meldung

System herunterfahren:
Dieses System wird heruntergefahren. Bitte speichern Sie alle Arbeiten und abmelden. Alle nicht gespeicherten Änderungen gehen verloren. Das Herunterfahren wurde von der NT-AUTORITÄT \ SYSTEM

Zeit vor dem Herunterfahren 00:00:60

Nachricht:
Windows muss jetzt neu gestartet werden, da der Remote Procedure Call (RPC)-Dienst. wurde unerwartet beendet

Technische Details
Der Remote Procedure Call (RPC)-Protokoll auf dem Windows-Betriebssysteme bietet einen Mechanismus für ein Programm läuft auf einer Maschine beliebigen Code auf einem anderen Rechner. Windows verwendet das Distributed Component Object Model (DCOM) zur Verwaltung von Kommunikations-Windows-Komponenten über ein Netzwerk, meist (aber nicht immer) das TCP / IP-Netzwerke in den meisten Umgebungen. Die DCOM-RPC-Schnittstelle zu akzeptieren Netzwerkverbindungen auf TCP-Port 135, und nicht zu validieren Nachricht Eingänge bei der Instanziierung von DCOM Objekten. Durch das Senden einer entsprechend malformed RPC-Nachricht, kann ein Angreifer dazu führen, dass eine verwundbare Rechner über das Netzwerk beliebigen Code im Sicherheitskontext des RPC-Dienst, der typischerweise SYSTEM Kontext [1,2].

Die Forscher entdeckten, waren die Sicherheitslücke, die fähig sind, Proof-of-Concept-Exploits für Windows 2000/XP (läuft SP4 und SP1). Sie waren auch in der Lage zu umgehen, die Pufferüberlauf-Schutzes als Teil von Windows 2003, eindringen und die SYSTEM-Privilegien auch dort.

Die anfällige Komponenten des Windows-Betriebssystems installiert sind standardmäßig in allen Versionen von Windows und kann nicht deaktiviert werden, ohne lähmende eine Reihe von zentralen Windows-Komponenten.


Referenzen:

http://www.microsoft.com/technet/securi ... 03-026.asp

http://lsd-pl.net/special.html

http://www.cnn.com/2003/TECH/internet/0 ... index.html


Feststellung und Identifizierung des Problems:

Besorgen Sie sich den Patch von hier aus, wählen Sie die richtige Version für Ihr System. Wenn
Sie weiß nicht, ob Ihr System "32 Bit" oder "64 Bit" und dann seine 32-Bit.
http://support.microsoft.com/?kbid=823980

Weiter überprüfen Ihr System für ungewöhnliche Vorgänge, die möglicherweise ausgeführt werden. In
besonders achten müssen:
(Beachten Sie, diese Liste ist nicht exklusiv, Achten Sie auf eine ungewöhnliche Aktivität)
MSBLAST.EXE
rpc.exe
rpctest.exe
DCOMX.EXE
lolx.exe
worm.exe

Scan mit einem up-to-date Virenscanner zu helfen, mit Entfernung der nasties, dass
könnte links auf Ihrem System.
Weiter finden Sie auf http://windowsupdate.microsoft.com und grab hold of alle
kritische Updates. Ja, alle von ihnen. Versuchen Sie, eine Gewohnheit, dies zu tun, auf einer
regelmäßig. THT beachten Sie die wichtigen Updates werden erwähnt. nicht die Standard-Updates. kritische Updates beheben Exploits in der Regel auf Ihrem Computer, kann zu Problemen führen, durch Hacker oder Viren.

August 12th, 2003, 7:01 pm

DOH!

Ich habe gerade entsandte die gleiche Sache wie diese, vor dem Lesen, was Sie zu sagen hatte. Bitte entfernen Sie meine Post!

