RPC crash/shutdown 'vraag bak' - deel 2

Verwijderd schreef op 19 August 2003 @ 18:54:
knip

naja ik had het zelf niet echt doorgekeken . Maar je kan met beetje kennis hem zo weer compilen denk ik zo .

Volgens mij hadden wij deze laatste, wij zitten in een groot netwerk 4 landen. Om 11 uur kreeg heel frankrijk een svhost error (echt iedereen, 2000 pc) een halfuur later waren wij aan de beurt (600pc) en om 2 uur was engeland aan de beurt. Het vreemde was dat die svhost error echt bij iedereen tegelijk kwam. Wij hebben 8 vestigingen en we hadden ze alle 8 aan de lijn. Big panick. Gelukkig, snel die update gedistrubeerd via loginscript en nu alles veilig. Maar wat ik me nu afvraag was het blast, of was het weilchia. Ik denk die laatste, want ik las op symantec, dat hij een icmp broadcast uitbruld terwijl blast elk ip adres apart aanvalt. Heeft iemand ervaring.

mwah, aan die "sourcecode" heb ik niets omdat daar al staat dat spreadworm() er niet bij staat, en daar ging het mij om
En trouwens, als je naar onze source kijkt, zie je dat het in C++ is gemaakt, en niet in C
En spider, als er 2 delen van jullie netwerk een half uur na elkaar worden aangevallen, doen jullie dan niets?

Ja communicatie van parijs was niet een van de sterkste punten, maar is begrijpelijk, als net heel je netwerk uitvalt. Dan zit je nog in de ontdekkende fase. Maar heeft iemand dit al gehad.

Hiero alle verschijnselen. Excel etc werkt(e) niet meer.
Printer monitor doet het (nog steeds) niet meer..

Met de removers niet aangetroffen. Alleen die dllhost.exe..

Ik heb ook gezocht met de 'hand' echter, niets gevonden.

Wat kan ik nog meer doen?

Had ik ook, excel die klapte. kan niet meer copy paste, en svhost. Die patch tegen de blast worm helpt. Zag later op omgepaste pc's dat ze nog steeds werden aangevallen

Let op

Ik krijg ook telkens errors van svchost.exe (dit is géén virusfile uiteraard). TFTP.exe probeert telkens op poort 69 verbinding te maken met willekeurige hosts. Ik krijg ook wel eens fouten van sockspy.dll in svchost.exe.

Het vervelende aan deze variaties van blaster is vooral dat hij nu (niet eens opzettelijk) in windows systeem files infilteerd en dus door veel firewall niet worden geblockt.

Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.

Verwijderd schreef op 19 August 2003 @ 23:40:
Ik weet zeker dat ik momenteel een onbekende variant heb want ik heb zeer verdacht gedrag en kan geen enkele bekende virusfile aantreffen.

Scan je systeem met Kaspersky, of eventueel McAfee.

Deze twee zijn veruit superieur aan de rest als het over de dcom exploit tools gaat..(Kaspersky nog ietsje beter dan McAfee)

(Mocht je er voor kiezen om met Kaspersky te scannen, dan is het nog het allerhandigste om de extended bases te gebruiken, mocht je niet weten hoe dat werkt, jusk ask).

Hmm ik heb heus zelf wel onderzoek gedaan en geen vreemde processen aangetroffen. Heel vreemd TFTP.EXE draait niet, maar probeert volgens m'n logs wel telkens verbinding te maken. Wat dat sockspy is weet ik ook niet, staat geen microsoft achtige info bij de bestandinformatie. Wie weet is het wel een variant vd worm die gebruik maakt vd SetWindowsHookEx, of SetTimer\varianten exploits om een DLL in een ander proces te injecteren...

Heel vervelend, ik ben altijd zeer veilig bezig (niet in de laatste plaats omdat ik me zelf ook verdiep in security en in mindere mate in virussen). Alleen omdat ik nu met een crappy Windows XP bak zit die aan alle kanten lekte omdat hij net was geinstalleerd had ik het virus waarschijnlijk opgelopen...

Naast het draaien van die cleaner proggies is het ook wel handig als je de datum even naar 2005 zet. Deze worm is niet erg intelligent heb ik namelijk de indruk...

UPDATE:

clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open. Een andere scanner vond daarvoor het mapje /WINS in system32. Ik update BitDefender onderhand om de seconde, vind niks. Echter ik heb nog wel copy/paste probs en SVChost crashes. Misschien is het btw een tip om in computer management de diverse RPC services bij een chrash niet automatisch te laten rebooten. Je kan er vanalles bij instellen.

[ Voor 22% gewijzigd door Verwijderd op 20-08-2003 12:36 . Reden: Update ]

clrav.com vind geen enkele variant maar hij verandere wel de waarde in het registry wat er gebeurt als ik een exe open

Dat is volgens mij niet iets dat door lovesan/welchia wordt veranderd..
Ik wil je toch aanraden om je bak met Kaspersky(of McAfee) te scannen.

clrav.com is toch van Kapersky ? Btw ik heb ook al met Symantec gescand, die vond een lege dir die van de worm zou zijn.

Oh ja en ik heb BitDefender de hele tijd geprobeerd te updaten en hij vind niks na scannen. Copy en paste + Generic Host Process werkt nu al de hele ochtend vanaf dat ik hem heb opgestrart en ik heb geen meldingen meer van m'n firewall dus het is zo'n gekke tip nog niet om een tijdje je jaar naar 2005 te veranderen .

