Får feilmelding om Remote Procedure Call

[pgdx]

(jaja - jeg vet det, formulerte meg som en bedrevitende dust nå...)

Av og til er det absolutt på sin plass...

[goggen]

Av en eller annen grunn dukket RPC og "Isass.exe" meldingene omm igjen hos meg her om dagen, selv om jeg kjører oppdatert Norton.

 

Tilfeldigvis hadde jeg den lille fila fra Symantec som heter Fixblast. Kjørte denne men fant ingen blaster-ormer. Prøvde også Spybot, dette fant noen endringer i registrert, og fikset disse

 

Maskinen har sluttet å restarte, men den nekter å starte opp Norton. Den vil heller ikke inn på antivirussider på internett. Da får jeg bare melding om at siden ikke finnes (betyr at jeg heller ikke får gjort online-scanning). Alle andre sider funker fint. Har også litt proiblemer med å lese mail.

 

Noen tips på hva jeg kan gjøre?

[stubrud]

høres ut som enten en versjon av gaobot eller mydoom virusene

[goggen]

Takk for tipset, lasta ned gaobot removal tool, og den fant et par filer. Nå får jeg starta Norton igjen, så det kan tyde på at jeg er kvitt problemet

 

Synes det uansett er rart at dette skjer, når jeg har norton med automatisk live-update.

[agvg]

Synes det uansett er rart at dette skjer, når jeg har norton med automatisk live-update.

Ikke så veldig rart med tanke på at veldig mange virus ikke blir funnet verdige til en øyeblikkelig liveupdate men legges på vent til Symantec sin ukentlige oppdatering, en ytters tvilsom side ved Norton etter min mening.

Du kan manuellt laste ned oppdateringsfiler som oppdateres daglig men ytters få gjør dette.

[covah]

Det er faktisk like så viktig (eller ENDA viktigere) å holde Windows oppdatert som det er å holde anti-virus programvaren oppdatert. Kjør Windows Update ofte, eller helst aktiver automatisk oppdatering av Windows.

[Gjest Slettet+9018234]

Tyyyyydeligvis endel her på forumene som har litt for lite peiling på "prevensjon" til pc'en.

 

Always patch M$ WinXP!! Og et tips, hent ned "hotfixene" på harddisk, slik at du kan trekke ut RJ45-pluggen og patche opp WinXP hver gang du har blitt nødt å formatere pc'en, før du seiler på nettet. Evnt. kan Acronis TrueImage benyttes for å ta image av et "ferdig patchet" operativsystem.

Endret 15. juli 2004 av Slettet+9018234

[MrVilla]

Fikk selv sjokk da jeg skulle hjelpe ei med å sette opp maskinen sin på nettet (Splitter ny bærbar).

Koblet den opp og etter maks et minutt så fikk jeg melding om at den ville restarte etter et minutt. Heldigvis så hadde netopp en kompis hatt samme problemmet så jeg viste nøyaktig hva jeg skulle gjøre. Syntes allikevel at det var i råeste laget.

Jeg har aldri hatt noen problemer med dette viruset på mine egne maskiner. Windows update står på automatisk nedlasting og NIS oppdateres ofte og jevnlig. Har også norton spamkiller som filtrerer ut en masse dritt. Når jeg tenker meg om så kan jeg ikke huske sist jeg hadde virus.

 

Kan også legge til at ingen får lov til å gå på noen usikre sider (les: warez, porn o.l.) ved bruk av mine maskiner. Dette tror jeg er årsaken til at man slipper en god del møkk.

[stubrud]

virker som jeg hadde rett ang gaobot da siden du når du nå får startet antivirusen igjen. la odss oss håpe dette var det eneste problemet. men husket u å slå av system restore når du scannet maskina og fjernet de filene med removern fra symantec?

hvis ikke kan problemet kommer igjen veldig snart

[Gjest Slettet-10579]

Lurte på det selv, men tviler, nettopp nyinstallert OS på maskinen samt nettopp kommet online, ingen mulighet til plutselig å få det... Noe annet? SKal ikke si sikkert, men aller første gangen jeg logget meg, uten å ha sjekket noe mail eller nettsider, så kom den... Tror det er noe nettverk drit selv men vet ikke helt...

 

Kom igjen nå. Står Denne avslutningen ble starter av NT-myndighet\SYSTEM...

 

Pokker nå gar maskinen ned...

Joda, det kan du infiseres med uten at du åpner noen vedlegg. Det er typisk MSBlaster.

 

Sjekk www.microsoft.com for å finne ut hvordan du løser det.

[stubrud]

serpensis: sjekk datoen for den meldinga du qouta, tro nok det problemer løst for lang tid siden.og finnes pr idag flere som virker på samme måte, denne gangen var det nok gaobot virker det som ( se siste posteringer)

[Gjest Slettet-10579]

serpensis: sjekk datoen for den meldinga du qouta, tro nok det problemer løst for lang tid siden.og finnes pr idag flere som virker på samme måte, denne gangen var det nok gaobot virker det som ( se siste posteringer)

Oops. I blame it all on "Out-of-coffee error"...

