[Bigbrainbug]

Hallo,

ich habe ein großes Prob hab hier mehrere Windows 2000 Rechner alle mit Servicepack 4 und Rollup V2. Und nun bekomme ich den RPC Countdown mit anschließéndem Neustart wie er u.a. vom Blaster bekannt ist.

Virenscaner (Stinger, Antivir, F-Prot, BitDefender,) und div. Sasser, Blaster Fixtools haben nichts gefunden.
Habt Ihr nen tipp was das sein könnte.

gruß
Robert

Dieser Beitrag wurde von Bigbrainbug bearbeitet: 15. Mai 2006 - 17:09

[Justus Jonas]

hast du den patch: KB823980-x86-DEU.exe

http://www.heise.de/...r/meldung/39461

Dieser Beitrag wurde von Justus Jonas bearbeitet: 11. Mai 2006 - 22:37

[Bigbrainbug]

Also hier nochmal die Ganze Situation in aller Ausführlichkeit. Es handelt sich um ein Rechnerkabinett bestehend aus Windows 2000 und Windows 98 Rechnern sowie einem Windows NT 4 SP6a server.
Die Rechner sind so vernetzt:

Hub1: 3 Win2K + 2 W98
Hub2: 4 Win2k + 1 W98

Die Hubs sind untereinander Vernetzt und an den Server Angeschlossen.

Das Problem: Wenn die Rechner wie beschrieben vernetzt sind tritt Sasser in Erscheinung (RPC Countdown). Dieser Kann aber von keinem AV Programm gefunden werden. (Norten, BitDefender, F-Prot, Kaspersky, Stinger, Div Fix Tools). Wenn man den augenscheilich befallenen PC vom Netzwerk trennt kpassiert nichts dergleichen kein Countdown nix.

Schließt man den PC wieder an ist es wieder da. So ist es mit allen Win2k PCs. Kann es sein das der Wurm sich auf dem Server versteckt hält und von dort aus die PCs abschießt/ Neutstartet? Das schließen der Lücke mit dem Patch behebt das Problem. Das Netz ist autark und hat keinen Internetzugang. Auf den Win2K PCs war SP4 bereits installiert. Auf einem auch das Rollup - Dieser lief und läuft einwandfrei.

Mich verwirrt vorallem das die Scanner eben gar nichts finden.

Bin für jeden Tipp Dankbar.

Gruß
Robert

Dieser Beitrag wurde von Bigbrainbug bearbeitet: 15. Mai 2006 - 17:08

[AdS]

hehe DAs lästigte Problem mit windows 2000 und blaster ^^

Bevor du mit dein system Ins Internet gehst. Hol die die aktuellen sicherheits updates wichtig ist der Blaster Patch.


Es gibt da auch nen remove tool.. aber damit hab ich nciht gute erfahrung. Bei winboard.de gibts nen sichheits update Pack für win2k lädste dir runder brennst auf cd und installierst es dann erst internet und routing einstellen haste DHCP mach es aus ^^oder steck dien rechner vom netzwerk so lange ab. Weil blaster kommt wie von alleine^^

[Graumagier]

Neu installieren, zukünftig Patches zeitnahe einspielen und sich mal Gedanken über das Sicherheitskonzept machen.

[{S[C]R|E[A]M}]

Du kannst der Countdown auch abbrechen.
Dazu öffnest du unter Start / Ausführen ein CMD

dort tippst du dan "shutdown -a" ein. Der aktuelle Countdown wird abbgebrochen.
Das sollte eigentlich funktionieren.


MfG
scream

[bartii]

vllt ist ja auf dem Server irgendwie eingestellt,dass er die runterfahren soll....

geht ja auch mit shutdown

[muzikus69]

Hallo,

ich hatte das Problem auch mal - ist aber schon ne Weile her.
Mein Virenscanner hat auch nichts gefunden, bis ich mir von
sysinternals den Process Explorer
geladen hab und von einem schreibgeschützten Datenträger gestartet habe.
Dort hab ich einen Prozess abgeschossen, der mir Suspekt erschien (Leider
kann ich nicht mehr sagen, wie der Prozess hieß :-( ) und siehe da,
im gleichen Augenblick hat mein Virenscanner den Sasser entdeckt und hat
eine weitere Ausführung verhindert.
Die restlose Entfernung kann sich durchaus als tückisch und langwierig erweisen, deshalb
mein Rat, wenn Du nicht grad die nötige Zeit und Erfahrung mitbringst:
Neuinstalieren und alle aktuellen Patches drauf, bevor Du den Rechner ans
Netz bringst (und damit meine ich auch das Homenetz!). Sonst machst Du
diese Prozedur sooft, bis Du sie im Schlaf durchexerzieren kannst ;-)

Viel Erfolg.
muZiKus69