[ Voor 58% gewijzigd door Verwijderd op 20-08-2003 14:30 ]

clrav.com is toch van Kapersky ?

Ja, maar die scant niet voor alle expliots die er zijn, het KAV zelf wel..

Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..

Omdat je nog steeds last hebt/had van vage verschijnselen raadde ik aan om je systeem eens volledig te scannen met een complete scanner.

Als alles ok blijft gaan zal het wel goed zijn, heb me niet echt heel goed verdiept in de verschijnselen van welchia, maar als je vanavond ineens weer kuren krijgt kan het dus een 'hacker' zijn..

Verwijderd schreef op 20 August 2003 @ 15:06:

[...]

Als ik namelijk iemand zou willen kloten zou ik het volgende doen:
infecteren met lovesan of welchia, maar ook een andere, niet gedetecteerde, exploit gebruiken, die gebruiken om een code injected trojan te uploaden.
Gebruiker verwijdert lovesan/welchia en patcht zijn systeem tegen de dcom exploit, maar dat houdt de code injected trojan niet tegen, net zoals geen enkele firewall dat doet..

Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.

En in het geval van een losstaande trojan, die wordt ook door ZoneAlarm afgevangen als zijnde een nieuw programma dat internettoegang wil.

[ Voor 6% gewijzigd door Wildfire op 20-08-2003 16:03 ]

Een beetje firewall houdt dus *wel* tegen wat jij beschrijft. Ik neem aan dat je met 'code injected' bedoelt dat de trojan zich aan een normale Windows-file hecht? In dat geval zal mijn firewall, ZoneAlarm Pro, detecteren dat het bestand is veranderd en geen internettoegang meer verlenen... tenzij ik er expliciet toestemming voor verleen - wat ik natuurlijk niet doe.

Er is geen enkele firewall die code injection tegenhoudt..
Zoek het maar op, heb het zelf getest, het is veel getest door anderen..

Is het toegestaan een linkje van een proof of concept progsel hier neer te gooien?
Het is niet schadelijk..

Dit om aan te tonen dat iets wel zeker langs elke firewall kan komen die niet aan sandboxing doet.

Het leuke is dat het steeds meer gebruikt wordt en de meeste AVs d'r niets mee kunnen..

Ik heb al volledig met BitDefender gescand en dat was de beste volgens diverse onderzoeken dus het lijkt me sterk dat er nu nog iets op mn sys staat...

Ga eens met bitdefender op zoek naar kazaa virussen...
Als het 5% vindt, doet het het goed..
Ik zal zo eens even kijken hoeveel dcom exploits het vindt van diegene die ik heb.

Kaspersky kan files detecteren die gemaakt zijn met een generator..
Heb het er met Eugene over gehad en die was blij dat implementatie van dit geintje nogal lastig is en niet al te mainstream.

Ik zal ook eens kijken wat Outpost er van bakt.

Gelukkig gebruik ik geen kazaa meuk. En volgens onafhankelijke tests van oa C't vond BitDefender alles. Die voordelen van BitDefender waren : zeer goede heuristiek, vind virussen extreem diep in (encrypted) compressed formaten, vind alle ingebedde objecten, ondersteund vrijwel alle exe-packers etc.

Juist Kapersky was niet bijzonder goed in die zaken. Kapersky was qua virussen wat het vond wel goed, behoort tot de top maar meer niet.

[ Voor 3% gewijzigd door Verwijderd op 20-08-2003 17:09 ]

En hoeveel heb je zelf getest?
Als je 'onafhankelijke' reviews moet geloven is NAV verreweg het beste..
Overwinningen kunnen gekocht worden..

En Kaspersky niet goed in exe-packers? Het is de onbetwiste leider als het daar over gaat..
Ik heb in een duister verleden ook de bladen nagepraat en gedacht dat NAV het beste was dat het geeft, maar toen ik me daar in ging verdiepen kwam ik al snel tot een andere conclusie.

Kaperksy negeert gecomprimeerde files bij diverse mailprogramma's (Oulook XP, Eudora 5.2, Pegasus mail)

afaik is dat onzin, als ik m'n OE folder scan krijg ik 400+ meldingen, of de files nu in archives zitten, runtime packed zijn, of beide.

Maar het is zo dat Kaspersky zeer regelmatig ondersteuning voor nieuwere soorten archives/packers toevoegd, gewoon via de daily updates.

Mja, over de heuristics, ze wordt door de meeste experts toch als een van de allerbeste beschouwd.. De andere vendors die het misschien beter doen gebruiken trucjes, zoals de naam van de auteur meenemen in de signatures..

Ik heb even de dcom exploits laten scannen door een paar scanners.
We hebben 34 hostile files:

RAV: 8 infected, 10 suspicious
McAfee: 30 infected
CA: IT 16 infected, Vet 15
Bitdefender: 8 infected
Kaspersky: 34 infected

Hiervan zijn 4 files van autooter, die toch wel heel bekend is, die had ik eerst niet toegevoegd, dus als die niet was meegenomen zag het er wel heel erg donker uit voor Bitdefender..

Misschien snap je nu waarom ik me van die tests van die blaadjes niet zoveel aantrek.

Outpost 2 leek het code injecten van copycat gewoon toe te staan..
See for yourself

Ik krijg een bericht dat iTouch verbinding wil maken met internet, dus als je standaard niets altijd toestaat ben je veilig. Echter ik neem aan dat dit progje bij de browser dient te worden gebruikt, dan heb je gelijk.

