Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Får feilmelding om Remote Procedure Call

Trancton

Av Trancton
i Internett og nettverk

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
talisar

talisar

Skrevet
Skrevet

Jeez, er det mulig at folk sier så mye rart:)?

 

MSBLaster sprer seg ved å utnytte et hull i RPC tjenesten på nt,2000,xp. På nt funker det ikke helt som det skal så der tryner ikke RPC tjenesten likevel når ormen prøver seg på bufferoverflow. Når ormen på en maskin klarer å tryne RPC tjenesten på en annen maskin kan den eksekvere fiendtlig kode på den maskinen den har koblet seg til. (orker ikke forklare dette mer her, les om bufferoverflow).

 

Altså trenger du kun være koblet til internett, trenger ikke laste ned noe og det er IKKE for å hindre spredning av ormen at pcen skrur seg av. Det har heller ikke noe å si om du allerede er infisert. 2000 og xp krever at RPC kjører hvis ikke shutter den ned. Så når en ny maskin da forsøker å infisere deg (uavhengig om du allerede ER infisert) så vil RPC tryne IGJEN.

 

Få oppdatert antivirus'en din, få ned alle patcher fra Microsoft og få satt opp en skikkelig brannmur.

Lenke til kommentar
Tjohei

Tjohei

Skrevet
Skrevet
Tar nøyaktig 5 sekunder å få blaster på en upatcha maskin som settes på nett...

:yes:

 

Hadde akkurat samme problem som trådstarter. Her er hva du skal gjøre:

 

1. Sett på brannmuren i XP (hvis du kjører XP)

2. Last ned Symantec's removal tool

3. Last ned Security patchen midt på denne siden

4. Sørg for at du ikke er koblet til internett (napp ut kabelen). Kjør først removal toolen, og så patchen.

 

Voilá! :green: Dette var det jeg gjorde, og maskinen min er Blast-fri.

 

Hvis du får problemet med at maskina vil slå seg av mens du laster ned, så skriv "shutdown /a" i dos-promptet, som nevnt over.

Lenke til kommentar
*Tronaldo*

*Tronaldo*

Skrevet
Skrevet

Hei igjen!

 

Det er dessverre ikke så enkelt som tjohei gir utrykk for - vel; enkelt er det, men for det første trenger man to patcher KB823980 og KB824146. Den første beskytter mot blaster og den andre stenger for modda varianter av blaster ormen.

 

For det andre fungerer Symantec removal tool og f-secure lovesan tool dessverre bare i 10% av tilfellene. Her på jobb ble ca halvparten av maskinene infisert (ca 100 stykk) og toolene slutta jeg å bruke etter kun kort tid. Det beste er å fjerne ormene manuelt.

 

En annen ting som er verdt å merke seg ved alle variantene er filer som heter tftpd(noen tall).exe dette er selve ftp serveren som ormene bruker for å formidle seg selv videre. Denne skal man også slette og fjerne nøkkelen til i registeret. Skal ikke forveksles med tftpd.exe - som er en windows fil.

 

*Tronaldo*

Lenke til kommentar
*Tronaldo*

*Tronaldo*

Skrevet
Skrevet
for å bevise min påstand. ta en fersk installert xp maskin ( ikke service pack 1 ) start microsoft update uten firewall eller antivirus og se hvor lenge det tar før du får msblast.. selfølgelig kan det komme fra andre steder også...

 

Kis - du er *helt* på tur! Er dette et resultat av intenst hat mot Microsoft eller rett og slett dårlige kunnskaper om MSBlast ol?

 

Sorry ass, men windowsupdate.com "hoster" ikke MSBlast / Welchi / Natchi eller dets like...

 

 

*Tronaldo*

Lenke til kommentar
Jazzcat

Jazzcat

Skrevet
Skrevet
for å bevise min påstand. ta en fersk installert xp maskin ( ikke service pack 1 ) start microsoft update uten firewall eller antivirus og se hvor lenge det tar før du får msblast.. selfølgelig kan det komme fra andre steder også...  :cool:

De tildeles herved prisen "Årets huleste resonnement" og nomineres samtidig til "Svada" prisen...gratulerer. :p

Lenke til kommentar
Trancton

Trancton

Skrevet
  • Forfatter
Skrevet

Jeg foretok en rollback på maskinens drivere/oppdateringer til før jeg installerte Office og driverne/utilities for ISDN kortet, og da funket det fint, feilmeldingen forsvant. Jeg msitenkte Outlook'en til å produsere disse RPC meldingene, installerte Office uten Outlook siste gangen, og da fungerte ting fint... Så om det var Blast, er det merkelig at det nå ikke gir noe utslag når jeg foretok en rollback...

Lenke til kommentar
Tjohei

Tjohei

Skrevet
Skrevet
Det er dessverre ikke så enkelt som tjohei gir utrykk for - vel; enkelt er det, men for det første trenger man to patcher KB823980 og KB824146. Den første beskytter mot blaster og den andre stenger for modda varianter av blaster ormen.

 

For det andre fungerer Symantec removal tool og f-secure lovesan tool dessverre bare i 10% av tilfellene. Her på jobb ble ca halvparten av maskinene infisert (ca 100 stykk) og toolene slutta jeg å bruke etter kun kort tid. Det beste er å fjerne ormene manuelt.

Neivel? Det funka ihvertfall for meg... :shrug: Var jeg heldig da eller?

Lenke til kommentar
*Tronaldo*

*Tronaldo*

Skrevet
Skrevet
Neivel? Det funka ihvertfall for meg...  Var jeg heldig da eller?

