nicht angemeldet
Dringend: svchost.exe => Bidde um Hilfe
0 0 0 0 0 0 falscher Link
0
0
Dringend: svchost.exe => Bidde um Hilfe
Hallo erstmal;
Das gehört zwar nicht ganz zur Thematik HTML etc., aber ich erhoffe mir trotzdem eine Antwort.
Ich habe momentan das Problem das bei mir häufig die Anwendung "svchost.exe" abschmiert. Sobald das passiert ist es mir nicht mehr möglich einen link in einem neuen Browserfenster zu öffnen. Auch wenn über ein JavaScript ein neues Fenster geöffnet werden sollte, verweigert mein System dann den Dienst (er öffnet es einfach nicht ohne ne Fehlermeldung zu geben).
Ich glaube ich kann nach dem abschmieren auch nimmer Text ausm IE raus kopieren (Strg + c).
Die Datei liegt in meinem winnt/sys32 Ordner (win2k). Fehler wird auch nicht wieder behoben wenn ich die Datei einfach nach dem abschmieren neustarte.
Dachte, dasses evtl am IE liegen könnte. Hab daraufhin meinen 5.5 IE aufn 6er IE aktualisiert...was allerdings auch nichts half.
Sollte einer wissen, wodran das alles liegt und/oder wie man es umgehen kann, bitte ich ihn das hier ebend zu posten.
Danke.
MfG, Chriss;
-
Hi,
Habe zwar nix mit Windows am Hut, war aber gerade auf /. ;-)
Das gehört zwar nicht ganz zur Thematik HTML etc., aber ich erhoffe mir trotzdem eine Antwort.
Ich habe momentan das Problem das bei mir häufig die Anwendung "svchost.exe" abschmiert. Sobald das passiert ist es mir nicht mehr möglich einen link in einem neuen Browserfenster zu öffnen. Auch wenn über ein JavaScript ein neues Fenster geöffnet werden sollte, verweigert mein System dann den Dienst (er öffnet es einfach nicht ohne ne Fehlermeldung zu geben).
Das ist ein RPC Wurm, recht frisch.
http://isc.sans.org/diary.html?date=2003-08-11
http://slashdot.org/articles/03/07/16/2218216.shtml?tid=172
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
http://developers.slashdot.org/developers/03/08/11/2048249.shtml?tid=126&tid=172&tid=185&tid=190&tid=201so short
Christoph Zurnieden
-
guten Morgen,
Habe zwar nix mit Windows am Hut, war aber gerade auf /. ;-)
Ich gestehe, mein Windows XP hat es auch erwischt. Ist nicht ganz so schlimm, fahre ich eben ein anderes System - aber ärgern tut es einen ja doch.
http://isc.sans.org/diary.html?date=2003-08-11
http://slashdot.org/articles/03/07/16/2218216.shtml?tid=172
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
http://developers.slashdot.org/developers/03/08/11/2048249.shtml?tid=126&tid=172&tid=185&tid=190&tid=201Habe ich teilweise mit Vergnügen, teilweise auch etwas zornig gelesen. Und ich habe mir auch den Patch, auf den in [pref:t=55168&m=307388] hingewiesen wurde, geholt - nur kann ich das Ding nicht verwenden, es sagt mir, mein Windows XP hätte nicht die richtige Sprache.
Ich verstehe da übrigens etwas nicht. In allen (auch deinen) Erläuterungen wird angegeben, dieser Wurm benutzt tftp, bloß habe ich das Teil nun wirklich nicht. Wie kommt er dann daran?
Es hat mir übrigens auch nichts genutzt, die angegebenen ports zu sperren und die registry gründlich zu schrubben. Nach dem nächsten Systemstart mit Windows ist das Teil wieder da, und wenn es mich auch die ersten zweimal belustigt hat, bin ich langsam doch "not amused".
Wie kann man sich das Ding eigentlich einfangen? Über mail-Anhänge geht das jedenfalls nicht.Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Hi,
Habe zwar nix mit Windows am Hut, war aber gerade auf /. ;-)
Ich gestehe, mein Windows XP hat es auch erwischt. Ist nicht ganz so schlimm, fahre ich eben ein anderes System - aber ärgern tut es einen ja doch.Immer noch? >;->
http://isc.sans.org/diary.html?date=2003-08-11
http://slashdot.org/articles/03/07/16/2218216.shtml?tid=172
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
http://developers.slashdot.org/developers/03/08/11/2048249.shtml?tid=126&tid=172&tid=185&tid=190&tid=201
Habe ich teilweise mit Vergnügen, teilweise auch etwas zornig gelesen. Und ich habe mir auch den Patch, auf den in [pref:t=55168&m=307388] hingewiesen wurde, geholt - nur kann ich das Ding nicht verwenden, es sagt mir, mein Windows XP hätte nicht die richtige Sprache.Das ist mir allerdings unverständlich. Was hat ein ein Sicherheitsupdate in diesem Bereich mit i10n zu tun?