Van wat ik in een flits voorbij zie komen veranderd hij de Thread Context. Hier zijn echter debugging permissies en de thread handle nodig. Ik vraag me af hoe hij aan die handle komt, en die debugging privileges heeft ie waarschijnlijk omdat het door de admin werd geruns.

Heb je de sourcecode of beschrijving van deze exploit. Ik houd regelmatig alle security sites in de gaten maar ik heb alleen een shatter exploit gezien die die de fs: pointer wijzigt. Ik weet niet meer of hij dat ook via de THREADCONTEXT deed. Ik herriner me dat het gewoon om een exploit van het Windows Messaging System ging (dus door WM_x message te sturen).

Kan je me die 32 infected binaries in compressed formaat sturen want ik wil het wel eens testen. Ik geloof jou best hoor, maar die C't gebruikte de signature file van 3 maanden terug misschien wel, en mogelijk is Kapersky sneller met signatures (door agenten als jou )...

Kan je me die 32 infected binaries in compressed formaat sturen

Ik neem aan dat je het over die dcom exploits hebt?
Het is 8,5 mb, ik heb geen mailserver die zulke grote berichten aankan..
Ik kan ze wel splitten, maar ik weet niet hoeveel jouw mailserver aankan, dus wil ik het wel sturen met tussenpozen, zodat niet de helft wordt gebounced.

Edit:

Heb je de sourcecode of beschrijving van deze exploit

Geen source en ik weet er eigenlijk niet echt meer vanaf dan dat hij z'n code injecteert . Ik weet wel dat dit van de maker van System Safety Monitor is, misschien heb je daar wat aan. Ik zal kijken of ik er zelf ook nog wat over kan vinden.

[ Voor 32% gewijzigd door Verwijderd op 20-08-2003 20:09 ]

Bij mij kan alles binnenkomen en word gelukkig niet gescanned.


Je kan filesplitter gebruiken voor Windows.

Verwijderd schreef op 20 August 2003 @ 20:09:
Bij mij kan alles binnenkomen en word gelukkig niet gescanned.


Je kan filesplitter gebruiken voor Windows.

Je mailbox zal wel een max size hebben en ook een max size voor een enkel bericht..

Mag ik dan aannemen dat u de anonieme mailer was van zojuist?

Nee ik heb niks gestuurd en ik weet niks van een max size, ik neem aan dat ik al mn mail kan ontvangen op mn pop box.

Er staat op de website van m'n provider dat m'n mailbox omvang 100 MB is. Wie weet word dat wel door 5 gedeeld want zoveel adressen heb ik bij hun gehad.

Het lijkt me iig genoeg...

Ik heb een probleem met het W32.randex.E virus, norton heeft hem er uitgehaald incl. het nstask32 bestandje.
Nu kan ik niet meer het net op.
Heb geprobeert het te herstellen met mijn windows xp pro cd, maar dit zonder succes.
Het lijkt er op dat ik windows opnieuw moet installeren, ik begrij nl niet zoveel van het register.
Heeft iemand misschien een simpele oplossing?? (patch).

Win 2000 pc was geinfekteerd met ms blaster.exe
norton virus scanner gebruikt
virus verwijderd
Problemen met o.a knippen en plakken
Harde schijf geformateerd win opnieuw erop gezet probemen niet verholpen
Fixblast gedownload en gerund maar de problemen niet opgelost
Melding de worm has not been found on your computer
Iemand nog een idee hoe ik dit oplos
Bvd Theo

Hier stond iets, echter had niet alles goed genoeg gelezen

[ Voor 75% gewijzigd door Quantor op 21-08-2003 15:34 . Reden: Oops ]

Hoppa, wéér een nieuw virus dat MS03-026 exploit: W32/Gaobot.worm.y, info op http://vil.nai.com/vil/content/v_100566.htm

Alleen verspreid deze zich ook via IRC. En hij maakt niet alleen misbruik van de RPC-bug in MS03-026, maar ook van twee andere bugs (MS03-001 en MS03-007).

wildhagen schreef op 21 August 2003 @ 16:04:
Hoppa, wéér een nieuw virus dat MS03-026 exploit: W32/Gaobot.worm.y, info op http://vil.nai.com/vil/content/v_100566.htm

Alleen verspreid deze zich ook via IRC. En hij maakt niet alleen misbruik van de RPC-bug in MS03-026, maar ook van twee andere bugs (MS03-001 en MS03-007).

Kennelijk ernstig genoeg volgens Trend om er een officiële update voor uit te brengen..

Ben benieuwd of deze veel last gaat veroorzaken

Edit: Symantec heeft hem nu ook gelist, wordt pas gecovered in de LU van volgende week, dus lijkt nog niet echt gevaarlijk te zijn..

_{Erg tof dat Kaspersky wordt geboycot, as always, ze hadden gisteren al protectie tegen deze maar geen enkele andere vendor list dat, terwijl ze(NAV, NAI etc) het wel van andere vendors listen..}

[ Voor 25% gewijzigd door Verwijderd op 21-08-2003 19:59 ]

Verwijderd schreef op 13 August 2003 @ 20:56:
Cryptographic Services moet op automatisch staan én gestart zijn bij Services (start > uitvoeren > services.msc)

Eventueel kan 't ook zijn dat Cryptographic-service juist fouten geeft als deze service actief is. Het uitschakelen van deze service kan dán juist een oplossing zijn.

