Remoteprozeduraufruf wird beendet - Warum bloss?
Lutz Boden
meine Kiste (WinXP Prof) hat sich mal wieder etwas Neues ausgedacht,
um mich zu ärgern.
Ohne dass ich irgendetwas verändert hätte, wird der
Remoteprozeduraufruf unerwartet beendet, der Rechner startet neu.
Er ist auch schon bei größerer Wärme anstandslos gelaufen, daran wird
es nicht liegen (dann würde er auch wohl sang- und klanglos
abstürzen).
Habt Ihr eine Idee, woran das liegen könnte?
TIA + Grüße
Lutz
--
Tabak bringt Dich besser durch Zeiten ohne Geld, als
Geld Dich durch Zeiten ohne Tabak bringt.
Michael H. Fischer
> Ohne dass ich irgendetwas verändert hätte, wird der
> Remoteprozeduraufruf unerwartet beendet, der Rechner startet neu.
Spiel den Patch ein.
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm
MfG
Michael H. Fischer
--
Freeware und Antworten rund um NT/W2K/XP: http://www.derfisch.de/
Die XP Nano FAQ: http://www.derfisch.de/xpnf.php
Antworten NUR im Usenet. Mails werden lediglich in Ausnahmefällen
beantwortet.
Bernd Arendt
so wenig erklärlich.
Bernd
Stephan Grossklass
>
> Ohne dass ich irgendetwas verändert hätte, wird der
> Remoteprozeduraufruf unerwartet beendet, der Rechner startet neu.
Tja, genau das ist mir vorhin auch passiert - komisch, eigentlich können
die verdächtigen Ports gar nicht von "draußen" durchkommen. Wie gut, daß
ich den Patch gerade installiert, nur noch nicht neu gestartet hatte.
Nun ist Ruhe im Karton. Hoffentlich.
Gn8,
Stephan
--
Home: http://stephan.win31.de/ | Webm.: http://www.i24.com/
PC#6: i440LX, 2xCel300A, 256 MB, 18 GB, ATI AGP 32 MB, 110W
This is a SCSI-inside, Legacy-plus, TCPA-free computer :)
Reply to newsgroup only. | S: Kleinen Coppermine Slot 1 (günstig)
Michael H. Fischer
> Tja, genau das ist mir vorhin auch passiert - komisch, eigentlich
> können die verdächtigen Ports gar nicht von "draußen" durchkommen.
> Wie gut, daß ich den Patch gerade installiert, nur noch nicht neu
> gestartet hatte. Nun ist Ruhe im Karton. Hoffentlich.
>
Du bist sicher, dass msblast.exe dich nicht besucht hat?
http://www.derfisch.de/modules.php?op=modload&name=News&file=article&sid=40
http://cert.uni-stuttgart.de/ticker/article.php?mid=1132
Peer J. Knoerich
> Lutz Boden schreibselte am 11 Aug 2003:
>
>> Ohne dass ich irgendetwas verändert hätte, wird der
>> Remoteprozeduraufruf unerwartet beendet, der Rechner startet neu.
>
> Spiel den Patch ein.
>
>
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulleti
nms03-026.htm
>
> MfG
> Michael H. Fischer
warum patch? sucht mal nach msblast.exe. habe alles mit msblast.exe auf
dem rechner (prefetch-directory, system32-dir), registry gelöscht und
gut is.
peer
Heiko Otterbach
> Michael H. Fischer wrote:
>> Lutz Boden schreibselte am 11 Aug 2003:
>>
>>> Ohne dass ich irgendetwas verändert hätte, wird der
>>> Remoteprozeduraufruf unerwartet beendet, der Rechner startet
>>> neu.
>>
>> Spiel den Patch ein.
>
>
Vielleicht damit das nicht nochmal passiert?!
> sucht mal nach msblast.exe. habe alles mit msblast.exe auf dem
> rechner (prefetch-directory, system32-dir), registry gelöscht und
> gut is.
Das sollte man natürlich _auch_ machen.
Heiko
--
CPU & Mainboard FAQ: http://www.dch-faq.de/
"I feel that there is a world market for as many as five computers."
(Thomas Watson, IBM, 1943)
Michael H. Fischer
> warum patch? sucht mal nach msblast.exe. habe alles mit
> msblast.exe auf dem rechner (prefetch-directory, system32-dir),
> registry gelöscht und gut is.
Nix ist gut. Mann, du hast zwar den aktuellen Wurm gelöscht, aber das
Sicherheitsloch, über das er sich verbreitet, nicht gestopft.
