svchost.exe

Kraftel · 12 August 2003, 08:06:39

Hallöchen

So nun mal was anderes kennt sich jemand gut win Win2000 aus ?
ich habe seit gestern ein Problem das die svchost.exe einen
Fehler verursacht und bei mir immer einiges ( Windows Explorer , IE6.0 , ICQ kein kopieren geht mehr ) zum abstürzen bringt .

Habe schon gegooglet und hab gelesen das sich gerne Trojaner
als svchost.exe einschmuggeln.

Eine Lösungsvorschlag war im Abgesicherten Moduls zu starten und
über die Konsole die svchost aus den dllcache ins system32 zu kopieren.
Jo gesagt getan aber hat leider nix gebracht !

Hat noch jemand ne Idee

( außer neu install *gg* )

MfG

henne · 12 August 2003, 08:18:06

hi Kraftel,

das hört sich ganz nach dem Virus msblast.exe and
installiere mal den Patch von dieser Microsoftseite:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

Nach der Installation des Patches und einem PC-Neustart solltest Du die Datei msblast.exe suchen und löschen. Entferne auch alle passenden Eintrage aus der Registry. Öffne diese über Start, Ausführen, regedit und suchen nach dem Dateinamen und lösche die Einträge, achte aber darauf, wirklich nur diese Einträge zu markieren.

Ciao Henne

[Editiert am 12/8/2003 von henne]

[Editiert am 12/8/2003 von henne]

Kraftel · 12 August 2003, 08:33:47

Ahhhhhhh das böse V... Wort

Danke für die schnelle Antwort werde es
heute Nachmittag gleich mal versuchen !

Tzis so so danke Symantec !!
Hab Systemworks mit Firewall und Anti Virus drauf und
mache ständig updates und dann sowas grrrr !!

DarkBoy · 12 August 2003, 10:18:29

In einem Sicherheits-Bulletin bezieht sich Microsoft auf die DCOM-Schnittstelle, die Datenverkehr am TCP/IP-Port 135-139 abhört. Durch einen Fehler im DCOM könnte der RPC-Service, ein Protokoll, das von Software verwendet wird, um Dienste von anderen Programmen in einer Netzwerkumgebung anzufordern, abstürzen. Für den Absturz ist lediglich eine nicht korrekt formatierte Nachricht notwendig, die am Port 135-139 eintrifft.

Durch gezielte Versendung solch falsch formatierter Nachrichten könnte der RPC-Service gezielt zum Absturz gebracht werden und der attackierte Rechner praktisch "übernommen" werden. Von der Sicherheitslücke sind die Windows-Versionen NT 4.0, NT 4.0 TSE, 2000, SP und Windows Server 2003 betroffen.

Die Auswirkungen beziehen sich auf vollständige Auslastung der svhost.exe bis zu 100% der Prozesse und dem damit verbundenen "Stillstand"
Ebenfalls kann der Dienst: Remoteprozeduraufruf(RPC) unerwartet beendet werden, was zum ausschalten des Rechners führt. Zeit zum speichern bleibt hier knapp 60 Sekunden.
Ich selbst hatte gestern auch unerwartet und völlig ohne Ankündigung diesen Fehler bekommen. Es liegt nicht an einem Virenschutzsystem oder Firewall. Kannste da noch so sicher abschotten.
Hier lief ein "NeverChangeA-RunningSystem" und trotzdem nistete der sich kurz ein. Eingefangen durch den Start eines Dyn IP Dienstes und einer gesetzten Freigabe in den Apache um einen Fernzugriff zu bekommen! So schnell kann es gehen.
Das Deaktivieren oder Abschalten der Fehlermeldungen unter --Verwalten-Dienste-RPC bringt nicht wirklich Schutz .
HENNE hat da vollkommen den richtigen Link gepostet und der Patch dort wird dir helfen.

Für solche Probleme hier mal einen Link zu meiner Meinung nach der besten Anlaufstelle ausserhalb der MS Seiten im deutschsprachigen Raum:
Winhelpline
Und hier eine sehr schnelle Newseite:
Kleo

[Editiert am 12/8/2003 von Admin DarkBoy]

Kraftel · 12 August 2003, 10:35:59

Jup scheint recht viele erwischt zu haben !
Auf nukeboards.de gibts auch schon ein ellenlanges Topic !

http://www.heise.de/newsticker/data/dab-12.08.03-000/

http://cert.uni-stuttgart.de/ticker/article.php?mid=1132

Naja werde den Ding heute Nachmittag an den Kragen gehen !!