Ik zit dus met een PC met winXP (HP) waarbij die Chryptographic services niet draaien en de patch dus niet werkt met een vermelding naar die Chryptograhpic service. Ik zie hem ook niet staan bij: (start > uitvoeren > services.msc) en kan de service dus ook niet zelf starten en dus niet patchen.

Iemand een idee??

[ Voor 3% gewijzigd door bombadil op 26-08-2003 17:07 ]

probleempje, blaster virus stond op pc, deze is verwijderd door verwijdertooltje, pc is nu schoon (meerdere male gecheckt) maar blijft steeds de foutmelding: "svchost.exe heeft een fout gegenereerd" geven... wie weet wat mij te doen staat...

Verwijderd schreef op 27 August 2003 @ 14:32:
probleempje, blaster virus stond op pc, deze is verwijderd door verwijdertooltje, pc is nu schoon (meerdere male gecheckt) maar blijft steeds de foutmelding: "svchost.exe heeft een fout gegenereerd" geven... wie weet wat mij te doen staat...

Heb je de bak wel gepatched hiertegen?
Je zal nu wel een andere variant van lovesan(blaster) hebben, of er heeft nu iemand complete toegang tot je systeem..

Patchen/firewall erop, kijken naar rare verbindingen die je eventueel hebt.
Scannen met Kaspersky en/of McAfee..

Even een update: de FBI schijnt de terrorist die dit geschreven heeft op het spoor te zijn, volgens Nieuws.nl:

De FBI is een 18-jarige jongen op het spoor die de maker zou zijn van het internetvirus Blaster, dat de afgelopen tijd over de hele wereld meer dan 500.000 computers zou zijn binnengedrongen. De jongen wordt waarschijnlijk vrijdagmorgen aangehouden.

Volgens een bron bij de overheid werd de FBI getipt door iemand die de jongen zijn versie van het virus, dat een aantal varianten kent, had zien testen.

Computers waarin Blaster is binnengedrongen functioneren niet goed meer, onder meer doordat zij zichzelf steeds opnieuw opstarten. Ook openden besmette computers deze maand de aanval op Microsoft door onophoudelijk de webpagina op te vragen waar een programma kan worden gedownload om het virus te verwijderen. Dat had ertoe moeten leiden dat de site van Microsoft bezweek. De aanval mislukte echter, doordat de maker van het virus zich had vergist in de naam van de betreffende webpagina.

Blaster, ook bekend als LovSan of MSBlast, is een zogenoemde worm die gebruikmaakt van een lek in de beveiliging van Windows 2000 en Windows XP, de twee recentste versies van het besturingssysteem van Microsoft. De worm laat op computers een verborgen boodschap achter: I just want to say LOVE YOU SAN. Een andere boodschap die in het virus verborgen zit, is bestemd voor Microsoft-topman Bill Gates: billy gates why do you make this possible? Stop making money and fix your software!

ff een vraagje, ik zit nog op school, en heb 20.000 mensen met het virus, allemaal van die kneuzen die niets van pc afweten, en daarom heb ik ook al bij heel veel mensen dat virus moeten verwijderen, ik heb niet zo veel tijd dus ik ben opzoek naar een makkelijke handleiding om het virus te verwijderen. met makkelijk bedoel ik dat zelfs bejaarden het begrijpen. iemand een ID waar ik dit kan vinden?? Of kan iemand dit soms voor mij maken.

hartelijk dank

Verwijderd schreef op 09 September 2003 @ 19:49:
iemand een ID waar ik dit kan vinden??

Wat dacht je van de topicstart?

nee voor de meeste mensen bij mij op school te moeilijk

ik zei dat het voor bejaarden ook te begrijpen moet zijn, dus stap voor stap

Verwijderd schreef op 09 september 2003 @ 19:55:
nee voor de meeste mensen bij mij op school te moeilijk

ik zei dat het voor bejaarden ook te begrijpen moet zijn, dus stap voor stap

Wat dacht je van zelf maken?
Dan weet je dat alles te begrijpen is voor je doelgroep

[ Voor 5% gewijzigd door SH007 op 09-09-2003 19:57 ]

als je goed gelezen hebt, kan je zien dat ik niet zoveel tijd heb, maar was een goed idee

[hier stond iets onaardigs.]

Verwijderd schreef op 09 september 2003 @ 19:57:
als je goed gelezen hebt, kan je zien dat ik niet zoveel tijd heb, maar was een goed idee

Nou...

Als je nu nog moet beginnen met preventie en bestrijding voor 20.000 man ben je rijkelijk 2 maanden te laat.

[ Voor 168% gewijzigd door alt-92 op 09-09-2003 20:03 ]

Verwijderd schreef op 09 September 2003 @ 20:09:
iemand al iets gevonden??

En jij hebt in die 20 minuten al een begin gemaakt aan jouw handleiding?

een soort van, 'k heb wat info opgezocht

I don't fscking believe it, het is toch godsonmogelijk dat iemand het fscking LEF heeft om een handje-vasthoud manual te vragen met een uitgebreide guide als in de topicstart zeg..

tis ook niet voor mij, ik snap die topistart ook wel, maar ik heb klasgenoten die geen kloot van pc's begrijpen en wel het virus weg willen hebben, en ik heb geen tijd om iedereen persoonlijk te gaan helpen

maar als ik dit niet mag vragen laat dan maar

[ Voor 13% gewijzigd door Verwijderd op 09-09-2003 20:24 ]

Als jij de topicstart snapt, waarom bouw je die dan niet even om naar iets wat je klasgenoten ook snappen? Dat zal toch niet zoveel werk zijn denk ik?

ik ben niet zo goed in uitleggen, en heb niet echt genoeg tijd om een handleiding te maken voor 4 verschillende besturingssystemen, maarja dit soort dingen moet ik maar niet meer vragen

komt trouwens een nieuwe aan.

http://www.microsoft.com/...ity/bulletin/MS03-039.asp

Nieuwe RPC service exploit gevonden in NT4/2000/XP/2003

[ Voor 19% gewijzigd door AwesomE op 11-09-2003 10:58 ]

bombadil schreef op 26 August 2003 @ 17:07:
[...]


