RPC-Dienst beendet sich

[edv-olaf 10]

Ohne lästern zu wollen, aber von NAV rate ich immer ab. (Glaubt mir nur keiner, hab dafür schon so oft Prügel bezogen...)

[Kampfhamster75 10]

Aber welches Softwarepaket (Server Cient) mit automatischer Verteilung und RIS sind denn empfehlenswerter. Und welche Software (wie z.B. Stinger, als Wurmfinder) gibts für Netzwerke???

[edv-olaf 10]

Also als C/S-Virensystem hab ich jetzt 3x AVK (GData.de) verkauft, die Kunden sind zufrieden, selbst bei Novells Mailsystem (was nicht direkt unterstützt wird) werden alle Netskys rausgefischt.

 

Wurmfinder... mhhh... vielleicht TrendMicros VirusWall in Form eines HTTP-Proxys?

 

Grüße

Olaf

[Eisbär 10]

Hi,

 

wir hatten das Problem letztes Jahr Herbst sehr massiv gehabt.

Da sind im ganzen Netz 10.49.y.z/24 Rechner abgeschossen worden, obwohl z. B. im jeweiligen Standort kein Rechner verseucht war, also über die Router hinaus.

Als Schutz haben wir mehrere RPC-Patches installiert.

Jetzt werden nur noch Rechner abgeschossen, die den Patch z. B. nach dem Rissen noch nicht abbekommen haben.

Seit dem ist ruh.

SP4 alleine reicht nicht, es müssen extra RPC-Patches gegen mslaugh und Co. sein.

 

Bei einem abgeschossenen Rechner hilft nur noch Neustart.

 

Irgendein Rechner hat bei Euch eine mslaugh-Variante unter system32 liegen und schießt die anderen Rechner ab.

Ist ein Rechner abgeschossen worden, sieht man das sehr schnell in der Systemsteuerung | Software. Entweder ist sie ganz leer oder die Icons sind komisch angeordnet.

 

Nur weil der Virenscanner nichts findet, heißt es nicht, dass der Rechner sauber ist!

[Kampfhamster75 10]

@Eisbär:

Danke für den Tip...

 

Bis jetzt zeigt er beim scannen z.B. mit Stinger eine Version des Blusterwurm....

HAbe daraufhin, diesen gecleant und den Blasterpatch drauf gezogen.

Wenn du jetzt sagst das das mehr sein kann, hast du nen Link zu deinen Patches? (Kann mit den Rechnern nicht ins Internet)

Lade alles am standalone runter --> CD --> ins Netzwerk einspielen...

[Eisbär 10]

Hi,

 

Dein Patch ist uralt, von August 2002!

 

Wir verwenden den von MS03-039

 

Mittlerweile gibt es aber auch schon neuere, z. B. in MS04-012

[Kampfhamster75 10]

So ich glaube ich bin aktuell...

War auf http://v4.windowsupdate.microsoft.com/catalog/de/default.asp

dort alle updates seit SP4, ca 160MB runtergeladen....

 

Also allen vielen Dank...

 

Von meiner Seite aus kann der Thread geschlossen werden.

 

Schönes Wochenende

[Velius 10]

Ich poste den Link gerne nochmal.....(war schon mal zu finden im Forum)

 

Aber zu meinem Entsetzen :shock: und meinem Erstaunen , begreiffen immer noch die wenigsten, wie dieser Virus funktioniert.....

 

 

:mad: :mad:

 

!!(dabei müsste man nur lesen)!!

 

:rolleyes: :cool:

 

 

Link zu Symantec (leider auf englisch)

[Bavaria 10]

We recommend that you block access to TCP port 4444 at the firewall level, and then block the following ports, if you do not use the following applications:

 

 

TCP Port 135, "DCOM RPC"

UDP Port 69, "TFTP"

 

 

 

wenn man einen router nutzt hat sich doch schon mal wenigstens

 

port 135 standartdmässig erledigt , da die router doch netbios blocken

 

richtig?

[Velius 10]

Ich glaube, da hast du etwas falsch verstanden...

 

NetBIOS Broadcasts werden üblicherweise von Routern geblockt. Aber der 135 ist per default nicht dicht; wäre auch schlecht für AD, denn wie du siehst, hört auch der RPC diesen Port ab (braucht AD unter anderem für die Replication).