Toon posts:

Win2k Pro - svchost crashes & dial-up/rundll problemen

Pagina: 1
Acties:
  • 82 views sinds 30-01-2008

woensdag 13 augustus 2003 19:58

Acties:
  • Asteroid9
  • Registratie: Maart 2002
  • Laatst online: 07:52

Asteroid9

General Failure

Topicstarter
Ik heb sinds een paar dagen op meerdere W2k systemen soortgelijke problemen.
Het betreft 3 W2k systemen, 2 met SP2 en 1 met SP4
1 is net vers geinstalleerd, de anderen draaien al wat langer.

Na het opstarten werkt alles goed, als ik een dial-up verbinding opzet krijg ik vaak max. 1 minuut later een svchost.exe crash
De cpu time van meerdere processen blijft dan hangen (system, smss, iexplore.exe)
Binnen internet explorer werkt dan 'open in new window' niet meer, nog een extra instance opstarten werkt wel!
De dial-up verbreken lukt dan ook niet meer, ik krijg de properties niet meer in beeld en het systeem reageert niet meer (rundll blijft hangen).
Vaakt helpt alleen een harde reboot, de event viewer meld daarna helemaal niets...

Dit kan wel eens voorkomen, maar op 3 systemen gelijktijdig?
Ik heb de indruk dat bij deze systemen de problemen pas begonnen toen ze in mijn thuisnetwerk werden gehangen.
Virusscanners zijn up-to-date en ik kan niks vinden.
Het lijkt verband te houden met het aanroepen van tcp/ip, maar ik ben het spoor bijster... :|

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

woensdag 13 augustus 2003 20:13

Acties:
  • [Jules]
  • Registratie: Maart 2000
  • Laatst online: 10-03 17:15

[Jules]

Confusion in confusion

Asteroid9 schreef op 13 August 2003 @ 19:58:
Virusscanners zijn up-to-date en ik kan niks vinden.
Zijn NIET up to date

-en het staat er zo duidelijk-

Knowing others is to be clever.
Knowing yourself is to be enlightened.
Overcoming others requires force.
Overcoming yourself requires strength.

woensdag 13 augustus 2003 20:28

Acties:

Verwijderd

Ik heb het ook thuis, alleen ga ik via kabel op internet. Zodra svchost eruit ligt heb ik regelmatig verkeer via kabel en kan ik bijna niks meer doen.

*edit* zie het al in andere topic *edit*

[ Voor 13% gewijzigd door Verwijderd op 13-08-2003 20:46 ]

woensdag 13 augustus 2003 20:48

Acties:

Verwijderd

Zie ook: Verwijderd in "RPC crash/shutdown 'vraag bak'"

Svchost problemen kúnnen met Blaster/RPC samenhangen. Regelmatig verkeer kan duiden op poortactiviteiten die samenhangen met het zoeken naar nog onbesmette computers... Controlleer eerst of dat aan de hand is en check je logfiles en welke processen allemaal actief zijn.

[ Voor 34% gewijzigd door Verwijderd op 13-08-2003 20:51 ]

woensdag 13 augustus 2003 22:02

Acties:
  • Asteroid9
  • Registratie: Maart 2002
  • Laatst online: 07:52

Asteroid9

General Failure

Topicstarter
Zijn NIET up to date
Nou, als ik het over de virusscanner heb: Sophos AV August 2003 met ide's van 13-8-2003 / 13:25 ...
Goed, er zit een paar uur tussen! ;)

Het lijkt inderdaad Blaster/RPC gerelateerd te zijn, maar zeker ben ik nog niet.
Sophos detecteert nog steeds niks, wel kunnen de probes op zich tot crashes leiden - ook zonder daadwerkelijke infectie.