Ik zit dus met een PC met winXP (HP) waarbij die Chryptographic services niet draaien en de patch dus niet werkt met een vermelding naar die Chryptograhpic service. Ik zie hem ook niet staan bij: (start > uitvoeren > services.msc) en kan de service dus ook niet zelf starten en dus niet patchen.

Iemand een idee??

iemand?


Overigens werkt windows update ook niet (met dank aan HP).

Werkt scanms.exe voor de nieuwe ms patch KB824146 ? Scanms geeft [vuln] [vuln]
Pc's die met de (oude) KB823980 fix zijn gepatch geven [ptch] [ptch].

Is er mogelijk een nieuwe versie van scanms?

Ik heb beide patchen nogmaals uitgevoerd op mijn pc. Hij blijft [VULN] aangeven.
En omdat we het Nachi virus op het netwerk hebben, zijn we pc's die geïnfecteerd waren manueel gaan patchen. Het virus is nu zo goed als onder controle, maar nu willen we (snel) controleren welke pc's nog niet gepatcht zijn.

Hmm alles geprbeerd

- Fix (werkt niet)
- windoos map (staat niks in)
- register (staat niks in)

Tog blijft hij me cputer opnieuwe opstarten met schermpje (zie 1st post)

Iemand een idee wat nu te doen ?

De scanner van de ISS site was zo gedownload. Vond niks.

Wat is het geval:
Er wAs een blaster virus op de pc. Deze werd zo in het geheugen zichtbaar met ctrl-alt-del
Na een installatie van norton 2004 pro werd de pc gecleaned. Blaster weg en 2 backdoors.
De PC voorzien van XP sp1 en updates die volgden (ja eindelijk iemand die AV en update van MS gebruikt! :-)

Toch gebeurt hetvolgende, en alleen als internet actief is:

na 2 minuten een virus rtf####, direct na die melding door norton: verwijdert(door norton) maar gelijktijdig met de aftelling door win XP zelf... Die kan je niet onderbreken of ik weet niet hoe.

Nu was er wel een patch te vinden die MOGELIJK deze nieuwe kon patchen, maar deze werkte nog niet bij alle pc's
Er stond wat van op de site van kaspersky, maar ben inmiddels op kantoor en die pc was van een vriend. (Dus geen url ff hier te plakken)

resident is er op zijn haast maagdelijke pc niks aparts, allemaal windows stuff, een scan detector(flatbedscanner) norton av, messnenger.

De meest recente removal utils die ik bij mij had vonden niks.
Norton vind alleen op het moment dat het te laat en delete, aldus het scherm.
Maar ja, updates, scannen, er wordt niets gevonden.

Tot je weer op internet gaat, dan is het in 3 minuten error, delete virus, aftellen van win XP en pc start opnieuw.

Wat voor virus is het volgens NAV?
Als het een 'apart'(lees: niet blaster) virus is, stuur me dan aub een sample.

Verder beetje apart verhaal en ga bijna denken aan een nieuwe flash-worm.

Verwijderd schreef op 26 november 2003 @ 14:10:
Wat voor virus is het volgens NAV?
Als het een 'apart'(lees: niet blaster) virus is, stuur me dan aub een sample.
Verder beetje apart verhaal en ga bijna denken aan een nieuwe flash-worm.

Een sample van iets dat ik niet kan fixeren? Of je doelt vast op een screencapture?

Anyway, norton melde volgens mij rtf1234 (4 getallen) elke restart andere getallen)

De bekende (m)blaster is het in elk geval zeker niet.

Terwijl ik er gaande weg,
in acht nemende de bestaande 'oplossingen' die dus niks uithaalden,
wat opgewonden van raakte dat hij zeer mogelijk deel uitmaakt van een NLse nieuwe virus primeur werd hij steeds triester.

Terecht, internetten zit er ff niet in voor hem.

NAV automatisch verwijderen, dat houdt meestal in dat het ding evengoed in de quarantine wordt gezet. Ik zou echt ontzettend graag een sample willen hebben.

Of check de NAV logs wat daar instaat van 'blabla' virus detected etc.
Dat rtf1234 zal wel de bestandsnaam zijn.

Een sample zou echt ontzettend tof zijn.
(Grappig dat je vriend steeds triester werd en ik nu steeds meer opleef )

Ze zeggen ook wel eens: de een zn dood, de ander zn brood.
Maar jij analyseert virussen of zo?

[ Voor 27% gewijzigd door Joen op 26-11-2003 20:54 ]

JeroenM_tbs schreef op 26 november 2003 @ 20:53:
Ze zeggen ook wel eens: de een zn dood, de ander zn brood.
Maar jij analyseert virussen of zo?

edit:
Laat maar...
Ik zie het al aan je signature

Huh!? ik zie zijn hele signature niet, ligt dat aan (mijn?) settings alhier op tweakersnet?

notsonewbie schreef op 28 november 2003 @ 16:24:
[...]


