Irgendwas Ist Faul... epmap
#1
geschrieben 30. März 2005 - 16:43
Eins vorweg: Ich habe gerade ein neues System aufgesetzt, Windows XP ist ganz frisch. Mit SP 1 und allen seitdem erschienenen Fixes. Ich habe keine Programme installiert, kein Filesharing, den Internet Exploder/Outlook benutze ich auch nicht.
Jetzt ist mir aber aufgefallen, dass ein Dienst namens "wintsf.exe" (den ich auch nicht mit dem Sysmon beenden kann) nach dem Anmelden auf einmal wie verrückt alle möglichen Ports über epmap anschießt. Ich habe mich gleich an MSBlaster erinnert und mal das Removal-Tool von Symantec drüber laufen lassen. Nichts.
Aber komisch ist Folgendes: Als ich F-Prot starten wollte (DOS-Version, hat direkt nach der Installation einwandfrei geklappt), verweigerte es den Start (siehe Anhang).
Nach einer gewissen Zeit ist der ganze Spuk aber vorrüber und man findet über netstat keine Aktivität mehr.
Jetzt die Frage: Ist das eine normale Windows-Aktivität? Wenn ja, warum startet F-Prot auf einmal nicht mehr?
Danke schonmal für die Antworten, mit weiteren Infos rücke ich gerne raus.
Anzeige
#2
geschrieben 30. März 2005 - 16:49
Ich werde gleich mal einen Screenshot von diesen merkwürdigen Aktivitäten machen... Please hold the line...
#3
geschrieben 30. März 2005 - 16:50
Zitat
schon mal dran gedacht den SP2 zu installieren?
Dieser Beitrag wurde von Flo01 bearbeitet: 30. März 2005 - 17:19
#4
geschrieben 30. März 2005 - 16:52
Zitat
Eins vorweg, bevor ich auf den deinen nächsten beitrag warte:
Ich lege dir aus Sicherheits- und Stabilitätsgründen dringend die Installation des SP2 an Herz.
#5
geschrieben 30. März 2005 - 16:52
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#6
geschrieben 30. März 2005 - 16:56
"man kann nicht alles haben."
..oO es muss doch noch mehr als "alles" geben..?!
#7
geschrieben 30. März 2005 - 16:58
Danke für eure Antworten!
Ein Teil hat sich schon erledigt. Es war ein Wurm namens "RBot", der diesen Trubel verursacht hat.
Merkwürdig ist allerdings, dass ich nach wie vor F-Prot nicht mehr starten kann.
Habt ihr da vielleicht eine Idee zu?
P.S.: SP2 werde ich nicht installieren - 260MB Wind um Nichts, oder? Vor allem sollen derb viele Programme dann Probleme machen. Wenn das eine grob unsinnige Meinung ist: bitte schreien. War bis vor Kurzem treuer Windows 98SE-Nutzer. Brauche Windows XP halt zum Arbeiten. -.-
Dieser Beitrag wurde von shocked bearbeitet: 30. März 2005 - 17:00
#8
geschrieben 30. März 2005 - 17:00
Zitat
*Schrei*
Der SP2 behebt viele Sicherheitslücken!
Und die programme die Probleme machen kann man Updaten!
Außerdem solltest du dir gedanken machen, wie dieser wurm auf den PC gekommen ist, ist das eine Orginal CD?
(Edit: ein Grund ist das Nichtinstallieren von SP2)
Dieser Beitrag wurde von Flo01 bearbeitet: 30. März 2005 - 17:02
#9
geschrieben 30. März 2005 - 17:00
Zitat
Das ist falsch! SP2 enthält sämtliche kummulative Patches, neue Sicherheitsmechanismen und erhöhte Stabilität.
Das so viele Programme Ärger machen, sind nur Gerüchte. Und die überflüssigen Sachen, wie Sicherheitscenter usw lassen sich einfach deaktivieren.
Du kannst auch eine kostenlose MS Cd anfordern, falls dir der Downoad zu groß ist.
#10
geschrieben 30. März 2005 - 17:03
Zitat
Danke, ich habs in meinem Beitrag falsch geschrieben, aber richtig gesucht
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#11
geschrieben 30. März 2005 - 17:11
Zitat (Koopatrooper: 30.03.2005, 18:00)
<{POST_SNAPBACK}>
Naja, das stimmt nicht so ganz. Microsoft hat selber eine Liste erstellt, wo drin steht, welche Programme "ärger" machen
http://support.microsoft.com/default.aspx?...ct=windowsxpsp2
Zitat (Koopatrooper: 30.03.2005, 18:00)
lg
immerreggen
Dieser Beitrag wurde von immerreggen bearbeitet: 30. März 2005 - 17:12
"man kann nicht alles haben."
..oO es muss doch noch mehr als "alles" geben..?!
#12
geschrieben 30. März 2005 - 17:15
Zitat
Nein, diese Programme können unter Umständen Probleme verursachen. Ich habe noch nie gehört, dass Virtual PC Probleme in Verbindung mit dem Service Pack 2 verursacht, und es scheint in der Liste auf.
Dieser Beitrag wurde von Graumagier bearbeitet: 30. März 2005 - 17:16
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#13
geschrieben 30. März 2005 - 17:15
Zitat
Na komm, den Ball schön flach halten.
Der Großteil der Liste besteht aus Produkten von Norman, Norten und ZoneAlarm.
Viele übertreiben es einfach, angeblich sollen die meisten Programme nicht funktionieren, schau dir die Liste und die Beschreibungen genau an, und Hand aufs herz, diese Liste dürfte keinem versierten Anwender vor der Installation abschrecken.
Dieser Beitrag wurde von Koopatrooper bearbeitet: 30. März 2005 - 17:16
#14
geschrieben 30. März 2005 - 17:21
Projekte: UpdatePack + Scanner, ZAAMPPServer, VistaMizer, UltraUXThemePatcher, LaTeXUSB, SevenMizer
Zitat
#15
geschrieben 30. März 2005 - 17:22
Zitat
W32/Rbot-YN kann sich auf remote Netzwerkfreigaben verbreiten, die durch einfache Kennwörter geschützt sind, sowie auf Computer, die für häufige Schwachstellen anfällig sind. Der Wurm öffnet außerdem eine Backdoor, die unbefugten Fernzugriff auf den infizierten Computer über das IRC-Netzwerk ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist. Der Wurm nutzt folgende Schwachstellen aus: RPC-DCOM (MS04-012) und LSASS (MS04-011).
W32/Rbot-YN kann von einem remoten Eindringling angewiesen werden, Netzwerkfreigaben zu löschen, Tastenfolgen zu speichern, an DDoS-Attacken teilzunehmen, andere Computer nach Schwachstellen zu durchsuchen, Kennwörter zu stehlen, Registrierungsschlüssel für Computerspiele zu stehlen, Administratorkonten zu erstellen, Firewall- und Antivirenprozesse zu beenden, Videoaufnahmen von Webcams zu erstellen, die an den Computer angeschlossen sind.
Das ist die Erläuterung zu dem Wurm
Und wenn ich mich nicht täusche, behebt der SP2 diese beiden Lücken
RPC-DCOM (MS04-012) und LSASS (MS04-011).