En inderdaad: mijn hardwarematige firewall is momenteel buiten werking, ik zal de softwarematige (yuck!) eerst eens even gaan aanscherpen.
GoT bevat meer info over dit onderwerp dan de Google-search, ik ga even verder zoeken, thanks so far! _/-\o_

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

woensdag 13 augustus 2003 22:13

Acties:
  • Rafe
  • Registratie: Mei 2002
  • Laatst online: 27-06-2025

Rafe

Scan anders voor de zekerheid met Symantecs removal tool: http://securityresponse.s...er.worm.removal.tool.html

woensdag 13 augustus 2003 22:19

Acties:
  • Tweeker
  • Registratie: April 2003
  • Laatst online: 01-10-2023

Tweeker

1 + 1 = 3

Als ik eerlijk mag zijn, heb ik wat dat betreft zeer slechte ervaringen met Sophos. Virussen van een jaar oud die toch geinstalleerd worden ondanks sophos.

Dit is een persoonlijke ervaring en ik heb er nu 8 maanden mee gewerkt in een business omgeving.

1 + 1 = 3

woensdag 13 augustus 2003 22:22

Acties:
  • Tweeker
  • Registratie: April 2003
  • Laatst online: 01-10-2023

Tweeker

1 + 1 = 3

Ik ben gisteren 6 uur bezig geweest om onze server weer stabiel te krijgen... alles was geblokkeerd en de patch geinstalleerd, maar omdat die rotte poort 135 open bleef crashte hij toch omdat de RPC server dood ging --> reboot. Mijn bas eindelijk toch zo ver gekregen om a la minute een hardware oplossing er tussen te stoppen i.p.v. ISA. Wat je zegt door de probes crashed hij al, terwijl het virus niet geinstalleerd word door het patchen van de server.

1 + 1 = 3

woensdag 13 augustus 2003 22:24

Acties:
  • Joen
  • Registratie: Juli 2003
  • Laatst online: 06-01 11:56

Joen

Dat je svchost crashed hoeft niet per se t virus te zijn. Er kunnen nl. zowieso verkeerde instructies naar de RPC worden gestuurd waardoor dat spul crashed. Het is een lek, niet zo zeer direct een virus, maar blijft wel gevaarlijk!
Het virus MBlaster (of ook wel Lovesan genoemd) maakt alleen dankbaar gebruik van dat lek.
Verwijderd schreef op 13 augustus 2003 @ 20:48:
Zie ook: Verwijderd in "RPC crash/shutdown 'vraag bak'"
Lees dat idd ff, staat alels heel duidelijk uitgelegd ;)

woensdag 13 augustus 2003 22:26

Acties:
  • Joen
  • Registratie: Juli 2003
  • Laatst online: 06-01 11:56

Joen

Ik heb de patch geinstalleerd en onderstaande poorten dichtgetimemrd voor buitenaf (voor mn interne netwerk niet) en tot nu toe nog geen problemen weer gehad.
De poorten: 135,136,137,138,139,4444,69,445,593