Huh!? ik zie zijn hele signature niet, ligt dat aan (mijn?) settings alhier op tweakersnet?

Dat kan, moet je even je prefs doornemen. /offtopic

Dat irritante virus gaat hier ook over het netwerk. Heb al aardig wat pc's gepatchst. (te laat natuurlijk) We hebben ook nog een zooi nt machines dus heb ik op een stel die patch gezet.
Nu is er bij in iedergeval 1 van die pc's wat aan de hand, zijn processor gebruik staat op 100%. Eerst dacht ik dat het McAfee was, maar deze heb ik nu verwijderd en nog steeds blijft alles op 100% staan.
Ook komt er een melding dat er een service niet opgestart is.
Die patch heb ik er ook al af gemieterd maar helpt ook al niet.

Met windows 2000 clients heb ik ook al wat problemen gehad.

Welk proces gebruikt dan 100%?
Bij verre kennis (je weet wel die kennis die je krijgt.. als ze een probleem hebben met de pc) van mij laatst wmplayer rpc virus gevonden.. tjonge jonge..in de taskmanager stonden alle varianten van rpc virii op .. teekids, mslaugh .. en dus wmplayer. Die laatste kende ik echter nog niet. Nadat ik verwijzingen en de bekende shit had verwijderd had, zag ik dat de hele tijd wmplayer.exe opstartte.. Kon het verder niet terug vinden in de registry (behalve van die 1000 andere verwijzingen naar de bestaande windows executable, niet onder run keys maar ook niet onder services)... Dacht ook dat het hier in eerste instantie niet aan kon liggen.
Voordat ik die wmplayer.exe virus had achterhaald.. was ik dus in totaal 2 uur verder (omdat die om de minuut dus de boel opnieuw opstartte).. ooh wat was dat toch weer een leuk tijdverdrijf.. NOT!
Nu een kerio personal firewall geïnstalleerd.

[ Voor 7% gewijzigd door henkleerssen op 03-12-2003 16:49 ]

Zelf dacht ik dat het het antivirus programma was, want die had ook kuren na de tijd.
Deze heb ik gedeinstalleerd maar nog steeds problemen. Het is echt dat grafiekje van je cpu wat op 100% staat, bij processen staat niet echt iets bij zonders.

Deze pc had waarschijnlijk dat virus nog niet, maar ik wou uit voorzorg die patch installeren.

Momenteel zit ik uit, maar morgen is die gebruiker weg en kan ik als ik wil er 2 dagen aan besteden om het op te lossen.
Die patch heeft iets vern**kt maar de vraag is wat.
Maar zoals ik zei, morgen post ik wel wat meer info als ik ff aan het stoeien ben geweest met die pc.

Wanneer je de patch gaat installeren voor nt / 2000 / xp let er dan op dat je dit doet onder een account met rechten van administrator anders kun je problemen verwachten, hier kwamen er problemen met mcafee virusscan.

Een goede middag medetweakers. Ik zit nu al een tijdje (uren/dagen) te zoeken naar een oplossing. Mijn vriendin heeft een leuk pctje die ik niet zo goed beveiligd had,.. jaja ik weet het...

maar goed, die bak die heeft nu last van blaster, eehh nou eigenlijk de sympthomen. internet -> een minuutje en reboot en zo...

Virusscanner vindt nix, blasterfix vindt geen blaster. geen msblast.exe bestand, geen regeltje in mijn registry, geen blaster bij processes,...

Sympthoms, but NO virus...

Ik hoop dat misschien iemand nog een goed ideetje heeft anders wordt het toch helaas een format c:...

Als je de FAQ hierover doorleest (Windows Operated Systems - FAQ) zie je ook dit staan:

Deze vulnerability is eigenlijk bekend geraakt onder de naam "MS Blaster" - het virus wat in Augustus 2003 veel overlast veroorzaakte over heel de wereld. MS Blaster is echter de naam van een van de virussen die gebruik maakten van dit lek, en niet het probleem zelf.

Oftewel - het probleem van een crashende RPC Service is niet MS Blaster, maar is een vulnerability. Vlak onder bovenstaande tekst, staat dan ook:

Om niet meer kwetsbaar te zijn voor dit probleem is een virus scanner dan ook niet geschikt - je zal de fout in Windows zelf moeten oplossen. Je doet dit door bovenstaande patch te installeren op je systeem, zie dit lijstje om te zien welke patch je nodig hebt:

Oftewel - draai Windows update

Ga ik doen, heb net ook mail van iemand gehad die mij op hetzelfde RPC probleem wees. Dank medetweakers

als je besmet bent zal je dat eerst moeten fixen natuurlijk... het continu rebooten kan je waarschijnlijk oplossen door shutdown -a in commandline te tikken, zodat je wat tijd hebt om het virus te vinden (goede virusscanner dus...)

[ Voor 6% gewijzigd door Verwijderd op 15-12-2003 13:38 ]

Ik heb hier een Windows XP (build 2600) met een soort van Blaster virus denk ik. Ik heb de fixblast van symantec al gedraaid, die heeft het virus ook gevonden en weggehaald (zegt ie dan). Maar nog steeds wil WinXP opnieuw opstarten door die RPC fout.

Ik heb ook de windows update voor die blaster gedownload "WindowsXP-KB823980-x86-ITA.exe" en gedraaid. Ik ben niet helemaal zeker of die het nou doet, aangezien na het verify-en en het extracten niks meer gebeurd. Ik zie de patch ook niet in het "installed programs" lijstje.