Mensch, es bringt nichts, die Tür zu verrammeln, wenn du die Fenster
weit offen stehen lässt.
<kopfschütttelnd>
Peer J. Knoerich
> Peer J. Knoerich meinte:
>> Michael H. Fischer wrote:
>>> Lutz Boden schreibselte am 11 Aug 2003:
>>>
>>>> Ohne dass ich irgendetwas verändert hätte, wird der
>>>> Remoteprozeduraufruf unerwartet beendet, der Rechner startet
>>>> neu.
>>>
>>> Spiel den Patch ein.
>>
>>
>> warum patch?
>
> Vielleicht damit das nicht nochmal passiert?!
>
ooops ... habe ich gerade gemerkt. die sau war wieder da. danke für den
link.
peer
Peer J. Knoerich
> Peer J. Knoerich schreibselte am 11 Aug 2003:
>
>> warum patch? sucht mal nach msblast.exe. habe alles mit
>> msblast.exe auf dem rechner (prefetch-directory, system32-dir),
>> registry gelöscht und gut is.
>
> Nix ist gut. Mann, du hast zwar den aktuellen Wurm gelöscht, aber das
> Sicherheitsloch, über das er sich verbreitet, nicht gestopft.
>
> Mensch, es bringt nichts, die Tür zu verrammeln, wenn du die Fenster
> weit offen stehen lässt.
>
is ja gut ... mußte natürlich merken, dass die sau wiederkommt.
peer
Andreas Eibach
"Bernd Arendt" <bernd....@pp.sbbs.se> schrieb:
> Hatte ich gerade vor ein paar Minuten auch bei XP Home. Für mich genau
> so wenig erklärlich.
Unendlich danke an 'derfisch'! :-)
Das war's.
Hier ist nämlich das nächste Opfer von MSBLAST.EXE...
allerdings...
verhält der sich unter Win2K etwas anders!
Da wird der Rechner _nicht_ heruntergefahren; statt dessen bringt er
irgendwann einen error in svchost.exe und plötzlich sind ein Haufen Handler
futsch: WinZip Drag-and-Drop funktioniert nicht mehr (z. B. in *.zip
eingepackte *.exe auf Desktop entpacken).
Auch geht 'Öffnen in neuem Fenster' beim IE nicht mehr.
Drittens ist es nicht möglich, Eigenschaften zu einem Ereignis in der
Ereignisanzeige (EA) abzurufen.
Mistding!!!111111
Das mit RPC-dingens hab ich erst erfahren, als ich in die EA geguckt habe -
nach Neustart, bevor MsBlast zuschlug. Ein paar Minuten lässt er dir, bis er
aktiv wird.
Andreas
Bernd Arendt
Andreas Eibach wrote:
> Hier ist nämlich das nächste Opfer von MSBLAST.EXE...
> allerdings...
hier ist weder msblast.exe noch ein Eintrag in der Registry vorhanden.
Bernd
Stephan Grossklass
>
> Stephan Grossklass schreibselte am 11 Aug 2003:
>
> > Tja, genau das ist mir vorhin auch passiert - komisch, eigentlich
> > können die verdächtigen Ports gar nicht von "draußen" durchkommen.
> > Wie gut, daß ich den Patch gerade installiert, nur noch nicht neu
> > gestartet hatte. Nun ist Ruhe im Karton. Hoffentlich.
>
> Du bist sicher, dass msblast.exe dich nicht besucht hat?
Ziemlich - keine verdächtigen Einträge in der Registry, keine EXE.
Wundert mich sowieso, daß das überhaupt passieren konnte, die Ports
137-139 landen beim Router in /dev/null und den Rest muß ich manuell
mappen, wenn da was ankommen soll. Jetzt habe ich mal noch 135, 136, 445
und 593 (je TCP und UDP) geblockt, wie bei Heise beschrieben.
Mittlerweile haben auch die meisten Rechner hier das Update drauf.
Lutz Boden
<usen...@derfisch.de> wrote:
>Lutz Boden schreibselte am 11 Aug 2003:
>
>> Ohne dass ich irgendetwas verändert hätte, wird der
>> Remoteprozeduraufruf unerwartet beendet, der Rechner startet neu.
>
>Spiel den Patch ein.
Done, danke.
Bisher mußte man ja immer dumm genug sein, eine verseuchte Mail per
Outlook zu öffnen oder angehängte Dateien auszuführen.
Jetzt werden offenbar die IP-Adressbereiche der großen Provider
abgegrast per Portscan.
Kastrieren und Blenden ist noch viel zu gut für solche Kriminellen.
