RPC wird beendet - PC neu gebootet.

[thor 10]

Hallo an alle.

 

Diesmal eine Frage von WinXP.

Nachdem der PC gestartet wurde und so ca. 10 Min am laufen ist, erscheint urplötzlich eine Meldung.

"Der Dienst Remoteprozeduraufruf RPC wurde unerwartet beendet. der PC mus nun neu gebootet werden"

 

Ich wollte ja auch nen Virenscan drüberlaufen lassen, aber bis ich die aktuellen V-Definition aus dem Internet hatte ist mir die Schüssel wieder flöten gegangen.

 

HAbt Ihr eine Vorstellung, was diesen Fehler hervorruft und wie man diesen abstellen kann?

 

Gruß und Danke

Thor

[GuentherH 61]

Hallo Thor.

 

Scheint so, als ob du dir den W32.Blaster eingefangen hast.

 

Das Herunterfahren des Rechner kannst du verhindern, indem du die Eingabeauforderung startest und den Befehl shutdown -a eingibst.

 

Dann solltest du dir schleunigst das Tool "stinger.exe" von NAI downloaden, deinen Rechnr bereinigen und auf jeden Fall die fehlenden Patches einspielen bzw. überhaupt dein System updaten. Weitere Infos findest du hier am Board oder auch z.B. hier http://www.heise.de/security/news/meldung/39461

 

Liebe Grüße

 

Günther

[datasearch 10]

Diese Symthome hat ein System, auf dem der Blaster versucht einzudringen. Mit sehr hoher wars***einlichkeit ist dein System aber trotzdem infiziert. (Wenn man einen XP-Rechner ohne den Securitypatch online bringt, dauert es 30 bis maximal 60minuten bis du aufgrund des RPC-Sicherheitsloches nen Neustart erlebst)

Mache folgendes:

1. Setze die Eigenschaften des Dienstes Remoteprozeduraufruf(RPC) unter Eigenschaften und Wiederherstellen bei allen 3 Menü´s auf Keine Aktion durchführen

Das Verhindert ein Neustarten deines Rechners.

2. Lade den Blaster-Patch von der Microsoft-Website.

3. Lade das W32.Blaster.Worm Removal Tool von folgender URL:

http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

4. Installiere nun den Microsoft-Patch. Es folgt ein Neustart.

5. Boote gleich wieder, aber IM ABGESICHERTEM MODUS und melde dich als Admin an.

6. Starte das Symantec-Tool und entferne den Wurm.

7. Boote den rechner wieder normal und setze die eigenschaften des RPC-Dienstes wieder auf die standarteinstellungen zurück.

 

Habe das X-mal bei kumpels und 2mal in der Firma durch. Wenn du den Symantec-Scanner im normalem Betrieb startest, kann es sein das der Wurm zwar entfernt wird, aber in irgendeinem Systemverzeichnis doch noch überlebt. Nachdem du dein System wieder gesäubert hast, mache auf jeden fall mal ein WindowsUpdate und hol dir die aktuellen paches damit in Zukunft sowas nicht mehr passiert.

 

PS: Wenn du die Firewall angehabt hättest, währe das auch nicht passiert. Durch nen Router kommen Blaster und Kollegen auch nicht.(zb. DSL-Router)

[frankmannb 10]

oder gebe wenn die infobox zum neustart kommt in der cmd console "shutdown -a "ein damit wird das herunterfahren abgebrochen

[datasearch 10]

Hat doch GuentherH schon gepostet. Aber doppelt hält besser:)

@thor

Hast du den Wurm inzwischen gekillt?

[GuentherH 61]

Hi.

 

Er kann doch nicht antworten, sein PC fährt ja schon wieder runter :D :D

 

Günther

[datasearch 10]

:D :D :D Stimmt ja. Da können wir ja Posten was die Datenbank hergibt, ihm bringt´s ja nix wenn er´s nicht lesen kann. Schade. :(

[thor 10]

Hallo Leute.

 

Merci - Dies hatte ich schon befürchtet. Hab nun den "Blaster-EX" von Symantec drauf geschmissen und den Eindringling executieren lassen!

 

Der rechner fährt nu nicht wieder herunter! Hab ihn am Tisch festgeschraubt! :D :suspect: :D

 

Gruß

thor