Ich verstehe da übrigens etwas nicht. In allen (auch deinen) Erläuterungen wird angegeben, dieser Wurm benutzt tftp, bloß habe ich das Teil nun wirklich nicht. Wie kommt er dann daran?
Genaues weiß ich auch nicht, aber auf der /. Seite steht allerhand.
Es hat mir übrigens auch nichts genutzt, die angegebenen ports zu sperren und die registry gründlich zu schrubben. Nach dem nächsten Systemstart mit Windows ist das Teil wieder da, und wenn es mich auch die ersten zweimal belustigt hat, bin ich langsam doch "not amused".
Das Dingen kopiert sich selber unter verschiedenen Dateinamen bunt in den Dateibaum. Es ist aber jedesmal _exakt_ die gleiche Datei, also würde ich einmal eine Dubblettensuche via MD5 o.ä. starten.
Aber schau wirklich mal in den /. Bericht, da ist einiges beschrieben.
Momang, habe ich noch im Dillocache:
Beschreibung:
http://developers.slashdot.org/comments.pl?sid=74395&cid=6669394Kurze Hilfe (Hast Du wahrscheinlich schon gemacht, aber trotzdem)
http://developers.slashdot.org/comments.pl?sid=74395&cid=6669679Etwas mehr:
http://developers.slashdot.org/comments.pl?sid=74395&cid=6669555So, mehr habe ich nicht mehr im Cache und leider auch nur einen Dialup.
Sind aber zwischenzeitlich noch 150 Postings hinzugekommen, vielleicht findet sich dabei ja mehr.Ports sperren nützt übrigens nichts, da sich das Dingen lokale Rechte (so heißen doch Rootrechte unter Win, oder? Also keine irgendwie beschränkten Adminrechte, volle Rootrechte meine ich) ergattert (recht einfach unter Win, das kann man gar nicht verhindern) und dann einfach einen Port aufmacht (4444, wenn ich mir das richtig gemerkt habe).
Firewall?
"I am root, bow before me!" ;-)Wie kann man sich das Ding eigentlich einfangen? Über mail-Anhänge geht das jedenfalls nicht.
Der übliche BO in eienr Schnittstelle, die wohl automatisch einen Port aufmacht (137? Ach ne, das war etwas anderes, RPC, also 135 ;-)
Und: ja, auch über Mailanhänge kann man sich sowas einfangen. Und wenn der Mailanhang nur dafür sorgt, das der passende Port geöffnet wird, sofern das MS nicht eh schon selber besorgt hat.Nein, solange sich nichts grundlegendes ändert, ist Windows nicht sicher genug für's Netzwerk, nur für Spielchen.
Obwohl: die _wirklich_ guten Spiele laufen auch unter sicheren Betriebsystemen ;-)so short
Christoph Zurnieden
-
Hallo Christoph,
das Problem mit der Sprache hatte ich auch erst. Ist ein kleines Usibility-Problem auf der Microsoft-Seite. Es reicht nicht, die Sprache in der Select-Box auszuwählen, man muß es unter der Select-Box auch bestätigen.
Hat bei mir auch zwei Besuche gedauert...Schönen Gruß aus München
die knappschaft
--
sh:( fo:| ch:? rl:° br:$,<,> n4:& ie:| mo:| va:) de:] zu:) fl:| ss:| ls:[,# -
Hallo!