Wat kan ik er aan doen om het op te lossen?

p.s. in windows explorer kan ik ook niet slepen, maar dat ligt aan het virus denk ik. In safe mode werkt het wel.

- RPC op 'herstarten service' gezet
- Systeem herstel uitgezet

[update]
Die patch wil kennelijk niet installeren ofzo op die pc, dus maar met '-x' uitgepakt. Dan heb ik 1 exe bestand, een of andere 'xp......exe'. Maar als ik die draai doet ie ook niks. Ik kan de patch niet installeren
[/update]

[ Voor 23% gewijzigd door Darkvater op 05-01-2004 16:21 ]

Misschien gewoon even een firewalletje (ICF) aanzetten tot je gepatched bent, of nog beter de bak offline halen.

En uiteraard file&printersharing en client voor ms netwerken uitzetten op je internetverbinding.

(maar dat is allemaal zo uitgekauwd)

Het is al weer een paar dagen geleden dat wij het blaster/lovsan virus hier op het netwerk hebben gehad. Krijg geen klachten meer van gebruikers die problemen hebben.

Via de ePo van network associates kan ik zien dat het virus nog steeds over het netwerk gaat. En dan vooral de lovsan.e
Ik heb bijna alle clients gepatchst, maar schijnbaar heb ik toch 1 gemist of meerdere.

Ik wil het nu anders aanpakken, ik wil namelijk de bron hebben. Er zijn namelijk ook een aantal clients die ik niet kan patchen dit in verband met programma's die dan niet werken.

Ik wil graag van dit virus af want we hebben ook te maken met pc's van klanten.

Ik heb ook al zo'n scantool gebruik om te zien waar de poorten openstaan maar deze is ook niet helemaal waterdicht.

Wie heeft een id hoe ik dit beter kan aanpakken, en het liefst hoe ik de bron vind.

Verwijderd schreef op 06 januari 2004 @ 01:39:
Je moet de update wel voor de juiste taalversie downloaden, het bestand wat jij noemt is namelijk voor een Italiaanse Windows versie (.....ITA.exe).
[...]
ServicePack 1 moet geínstalleerd zijn alvorens de RPC patch te installeren!

Het is dus de Italiaanse Windows XP (vraag me niet waarom), dus ik denk dat dat wel goed zit Maar eerst SP1? Hmm, dat wist ik niet, ff proberen.

Maar het vreemdste is, dat die update niet eens draait, dus je niet eens het wizard schermpje ofzo krijgt met next. Hij moet toch wat laten zien, ook zonder SP1??? (Zelfs op me win2k bakje draaide die; natuurlijk error omdat het geen XP was, maar toch draaide die).

[update]
Nou, dat ging lekker . Ik download SP1, installeer het, zegt ie dat de PC een invalide CD-Key heeft . Jezus, vertel dan eerst dat je illegale XP hebt, voordat je mij ter hulp vraagt!
Naja, probleem is dus ongeveer opgelost, alles eraf, en alles opnieuw d'erop....maar dat doen dan zij wel
[/update]

[ Voor 18% gewijzigd door Darkvater op 06-01-2004 12:22 ]

Ik heb hier dus nu een systeem staan waar wel t blaster virus op zat. deze had ik netjes verwijderd maar nu enige weekjes later komt de pc steeds met het standaard afsluit scherm en blijft die ook mee komen.

Ook gaat de machine automatisch aan.

ik heb al diverse virus scanners en ook fixtools laten scannen maar die vinden allemaal niks .....

wat kan dit zijn?

ja heb de update al geinstalleerd ja, er draait ook Norton Antivirus 2004 op en Black ice firewall.

Hallo, waarschijnlijk heeft mijn mams beneden zojuist het Blaster virus binnen gehad.
Zij heeft Windows 2000 en niet alle updates geinstalleerd, ik heb hierboven XP en wél alles op dit moment - dwz. we zitten beide op hetzelfde IP adres en zij kreeg hem wel, ik niet - ik spreek dus van geluk en heb mezelf snel meteen ff gepatched. Maar:

Mijn moeder zegt 'een schermpje te hebben gekregen' ... wat een paar seconden bleef staan en toen flitste de computer uit. Uitgaande van hoe snel zij leest zal dat best 40 seconden zijn geweest.
Daarmee komt ze boven, ik zeg tegen dr: goed, ik ga meteen naar beneden, zet hem NIET aan en ik kom hem patchen. Bij wat diepere navraag stamelde ze toch dat de pc zichzelf gereboot had, dat ze euh, ja toch wel Windows had zien laden maar dat ie toen weer uit was gegaan. Ik kan nu heel hard gaan vloeken omdat ze dat niet meteen zegt - want we zijn nu al te laat - maargoed, vooruit met de geit.

Ik wil dat ding opstarten, maar ik krijg nu zelfs al geen bootscherm meer. Ik heb op advies de netwerkkabel eruit getrokken maar nog steeds geen bootscherm, niks.
Dreeke raadde me nu aan om even de biosbatterij eruit te plukken en na vijf seconden er weer in te proppen... idee?

Probleem erbij komend is dat mijn ouders beneden lopen te freaken, ik zou ze graag ff in de gangkast opsluiten want ze lopen de hele tijd te gillen en nu ook al tegen elkaar ... wat zo'n virus al niet kan uithalen... *gosh*

Dat doet lovesan niet hoor..
Hetzelfde IP adres, dmv. router of dmv. client/server uitvoering?

Verwijderd schreef op 03 februari 2004 @ 00:01:
Dat doet lovesan niet hoor..
Hetzelfde IP adres, dmv. router of dmv. client/server uitvoering?