Dezember 15th, 2003, 4:23 pm

helllo es mr.guru. im neuen in die Foren und bekam tatsächlich hier bei der Suche auf Google dazu nutzen, Gott verdammt. über diese ganze **** cking Wurm, i heruntergeladen und bin derzeit Herunterladen alle möglichen Updates und Patches. jetzt, ive angegriffen worden durch den Wurm eine lächerliche Menge an Zeit, aber nicht wissen, was die Hölle zu tun. Gibt es eine Möglichkeit, wieder los? i derzeit nicht über jegliche Antivirus-Software, damit im verschraubten für diesen Teil. Ich könnte in der Lage, eine von Norton halten, aber bis dahin ist es etwas, das Sie empfehlen? jede mögliche Hilfe wäre sehr dankbar. thanks a lot mr.guru! - namuko

[ATNO/TW]

Dezember 16th, 2003, 10:37 pm

Nur ein FYI

Gadet Guru wurde entfernt für abit, so bezweifle ich die Hölle sehen. Aber andere werden, so dass Sie es für eine mögliche Antwort. Ich habe nicht ein-oder ID-bieten sie jetzt.

Dezember 17th, 2003, 10:52 pm

namuko gut können Sie eine kostenlose Anti-Virus-Programm mit dem Namen AVG auf http://www.grisoft.com , Schauen Sie auf der linken Seite der Webseite und der Free Edition, auch um den Virus von shuting Sie den Computer aus klicken Sie einfach auf "Alt + Strg + Entf und erzählen Sie den Task-Manager auf den Prozeß stoppen und dann erhalten Sie selbst irgendwann zum Download das Antivirus-Programm und einer der Patches Sie benötigen konnten. Ich hoffe, das hilft, einige

Januar 3rd, 2004, 3:47 pm

Eigentlich höre ich meistens da es sich um Mblast genannt, wollen Sie wissen, die unwahrscheinlich, aber wahre Tatsache, wurde er gefangen, yup, dass SOB wurde gefangen und bekam seine @ $ $ im Gefängnis geworfen. Ich möchte mehr über diese Menschen gefangen wurden, würde das Leben einiges einfacher (für comp-Junkies wie mich zumindest)

Februar 14th, 2004, 2:04 am

-- Howdy, Theres einem anderen Virus, das macht / tat die gleiche Sache auf meinem Computer. seine Blaster genannt. Wie dem auch sei, ich ihr von festen donloading dieser "Fixierer" von Symantec. Just fclick diesen Link:

http://securityresponse.symantec.com/av ... .list.html

Dann klicken Sie auf den Link win32.blaster.worm. Zehn folgen Sie einfach den Anweisungen. Hope this helps...

März 2nd, 2004, 1:59 am

Wenn das Problem tritt auf, wenn Ive nur Win XP installiert und ich zum ersten Mal auf Internet? Ich habe ein ABIT Mainboard mit VIA-Chipsatz, glauben Sie, ich kann eine gewisse Art von Problem oder es kann im Zusammenhang mit anderen Dingen?

[grinch2171]

März 2nd, 2004, 7:02 am

Haben Sie eine Verbindung ohne eine Firewall aktiviert? Wenn ja, dann sind Sie ja infiziert. Dies geschah zu meinem Freund. Er hatte den Blaster und fragte mich, es beheben könnte. Er hatte Let It Go so lange ich konnte nichts tun, sondern Format und XP neu installieren. Er war auf Zifferblatt und hätte nie gedacht, über ihn mit einer Firewall. Am nächsten Tag kommt er zu mir und sagt, es passiert wieder. Dieses Mal konnte ich ihn retten, und ich eine Firewall installiert, für ihn. Er hatte nicht ein Problem, da.

März 8th, 2004, 5:35 pm

dieses Problem trieb mich Nüsse für mehrere Stunden, während ich war erneut die Installation der O / S auf einem Sony viao Laptop. Immer und immer, immer entweder Download von Windows-Updates über eine Firewall, oder von CD.