Habe ich teilweise mit Vergnügen, teilweise auch etwas zornig gelesen. Und ich habe mir auch den Patch, auf den in [pref:t=55168&m=307388] hingewiesen wurde, geholt - nur kann ich das Ding nicht verwenden, es sagt mir, mein Windows XP hätte nicht die richtige Sprache.
meine Güte, da musste ich kürzlich Windows wieder neu aufsetzen,und habe jetzt nicht all diesen Kram sofort abgeschaltet, schon fängt man sich was ein, das gibts doch gar nicht! Jedenfalls, habe ich das hier gelsen http://heise.de/newsticker/data/dab-12.08.03-000/, da ist ein Removal-Tool von Symantec verlinkt, das habe ich erfolgreich gemacht, und danach das Patch eingespielt. Jetzt läuft alles wieder. Bei dem Patch kann man auswählen welche Sprache man haben will, vielleicht hast Du das übersehen? Wobei ich sehe gerade, Du hast ja gar nichst ausgewählt, daher siehe:
http://www.microsoft.com/technet/treeview/?url=%2Ftechnet%2Fsecurity%2Fbulletin%2FMS03-026.asp
Da wählst Du unten die richtige Version aus, und auf der nächsten Seiter noch die Sprache. Und vorher am besten das removal-Tool drüberlaufen lassen!
Grüße
AndreasPS: Was ist denn WinXP 64Bit Edition??? Habe ich da was verpasst?
-
Hallo!
falscher Link:
http://www.microsoft.com/technet/treeview/?url=%2Ftechnet%2Fsecurity%2Fbulletin%2FMS03-026.asp
Hm, da dachte ich setze ich den Link mal mit kodierten Soinderzeichen, naja, aber das scheint nicht zu gehen.
Dann musst Du halt kopieren:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
Grüße
Andreas-
hallo Andreas,
danke für die Hinweise. Den Heise-Artikel gabs gestern abend/heute morgen leider noch nicht. Er ist eine sehr gute Zusammenfassung der Dinge, die ich mir aus den von Christoph Zurnieden angegebenen links zusammengereimt hatte.
Bis zu "msblaster.exe" und den registry-Einträgen war ich selber schon gekommen, das mit den ports wäre mir nicht von allein eingefallen - obwohl ich da nachgeschaut habe.
Das Symantec-Teil hat ein Weilchen arbeiten müssen, hat dann aber nichts gefunden, und den Microsoft-Patch habe ich inzwischen eingespielt.
Was mich bei dem "Bulletin" von Microsoft stutzig macht: der patch beseitigt "buffer overflow" für den RPC, das heißt, ein befallener Rechner schmiert nicht mehr ab. Leider aber beseitigt er den Wurm nicht, und das bedeutet, daß in nächster Zeit eine Menge Leute sich den Patch einspielen werden und sich danach beruhigt zurücklehnen, weil auf ihren Windows-Rechnern scheinbar nix mehr passiert. Dabei verbreiten sie aber, ohne es zu merken, den Wurm wahrscheinlich trotzdem fröhlich weiter.
Und irgendwas stört mich auch an der Angabe, daß das Ding sich über TFTP versendet. Natürlich habe ich eine ftp.exe im %WinDir%\system32 liegen, aber sonst überhaupt kein "FTP-Programm", also auch kein TFTP. Wie kann sich das Ding dann auf meinem Rechner installiert haben?
Ich habe mal mit diversen logs und Systemmeldungen nachgeforscht, wann ich ihn mir eingefangen habe: gestern war mein Rechner zwischen 19 Uhr und 23.20 Uhr aus, Strom ab - ich hatte was andres zu tun. Als ich ihn am späten Abend wieder eingeschaltet habe und online gegangen bin, ist zunächst gar nichts passiert, 0.13 ist er dann das erstemal runtergefahren, aber 0.08 war tatsächlich für 42 Sekunden bei mir port 4444 auf und hat irgendwelche Pakete durhgelassen. Also hätte ich um 0.08 Uhr eigentlich eine gerade aktive tftp.exe haben müssen, falls die diversen Beschreibungen korrekt sind. Dafür gibt es aber keinerlei Hinweise.
Beim nächsten reboot um 0.14 gings dann sehr schnell: kaum war die DFÜ-Verbindung hergestellt, fuhr er wieder runter (10 Sekunden), es lohnte sich gar nicht, erst einen Browser aufzurufen. Ich bin danach im "abgesicherten Modus" hochgefahren, habe diese msblast.exe gefunden und gelöscht, ebenfalls die registry-Einträge, bloß von den ports wußte ich noch nichts. Aber beim nächsten normalen reboot war das Ding wieder da, kurz nachdem ich die DFÜ-Verbindung hergestellt hatte - da wars mir dann zuviel und ich habe nach LINUX umgeschaltet.Inzwischen ist bei WinXP scheinbar alles "sauber", es sind nur die ports offen bzw. erlaubt, die ich tatsächlich brauche, aber ich traue dem Frieden nicht so ganz.