[stubrud]

ja er fort gjort. hvertfall uten kaffe. lol

[goggen]

Ikke før det var borte kommer det noe nytt.

 

Har fortsatt samme problemet ift. å komme inn på antivirussider, kjøre norton og mail. Men nå finner ikke gaobot-fiksen noen ting.

 

Ser at det i registrert er en winxtc.exe-fil, etter noen søk på nettet ser jeg at denne har tilhørighet til gaobot.

 

Har prøvd å slette den, men den dukker bare opp ved restart av systemet.

 

Kobler jeg ut netterkskabelen og starter opp, kan je gkjøre norton (men den finner ingenting).

 

Hjelp?!?

[Hawkie]

Må bare presisere litt her:

 

1. Antivirus programmer er laget for å håndtere virus i realtime.

 

2. Blaster og disse er Ormer og laget for egen spredning ved hjelp av hull som er åpne på upatchede maskiner. (med andre ord ikke virus)

 

3. Antivirus programmer finner bare Ormer dersom de har en signatur (er kjent av antivirus programmet) og det søkes gjennom hele maskinen.

 

4. Mange av disse ormene endrer systemet og innstillinger gjenom lovlige prosesser, noe som gjør at antivirus programmer ikke ser det før det er for sent.

(eksempel: RPC)

 

 

De fleste slike ormer er faktisk sjelden laget før det har gått ut patcher og meldinger om at et konsulentselskap eller andre har funnet en mulig sikkerhets feil. Når det er gjort kan de som lager ormer og virus lese om feilen og selv starte med å lage en orm eller et virus som benytter svakheten som er oppdaget.

Et eksempel er MSBlast som dukket opp først 6 uker etter at det var gått ut melding om en mulig feil i RPC sikkerheten. På dette tidspunktet hadde det blitt lagt ut en patch på windows update, samt at man hadde lagt ut en security advisory om dette på nesten alle større nettsteder om sikkerhet. Her har altså crackere kunnet lettvint lese seg frem til feilen og hvordan den brukes.

Her kommer paradokset også, nemlig at jo mer MS leier inn konsulentselskaper til å teste for feil, jo mer vil det dukke opp ormer og annet som bruker disse feilene. Med andre ord er det her en "damned if you do and damned of you dont" situasjon. Så langt har jeg ennå selv ikke sett en eneste kunde maskin bli plaget når de har automatiske oppdateringer på.

 

Til de som nyinstallerer har jeg her et kjapt lite tips for å unngå å bli angrepet i løpet av tiden du bruker på å kjøre windows update:

 

1. Før du plugger i nettverket går du inn i egenskapene på nettverket og kobler INN XP sin innebygde firewall. Da kan du i fred og ro kjøre windows update uten å bli smittet.

Endret 19. juli 2004 av Hawkie

[goggen]

...og har du noe tips om winxtc.exe?

 

Ingen scanner finner den (kan scanne om jeg plugger ut nettverkskabel), og om jeg sletter den fra registeret dukker den bare opp igjen ved reboot.XPs firewall er forøvrig påslått.

[sofTest]

Når du skal fjerne virus under WinXP, så må du først deaktivere System Restore. Start så maskinen i Safe Mode, og kjør Norton Antivirus. Eventuelt, start i Safe Mode med nettverksstøtte, og kjør online scanneren fra Trend.

[thisischris]

Endret 1. august 2010 av thisischris

[sofTest]

Noe usannsynlig.

winxtc.exe er ikke relatert til Blaster. Det er mulig du refererer til den delen av tråden som er fra desember i fjor, og som nok er lite relevant nå. Les derfor eventuelt hele tråder før du svarer.

 

goggen: Mer informasjon om virus og fjerning av winxtc.exe kan leses her. Sjekk spesielt punktet om HOSTS-filen, slik at du kan kontakte anti-virus på nettet igjen. Dette er en orm som utnytter et sikkerhetshull i Windows. Så for å oppsummere:

 

1. Slå av System Restore

2. Rens systemet inkl. HOSTS-filen.

3. Kjør Windows Update

4. Oppdater Norton Anti-Virus

 

HOSTS-filen skal normalt kun inneholde:

# Copyright (c) 1994 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Chicago
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost

Endret 20. juli 2004 av sofTest

[goggen]

Hei igjen...

 

Har gjort følgende;

 

startet maskin i sikkerhetsmodus

kjørt norton update

scannet

 

Norton fant winxtc.exe, men kunne ikke reparere (hvorfor ikke?). Jeg puttet den i isolasjon og slettet den derfra. Gikk så inn i registret, og ser at den fortsatt ligger der. Hmmm...?

 

Har ikke rebootet, maskina står fortsatt på i safe modus, any solutions? Overraskende at det ikke fikses av norton da gitt..