Maakt op zich niks uit toch? Zodra je pc internet heeft, niet gepatched is tegen de Blaster worm en het niet wordt tegengehouden door een router/firewall/etc. ben je de lul

Maar het zou er niet voor moeten zorgen dat de complete pc niet meer boot...

Die poorten zijn standaard niet geforward op een router hoor en ik neem niet aan dat ze die heeft geforward naar de comp van haar ma.

Die router weet echt niet naar welke comp hij de packets moet sturen, dus wordt er niets mee gedaan.

Dat hoop ik niet nee Maar sommige routers kun je ook zo instellen dat ze de hele zooi forwarden naar 1 IP (met mijne kan het iig). Dan ben je de complete firewall kwijt en eigenlijk ook elke andere vorm van beveiliging van de router... voordeel is dat dan wel alles werkt (MSN, Emule,etc.)

ah, nou goed we zitten hier dus achter een router die ik niet bijzonder zelf nog heb ingesteld om bepaalde poorten wel of niet open te zetten - standaard instellingen dus.

Update:
Mijn moeder zegt dat ze gewoon zat te internetten en dat ze een schermpje kreeg - grijs met zwarte tekst. Het schermpje was ongeveer vierkant, de zwarte tekst stond overal behalve in het midden, waar nog een grijs vlakje te zien was.
Het ging te snel - 2 seconden oid om de tekst te lezen.
- het was dus ws. geen Blaster schermpje
- het was geen schermpje van Kerio Personal Firewall
- het was geen schermpje van AVG Antivirus

Mijn moeder zegt dat het hierop leek:

(maar dan windows 2k look) maar ze kan zich het rode kruisje niet herinneren, volgens haar stond er geen plaatje / icoontje op.

De PC heeft zich na het vertonen van dit ding in een ruk afgesloten en wilde rebooten, maar kwam niet verder dan Windows - erna kwam hij niet verder dan een zwart scherm.
• Ik heb de pc kast even losgehad, eerst UTP eraf: geen bootscreen, geen opstartprocedure
• Kast opengemaakt, en geboot zonder videokaart: geen gepiep
(ja wel van mijn moeder die vrolijk riep 'ja er staat een melding check sign cable op de monitor!' )
• videokaart teruggezet, geboot zonder reepje memory: geen gepiep
• Harddisk spint in beide gevallen op, maar meer ook niet
• mobo geeft totaal geen piepjes, wel gaat er één groen LEDje branden en gaat de cpu fan spinnen.

Het is een Asus CUV4X-ME.

Jezuss, ik heb net WinXP geinstalleerd zelf thuis, de legale, en had gelijk het blaster virus binnen. Ik zat wel rechtstreeks op het internet, maar het is toch van de gekke dat de virus je zo gelijk vindt?

Naja, nog een keer maar installatie dan, zonder netwerkkabel

Dark Blue - dat je PC niet meer opstart lijkt me een raar iets - misschien dat het gemakkelijker is daar een apart topic over te openene, aangezien ik dat verschijnsel nog niet eerder ben tegengekomen na een blaster infectie. Geef wel eventjes aan dat je dit topic al gezien enzo hebt

Darkvater schreef op 03 februari 2004 @ 10:52:
Jezuss, ik heb net WinXP geinstalleerd zelf thuis, de legale, en had gelijk het blaster virus binnen. Ik zat wel rechtstreeks op het internet, maar het is toch van de gekke dat de virus je zo gelijk vindt?

Naja, nog een keer maar installatie dan, zonder netwerkkabel

tja, pech. maar om die dingen te voorkomen zorg ik dat ik het laatste sp heb en pas verbinding maak zodra het servicepack erop zit. vervolgens gelijk windowsupdate. (zou overigens in dit geval niet uitgemaakt hebben)

[ Voor 5% gewijzigd door Verwijderd op 03-02-2004 16:20 ]

* sanfranjake heeft de KB823980 hotfix voor 2000, XP en 2003 op usbstick

[ Voor 3% gewijzigd door sanfranjake op 03-02-2004 16:23 ]

sanfranjake schreef op 03 februari 2004 @ 16:23:
* sanfranjake heeft de KB823980 hotfix voor 2000, XP en 2003 op usbstick

lol
/me heeft slipstreamt xpsp1, win2ksp4 en een paar hotfixes op 15GB mp3speler met usb 2.0 aansluiting

[ Voor 7% gewijzigd door Verwijderd op 03-02-2004 16:33 ]

ik heb geen tijd om alles door te lezen maar ik snap het echt niet meer
zo gauw ik een patch wil openen, of ik via uitvoeren regedit uitvoer
wordt dat nou zon seconde of 10 afgesloten

dus hoe moet ik het programma nou kwijtraken als ik mn patch niet kan installeren

Verwijderd schreef op 30 maart 2004 @ 18:28:
ik heb geen tijd om alles door te lezen maar ik snap het echt niet meer
zo gauw ik een patch wil openen, of ik via uitvoeren regedit uitvoer
wordt dat nou zon seconde of 10 afgesloten

dus hoe moet ik het programma nou kwijtraken als ik mn patch niet kan installeren

Lees de topicstart nog eens erg goed door, als je inderdaad last hebt van deze RPC-exploit.

Klinkt meer als een Agobot dan als Blaster..
(Gezien het regedit killen)

Deze mag ondertussen wel naar Beveiliging & Virussen

_{Weg met die RPC troep}