Gruß
Michael H. Fischer
> Jetzt werden offenbar die IP-Adressbereiche der großen Provider
> abgegrast per Portscan
Das ist doch nichts Neues, denn das tat schon Slammer. Und wieder
einmal hätte sich _jeder_ rechtzeitig durch das Einspielen der
wochenlang Patches schützen können. Oder durch eine vernünftig
konfigurierte Firewall. Vorzugsweise _keine_ Personal Firewall.
Gerd Altmann
<usen...@derfisch.de> wrote:
>Lutz Boden schreibselte am 12 Aug 2003:
>
>> Jetzt werden offenbar die IP-Adressbereiche der großen Provider
>> abgegrast per Portscan
>
>Das ist doch nichts Neues, denn das tat schon Slammer. Und wieder
>einmal hätte sich _jeder_ rechtzeitig durch das Einspielen der
>wochenlang Patches schützen können. Oder durch eine vernünftig
>konfigurierte Firewall. Vorzugsweise _keine_ Personal Firewall.
>
>MfG
>Michael H. Fischer
Noch besser wäre, Bill Gates würde dafür sorgen, dass Microsoft
endlich ein sicheres Windows herausbringt, und keine Patente mehr
verletzt.
Gerd
Michael H. Fischer
> Noch besser wäre, Bill Gates würde dafür sorgen, dass Microsoft
> endlich ein sicheres Windows herausbringt, und keine Patente mehr
> verletzt.
<seufz> Zeig mir _ein_ einziges per default sicheres Betriebsystem,
dass nie mehr upgedated und gepflegt werden muss. Ein einziges. Kannst
du nicht? Gut, wo ist also dein Argument?
Und kommm mir nicht mit Linux. Die Rechtmässigkeit des Anspruchs von
SCO sei mal völlig dahingestellt, aber auch hier muss erst ein Gericht
abschliessend entscheiden. Genau wie die MS Patent Geschichte die noch
nicht in der letzten Instanz ist.
Sorry, aber hier ist nicht das Heise Forum.
Timo Kissing
> Lutz Boden schreibselte am 12 Aug 2003:
>
>> Jetzt werden offenbar die IP-Adressbereiche der großen Provider
>> abgegrast per Portscan
>
> Das ist doch nichts Neues, denn das tat schon Slammer. Und wieder
> einmal hätte sich _jeder_ rechtzeitig durch das Einspielen der
> wochenlang Patches schützen können. Oder durch eine vernünftig
> konfigurierte Firewall. Vorzugsweise _keine_ Personal Firewall.
Mein letztes WindowsUpdate war maximal 14 Tage her, als der Wurm bei mir
zuschlug.
Und zu PF muss ich sagen: die Windows-Interne FW (die ja nichts anderes ist
als eine PF) hat zumindest die Symptome behoben, so daß ich lang genug
online bleiben konnte, um das Patch zu ziehen.
lino - da sag noch einer eine PF ist _nie_ sinnvoll
--
°° Oberster Verteidiger des Ordens der Dunklen Seite von de.ALL [tm] °°
# "Ernest Hemingway, why did the Chicken Cross the Road?" #
# "To die. In the rain. Alone." #
# http://blog.ranta.info - http://dunkle.seite.ranta.info #
Gerd Altmann
<usen...@derfisch.de> wrote:
>Gerd Altmann schreibselte am 12 Aug 2003:
>
>> Noch besser wäre, Bill Gates würde dafür sorgen, dass Microsoft
>> endlich ein sicheres Windows herausbringt, und keine Patente mehr
>> verletzt.
>
><seufz> Zeig mir _ein_ einziges per default sicheres Betriebsystem,
>dass nie mehr upgedated und gepflegt werden muss. Ein einziges. Kannst
>du nicht? Gut, wo ist also dein Argument?
>
>Und kommm mir nicht mit Linux. Die Rechtmässigkeit des Anspruchs von
>SCO sei mal völlig dahingestellt, aber auch hier muss erst ein Gericht
>abschliessend entscheiden. Genau wie die MS Patent Geschichte die noch
>nicht in der letzten Instanz ist.
>
>Sorry, aber hier ist nicht das Heise Forum.
>
>Michael H. Fischer
Aber seine Meinung darf man schon sagen?
Gerd
Michael H. Fischer
> Aber seine Meinung darf man schon sagen?
Du darfst vieles. Genau wie ich. Deswegen darf ich dir auch eine
Antwort schreiben.
Du hast aber ganz offensichtlich keine Argumente für oder gegen irgend
etwas, sondern nur diffuse Befindlichkeiten. Und die sind im Heise
Forum sicherlich besser ausgehoben als hier. Dort wirst du auch
sicherlich Claquere für so undifferenzierte Aussagen finden.
EOD für mich.
Heiko Otterbach
> "Michael H. Fischer" schrieb:
>>
>> Du bist sicher, dass msblast.exe dich nicht besucht hat?
>
> Ziemlich - keine verdächtigen Einträge in der Registry, keine EXE.
Das kann man auch von einem kleinen Programm besorgen lassen:
http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool..html
Heiko
--
CPU & Mainboard FAQ: http://www.dch-faq.de/
"Die zwei grössten Tyrannen der Erde: der Zufall und die Zeit."
(J. G. Herder)
Heiko Otterbach
> "Michael H. Fischer" schrieb:
>>
>
> Ziemlich - keine verdächtigen Einträge in der Registry, keine EXE.
Das kann man auch von einem kleinen Programm besorgen lassen:
http://www.sarc.com/avcenter/venc/data/w32.blaster.worm.removal.tool..html
Heiko
--
CPU & Mainboard FAQ: http://www.dch-faq.de/
"Das lässt tief blicken!" (Abgeordneter A. Sabor im Deutschen
Reichstag, 1884)
Gerd Altmann
<usen...@derfisch.de> wrote:
>Gerd Altmann schreibselte am 13 Aug 2003:
>
>> Aber seine Meinung darf man schon sagen?
>
>Du darfst vieles. Genau wie ich. Deswegen darf ich dir auch eine
>Antwort schreiben.
>
>Du hast aber ganz offensichtlich keine Argumente für oder gegen irgend
>etwas, sondern nur diffuse Befindlichkeiten. Und die sind im Heise
>Forum sicherlich besser ausgehoben als hier. Dort wirst du auch
>sicherlich Claquere für so undifferenzierte Aussagen finden.
>
>EOD für mich.
>
>Michael H. Fischer
Ich brauche weder Claqueure (wenn schon Fremdwort, dann fehlerfrei),
noch Microsoft-Knechte.
MfG Gerd
Volker Neurath
>Und wieder einmal hätte sich _jeder_ rechtzeitig durch das Einspielen der
>wochenlang Patches schützen können.
Wenn man denn Kenntnis von der Lücke und einen dafuer Existierenden
Patch hatte.
Nein, einen Start -> windowsUpdate habe ich bisher nich regelmeaessig
durchgefuehrt und werde das auch weiterhin nicht tun.
>Oder durch eine vernünftig konfigurierte Firewall. Vorzugsweise _keine_ Personal Firewall.
Denn nenn' mir doch mal eine vernuftige HW-firewall zu bezahlbaren
preisen...
Volker
--
"Andere spielen Prügelpause oder Counterstrike, wir lesen dsv"
Andreas Cammin in dsv (de.soc.verkehr)
Radbert Grimmig
>Denn nenn' mir doch mal eine vernuftige HW-firewall zu bezahlbaren
>preisen...
Ehm, muss die denn die irre Rechenleistung bringen? Ich mein, im
Grunde täte das doch irgend ein Alt-Rechner, Celeron oder sogar schon
ein P1. So was kriegt man doch nachgeworfen.
Man muss sich halt "nur" der Mühe unterziehen, sich ein wenig in die
Netzwerk-Technik einzuarbeiten.
Gruß, Radbert
Volker Neurath
>Ehm, muss die denn die irre Rechenleistung bringen? Ich mein, im
>Grunde täte das doch irgend ein Alt-Rechner, Celeron oder sogar schon
>ein P1. So was kriegt man doch nachgeworfen.
Einen alten AMD K6 habbich noch da...
>Man muss sich halt "nur" der Mühe unterziehen, sich ein wenig in die
>Netzwerk-Technik einzuarbeiten.
Tja, und da hapert es bei mir, vorallem (momentan) an der Zeit, denn
ich bereite mich im Augenblick auf die SCJP-Pruefung vor, und ab mitte
Sept. geht's stramm weiter auf eine Zertifizierungsprefung bei SAP...
ausserdem muss ich zugeben, das Netzwerk_technik_, insbesondere
Protokolldetails, nicht gerade meine Welt sind...
Dirk Ohme
> hier ist weder msblast.exe noch ein Eintrag in
> der Registry vorhanden.
der Absturz des RPC-Dienstes erfolgt IMHO dann, wenn der Wurm das
falsche Betriebssystem vermutet - insofern hattest Du bei diesem Mal
Glück ... trotzdem solltest Du mal windowsupdate.microsoft.com mal
besuchen (wenn Du das nicht schon getan hast)!
So long,
-+- Dirk -+-