 

Det korte svaret er ja! Men litt flaks har vel aldri skadet noen :) Som sagt funker jo toolen(e) i noen tilfeller, men ikke tilstrekkelig til at man kan kjøre dem på en maskin og ta svaret for god fisk. Jeg satt feks å kikka i prosesslista når jeg kjørte toolene og jeg så at msblast.exe kjørte sammen med sin gode venn SVCHOST.EXE. Ved kjøreslutt sa alle toolene at "denne maskina er frisk som en fisk" - noe jeg visste ikke stemte. Da mistet jeg troen på disse automatiske verktøyene.

 

Ikke ment å disse deg ass, men du hadde litt flaks :roll:

Lenke til kommentar
Spirograf

Spirograf

Skrevet
Skrevet
Neivel? Det funka ihvertfall for meg...  Var jeg heldig da eller?

 

Det korte svaret er ja! Men litt flaks har vel aldri skadet noen :) Som sagt funker jo toolen(e) i noen tilfeller, men ikke tilstrekkelig til at man kan kjøre dem på en maskin og ta svaret for god fisk. Jeg satt feks å kikka i prosesslista når jeg kjørte toolene og jeg så at msblast.exe kjørte sammen med sin gode venn SVCHOST.EXE. Ved kjøreslutt sa alle toolene at "denne maskina er frisk som en fisk" - noe jeg visste ikke stemte. Da mistet jeg troen på disse automatiske verktøyene.

 

Ikke ment å disse deg ass, men du hadde litt flaks :roll:

Har bestandig benyttet meg av Symantec sine verktøy for å fjerne virus med rota, men man huske å slå av Systemgjenoppretting i ME/XP for at det skal ha noen nytte.

 

Jeg må dessuten være utrolig heldig, siden alle de drøyt 20 PC-ene jeg har medisinert for MSBlast har blitt kvitt det etter å ha brukt Symantec Removal Tool...

Lenke til kommentar
Lurifaksen

Lurifaksen

Skrevet
Skrevet

Jeg kan følge opp mitt innlegg med at maskinen ikke har restartet de siste 2 døgnene.

 

Symantec's removal tool fant ingenting, og det er lite sannsynlig at noen blasters har lurt seg inn siden jeg kjører både MS sin software firewall og firewall i ruter.

 

Ser ut til at det rett og slett har vært en windows feil som har ført til at maskinen har måttet restarte.

Lenke til kommentar
Tjohei

Tjohei

Skrevet
Skrevet
Du trenger ikke være infisert for å bli stengt ned ... Upatchede maskiner blir skrudd av de også, for å forsikre seg mot spredning. Jeg satte opp en helt fersk XP-installasjon => shutdown kom med en gang inet var oppe og kjørte.

GeeZuZz:

 

Jeg minner om det LarsC sier, FYI. ;)

Lenke til kommentar
Lurifaksen

Lurifaksen

Skrevet
Skrevet
Du trenger ikke være infisert for å bli stengt ned ... Upatchede maskiner blir skrudd av de også, for å forsikre seg mot spredning. Jeg satte opp en helt fersk XP-installasjon => shutdown kom med en gang inet var oppe og kjørte.

GeeZuZz:

 

Jeg minner om det LarsC sier, FYI. ;)

Ja, det er mulig. Men det er fremdeles merkelig at de har kommet seg gjennom ruteren som har firewall aktivert, og inn på en maskin på nettverket...

Lenke til kommentar
Rascal

Rascal

Skrevet
Skrevet

Hva, ingen premie? det er bra folk har nok kunnskap til å avsløre dårlige spøker. Ja jeg var "veldig" irritert på M$ på daværende tidspunkt. Av diverse årsaker.. ting som noen nevnte

 

"Til og med min niese på 3 år hadde klart å fjerne MS Blaster! Jeg kan gjøre det i blinde uten hender! Hva er det du tror om Microsoft, egentlig?"

 

Lite trolig..

 

"hvor i allverden har du det fra? tror da guruene hos MS skulle klare å fikse et så lite problem.."

 

ahem.. Tror du Microsoft Update ligger på en maskin?

 

"Kis - du er *helt* på tur! Er dette et resultat av intenst hat mot Microsoft eller rett og slett dårlige kunnskaper om MSBlast ol? Sorry ass, men windowsupdate.com "hoster" ikke MSBlast / Welchi / Natchi eller dets like..."

 

Du behøver ikke kalle meg en hestrompe for det :p og jeg nevnte aldri Welchi / Natchi eller dets like...

 

"Denne burde jo vært i humor. Utrolig hva man kan komme med som "bevis". "

 

Venter i spenning

 

"De tildeles herved prisen "Årets huleste resonnement" og nomineres samtidig til "Svada" prisen...gratulerer."

 

Med andre ord den fødte politiker.

 

Gutta, Folkens,

 

Its been an Honor..

God Natt

Lenke til kommentar
*Tronaldo*

*Tronaldo*

Skrevet
Skrevet
Har bestandig benyttet meg av Symantec sine verktøy for å fjerne virus med rota, men man må huske å slå av Systemgjenoppretting i ME/XP for at det skal ha noen nytte.

 

Jeg må dessuten være utrolig heldig, siden alle de drøyt 20 PC-ene jeg har medisinert for MSBlast har blitt kvitt det etter å ha brukt Symantec Removal Tool...

 

Spirograf - ja, da har du vært svineheldig. For det første: systemgjenoppretting har vel ingenting med at F-Secure og Symantec sine tools ikke finner noe! For det andre er vel ditt utvalg på 20 maskiner litt spinkelt i forhold til mitt på 100+. Sorry ass - men jeg fester ikke lit til at du har kurert hele arbeidsplassen din med Symantec Blaster removal tool!

 

(jaja - jeg vet det, formulerte meg som en bedrevitende dust nå...)

 

J'accuse!

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...