Mai 2nd, 2004, 3:04 pm

Ich lief allen davon, endete bis zur Festsetzung der Neustart Problem, doch nun scheint es, der Computer alle der plötzliche aufgehört zu arbeiten, wobei das Netz, My MSN, AOL und Internet Explorer wird nicht nur eine Verbindung zu meinem Netzwerk jetzt...Hat jemand eine Idee, was Sie jetzt tun, verursachen ive lief alle Arten von Prüf-, restauriert Einstellungen und alles, sogar unistalled die Netzwerkkarte, und es wird noch nicht im Netz. Anzeichen für eine 169 ip das ist falsch.

Mai 7th, 2004, 12:55 am

Yeah, dass gleiche Problem mir passiert ist, und es stellte sich heraus, dass musste ich mein ganzes Neustart Computer, das Problem zu beheben. Ich saß in meinem Computer Uhr am Ende versuchen, um zu sehen, wenn ich es beheben könnte, aber ich hatte kein Glück, und durch alles, was Ärger sogar neu gestartet, nachdem ich den Computer verdammen sie noch neu, wenn ich online.

Zumindest kann ich nutzen das Internet "etwas". Leider ist die Strg + Alt + Entf nicht beenden, die heruntergefahren werden, (zumindest für mich jedenfalls), und ich kann nicht zu Ende Der Download für das kostenlose Anti-Virus. Ich bin bei etwa 60% abgeschlossen und vielleicht Ill Get Lucky. Dieser Virus Sache sucks ass!

Mai 7th, 2004, 2:46 am

Quote:

Ich lief allen davon, endete bis zur Festsetzung der Neustart Problem, doch nun scheint es, der Computer alle der plötzliche aufgehört zu arbeiten, wobei das Netz, My MSN, AOL und Internet Explorer wird nicht nur eine Verbindung zu meinem Netzwerk jetzt...Hat jemand eine Idee, was Sie jetzt tun, verursachen ive lief alle Arten von Prüf-, restauriert Einstellungen und alles, sogar unistalled die Netzwerkkarte, und es wird noch nicht im Netz. Anzeichen für eine 169 ip das ist falsch.

Neeeeeeeeeed mooooooooore iiiiiiiiiiiinfo!

Ist es ein Router oder eine Dial-up? Netzwerk-Karte oder USB? Vorausgesetzt, ihre Breitband, wenn Ihr reden Netzwerkkarte? Ist es auf DHCP, dh sollten Sie eine IP-Adresse automatisch beziehen? Ist der Router die Verbindung?

S

Mai 11th, 2004, 11:53 am

GRR...i shoulda lesen Sie diese zuvor

Mai 21st, 2004, 7:47 pm

Mein Computer wurde mit dem Virus infiziert heute abend, ive und versucht zu folgen einige der Vorschläge ive gesehen rund On Boards, aber ich habe noch keine Glück noch nicht. Ich kann nicht online bleiben lange genug, um die Downloads, Patches und Viren-Updates, die ich benötige, um loszuwerden, das Virus. STRG / ALT / DEL funktioniert nicht in Ausschalten der Countdown-Box, und ich ging durch das Deaktivieren der RSC Sache, aber das hatte keine Wirkung auf mich Vermietung Aufenthalt online lange genug zu bekommen, was ich brauchte.

Id wirklich zu schätzen einige Vorschläge auf, was ich tun könnte, um loszuwerden! Manche Leute haben gesagt, sie mussten nur komplett wischen Sie Windows neu, und installieren. Id verwenden möchten, dass als letztes Mittel, da id haben zu wechseln, um Backups von meiner Festplatte (oder nur verlieren alles, was auf sie). Hat jemand einen Weg gefunden, um loszuwerden, während das Virus kämpft halten Sie Ihre Internet-Verbindung? Wenn ich konnte, um eine Firewall, halten würde, dass das Virus von den Anschluss mit dem Computer und Ausschalten it down?

Vielen Dank für Ihre Anregungen können Sie mir!