Danke für Tipps leute !!

MfG

jubilee · 12 August 2003, 12:47:59

Hmmmm .....
Leute, nur den Virenscanner aktuell halten das reicht nicht.
Microsoft bietet reichlich Updates (was für ein Wunder).
Nur muss man diese auch installieren.
Gerade wenn man auch noch Services anbietet gehört das Pflegen des Systems dazu. Security Bulletins lesen, Updates installieren ist ein absolutes muss, wenn man sich Ärger ersparen will. Denn ist das System ersteinmal nach aussen offen kann man sich fast nicht mehr sicher sein, ob nicht schon eine Backdoor installiert ist.
Auf jeden Fall das System genauer beobachten.
Ich traue den reparaturversuchen eigentlich nicht. Meine intetion geht dahin: Ist der Schutz einmal geknackt worden bzw. Trojaner/Backdoor auf dem Rechner gewesen = Neuinstallation.

MfG
jubilee

Kraftel · 12 August 2003, 12:59:56

Jo klar reicht das net !
Habe Systemworks drauf und scanne regelmäßig alles
durch . Service Packs auch alle installiert aber
dennoch das Teil eingefangen !

Naja am We hab ich Zeit neuinstall !
Sollte man ja eh in gewissen Abständen machen !
Also aller 6 Monate ist das bei mir eh der fall !

MfG

henne · 12 August 2003, 16:50:32

Hi Kraftel,

und hier noch ein Link um dir die mühevolle arbeit beim entfernen des Wurms zu ersparen:

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

hat symantec herausgegeben entfernt alle registrie Einträge und die besagte exe. Um absolut sicher zu gehen sollte man mittels einer Firewall die Ports 135-139 sperren.

@darkboy

Ich gebe Dir absolut Recht was Die WINHELPLINE betrifft
aber den kleinen sollte man auch mal ne Chance geben (jeder fängt doch mal klein an oder? ;)

Ciao Henne

[Editiert am 12/8/2003 von henne]

Ria · 13 August 2003, 00:06:10

Hallo,
will mich nicht groß einmischen. Bei einem Homerechner empfehle ich Drive Image.

Egal was dann passiert, in 10 Minuten ist das Betriebssystem wieder OK.
Vorausgesetzt das Image ist Virenfrei

.
Schneller geht keine Reperatur!
Gruss Ria

DarkBoy · 13 August 2003, 02:01:02

HM, und 19 Minuten später nach dem Image ist er da!
Ein Image nützt in dem Moment eigetlich wirklich nichts wenn man weiss wo er angreift, ehrlich nicht. Wäre so sinnlos wie dem Bäcker um 9 uhr das Mehl zu bringen nachdem man um 8 vorm Ladem steht zum Brötchen holen.

[Editiert am 13/8/2003 von Admin DarkBoy]

BowlingX · 13 August 2003, 02:09:38

Hm..ich hab mir mal den fix aufgespielt! Mal sehen obs wat bringt *G*

DarkBoy · 13 August 2003, 02:15:03

@ henne

ZitatIch gebe Dir absolut Recht was Die WINHELPLINE betrifft
aber den kleinen sollte man auch mal ne Chance geben (jeder fängt doch mal klein an oder?

Klar keine Frage, dummerweise hat man nur 60 Sekunden +-1bis5 Minuten um Hilfe und Rat zu finden. Also bezieht sich das von mir gesetzte URLchen nicht gegen die Kleinen , sondern gegen die Lösung für die User.

Nicht falsch verstehen.

Kraftel · 13 August 2003, 07:03:43

Hi Leutz

also habe alles wieder hinbekommen ! Das Tool von Symatec
hat das Ding gefunden und gekillt ;)
Also meiner Recherche nach kommt es über Virenscanner rein !
Soll da eine Sicherheitslücke sein !

Nun gut den Patch aufgespiet seit dem ist ruhe !
Mann kann sich bei dem ding so gut abschotten wie man
will da nützt nix !
Bei mir hatte es zum Glück nicht solche schweren auswirkungen
zum herunterfahren hat er es bei mir nicht gebracht !

MfG