Und jetzt kann ich es doch nicht lassen: vor zehn Tagen bereits hat sich mein "Doppelgänger" beschwert, daß er sich irgendwo tftp eingafangen hätte (siehe http://forum.de.selfhtml.org/archiv/2003/8/54236/#m301083). Das haben wir offenbar alle überlesen - ich habs jetzt gefunden, weil ich einfach mal das Archiv nach "tftp" durchsucht habe. Aber vor zehn Tagen war "msblast.exe" wohl noch nicht aktuell ...
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|
-
-
Moin!
meine Güte, da musste ich kürzlich Windows wieder neu aufsetzen,und habe jetzt nicht all diesen Kram sofort abgeschaltet, schon fängt man sich was ein, das gibts doch gar nicht!
Ich hatte vor grob einem Monat mal einen Win98-Rechner neu aufgesetzt und direkt mit fester IP ins Internet gehängt, um damit verschlüsselte IP-Tunnel zum Firmenrouter zu testen. Ich hatte sehr aufmerksam alle offenen Ports von irgendwelchen Diensten geschlossen, und trotzdem noch ein dummes Gefühl dabei, dass der Rechner von irgendwoher angegriffen und mißbraucht werden könnte.
Die Ereignisse hier bestärken mich darin, dass ich nicht so falsch lag mit der Paranioa. Ob der Rechner angreifbar war, weiß ich nicht (würde es verneinen wollen - und jetzt ist es mir egal, ich arbeite da nicht mehr), aber das ungute Gefühl, wenn man einen Windows-Rechner ungeschützt ohne Router ins Netz hängt, bleibt. Zu Recht!
- Sven Rautenberg
--
SELFTREFFEN 2003 - http://selftreffen.kuemmi.ch/
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
-
-
-
Hallo,
Ich habe momentan das Problem das bei mir häufig die Anwendung "svchost.exe" abschmiert. Sobald das passiert ist es mir nicht mehr möglich einen link in einem neuen Browserfenster zu öffnen. Auch wenn über ein JavaScript ein neues Fenster geöffnet werden sollte, verweigert mein System dann den Dienst (er öffnet es einfach nicht ohne ne Fehlermeldung zu geben).
Das ist ein RPC Wurm, recht frisch.
Den hat er vielleicht auf seinem Rechner. Die Datei svchost.exe gehört nicht zu dem Wurm.
Gruß,
Christian-
Hi,
Das ist ein RPC Wurm, recht frisch.
Den hat er vielleicht auf seinem Rechner. Die Datei svchost.exe gehört nicht zu dem Wurm.
Beckmesser! ;-)
so short
Christoph Zurnieden
-
hi,
Das ist ein RPC Wurm, recht frisch.
Den hat er vielleicht auf seinem Rechner. Die Datei svchost.exe gehört nicht zu dem Wurm.Nein, aber sie gehört zu dem "System", das der Wurm lahmlegen kann (es gibt Ausnahmen, bei denen der Wurm durchaus aktiv ist, den befallenen Rechner aber nicht lahmlegt). Bei der lawinenartig anwachsenden Menge an erschrockenen Nachfragen seit gestern abend wird immer wieder auf die Kombination der Meldung "System wird heruntergefahren" mit der Meldung "SVCHOST.exe hat Fehler verursacht ..." hingewiesen.
Grüße aus Berlin
Christoph S.
--
mailto:christoph.schnauss@berlin.de
http://www.christoph-schnauss.de
ss:| zu:) ls:& fo:) va:) sh:| rl:|-
Hallo,
Nein, aber sie gehört zu dem "System", das der Wurm lahmlegen kann (es gibt Ausnahmen, bei denen der Wurm durchaus aktiv ist, den befallenen Rechner aber nicht lahmlegt). Bei der lawinenartig anwachsenden Menge an erschrockenen Nachfragen seit gestern abend wird immer wieder auf die Kombination der Meldung "System wird heruntergefahren" mit der Meldung "SVCHOST.exe hat Fehler verursacht ..." hingewiesen.
wegen den vielen Nachfragen habe ich schon befürchtet, jetzt meinen alle sie hätten den Wurm, nur weil sie im Task-Manager den Prozess svchost.exe sehen. Aber offenbar sind doch etliche Rechner betroffen.
Naja, ich verfolge die ganzen Meldungen nicht mehr; es vergeht ja kein Monat ohne dass es nicht irgendeinen neuen Wurm oder Virus gibt.
Gruß,
Christian
-
-
-