woensdag 13 augustus 2003 22:28

Acties:
  • Joen
  • Registratie: Juli 2003
  • Laatst online: 06-01 11:56

Joen

code:
1
2
3
4
5
6
7
8
9
10

1,[13/Aug/2003 21:56:31] Rule 'RPC Lek': Blocked: In UDP, 80.138.184.215:1028->localhost:137, Owner: SYSTEM
1,[13/Aug/2003 21:58:35] Rule 'RPC Lek': Blocked: In TCP, 81.202.240.167:3580->localhost:135, Owner: D:\WINNT\SYSTEM32\SVCHOST.EXE
1,[13/Aug/2003 22:01:11] Rule 'RPC Lek': Blocked: In TCP, 81.202.138.178:3341->localhost:135, Owner: D:\WINNT\SYSTEM32\SVCHOST.EXE
1,[13/Aug/2003 22:01:12] Rule 'RPC Lek': Blocked: In TCP, 81.203.250.56:3152->localhost:135, Owner: D:\WINNT\SYSTEM32\SVCHOST.EXE
1,[13/Aug/2003 22:01:14] Rule 'RPC Lek': Blocked: In TCP, 81-202-138-178.user.ono.com [81.202.138.178:3341]->localhost:135, Owner: D:\WINNT\SYSTEM32\SVCHOST.EXE
1,[13/Aug/2003 22:01:14] Rule 'RPC Lek': Blocked: In TCP, 81-203-250-56.user.ono.com [81.203.250.56:3152]->localhost:135, Owner: D:\WINNT\SYSTEM32\SVCHOST.EXE
1,[13/Aug/2003 22:01:23] Rule 'RPC Lek': Blocked: In TCP, 81.203.147.197:3102->localhost:135, Owner: D:\WINNT\SYSTEM32\SVCHOST.EXE
1,[13/Aug/2003 22:01:26] Rule 'RPC Lek': Blocked: In TCP, 81-203-147-197.user.ono.com [81.203.147.197:3102]->localhost:135, Owner: D:\WINNT\SYSTEM32\SVCHOST.EXE
1,[13/Aug/2003 22:01:38] Rule 'RPC Lek': Blocked: In TCP, 81.203.23.160:4248->localhost:135, Owner: D:\WINNT\SYSTEM32\SVCHOST.EXE
1,[13/Aug/2003 22:01:41] Rule 'RPC Lek': Blocked: In TCP, 81-203-23-160.user.ono.com [81.203.23.160:4248]->localhost:135, Owner: D:\WINNT\SYSTEM32\SVCHOST.EXE

Zomaar ff een stukje uit mn firewall-log. Nog genoeg mensen die t lek hebben blijkbaar. En in dit geval t virus toevallig ook hebben denk ik.

woensdag 13 augustus 2003 22:35

Acties:

Verwijderd

JeroenM_tbs schreef op 13 August 2003 @ 22:24:
Dat je svchost crashed hoeft niet per se t virus te zijn. Er kunnen nl. zowieso verkeerde instructies naar de RPC worden gestuurd waardoor dat spul crashed. Het is een lek, niet zo zeer direct een virus, maar blijft wel gevaarlijk!
Het virus MBlaster (of ook wel Lovesan genoemd) maakt alleen dankbaar gebruik van dat lek.
Mwhoa, niet echt dankbaar...
Dit doet echt niet veel, tis lastig en daar blijft het bij.

Nu zullen er ongetwijfeld een heel stel mensen hun systeem patchen, maar wat voor de mensen die met een tool zijn geïnfecteerd?
De exploit mag dan misschien wel 'weg' zijn, maar de backdoor(s) die geïnstalleerd zijn hebben geen exploit nodig om te kunnen werken..

Als die backdoor dan ook nog eens aan code injection doet, heeft zelfs de daarna geïnstalleerde firewall geen idee wat er aan de hand is.(maw: die ziet dat niet)

woensdag 13 augustus 2003 22:45

Acties:
  • Asteroid9
  • Registratie: Maart 2002
  • Laatst online: 07:52

Asteroid9

General Failure

Topicstarter
Okay, ik ben er nu aardig uit...
De betreffende systemen waren inderdaad niet geinfecteerd, een ander systeem aan het LAN wel!
Stomweg vergeten, niet mijn systeem...
Met extra firewall-rules en analyse kon ik hem vinden...
Goed, systeem opgeschoond en probleem opgelost.

In elk geval kunnen deze problemen dus ook puur door het proben komen, een firewall of de MS patch voorkomen de probe ook.
Ik zal m'n freesco systeempje alvast configureren om te gaan routeren als m'n Demon verbinding klaar is.
fwcontroll er op en rules aanmaken, waar zo'n 386 wel niet goed voor is! 8)

Nog even over Sophos: hele goede ervaringen mee, al jarenlang zakelijk gebruiker.
Snel, efficient, goede support en snelle updates.
Wel mikken ze op de zakelijke gebruiker en zijn updates voor prive-gebruik een drama, zakelijk een paar taken schedulen en je bent klaar!

Thanx once again! :)

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

donderdag 14 augustus 2003 00:11

Acties:
  • Compubiter
  • Registratie: Oktober 2001
  • Laatst online: 21-08-2023

Compubiter

Think again

Toch RPC dus, voor verdere vragen maar verder in dat topic :P. Mooi dat het opgelost is :).
Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq