Får feilmelding om Remote Procedure Call

Sinnsro · 2. desember 2003

dette minner meg om da jeg var på lan og kameraten min fikk blaster med en gang han kobla seg på hos meg derimot funka alt perfekt(null firewall, null updates og null antivirus).

skjønn det den som kan :cool:

Endret 2. desember 2003 av sINNsRO

talisar · 2. desember 2003

Jeez, er det mulig at folk sier så mye rart:)?

MSBLaster sprer seg ved å utnytte et hull i RPC tjenesten på nt,2000,xp. På nt funker det ikke helt som det skal så der tryner ikke RPC tjenesten likevel når ormen prøver seg på bufferoverflow. Når ormen på en maskin klarer å tryne RPC tjenesten på en annen maskin kan den eksekvere fiendtlig kode på den maskinen den har koblet seg til. (orker ikke forklare dette mer her, les om bufferoverflow).

Altså trenger du kun være koblet til internett, trenger ikke laste ned noe og det er IKKE for å hindre spredning av ormen at pcen skrur seg av. Det har heller ikke noe å si om du allerede er infisert. 2000 og xp krever at RPC kjører hvis ikke shutter den ned. Så når en ny maskin da forsøker å infisere deg (uavhengig om du allerede ER infisert) så vil RPC tryne IGJEN.

Få oppdatert antivirus'en din, få ned alle patcher fra Microsoft og få satt opp en skikkelig brannmur.

Tjohei · 2. desember 2003

Tar nøyaktig 5 sekunder å få blaster på en upatcha maskin som settes på nett...

:yes:

Hadde akkurat samme problem som trådstarter. Her er hva du skal gjøre:

1. Sett på brannmuren i XP (hvis du kjører XP)

2. Last ned Symantec's removal tool

3. Last ned Security patchen midt på denne siden

4. Sørg for at du ikke er koblet til internett (napp ut kabelen). Kjør først removal toolen, og så patchen.

Voilá! :green: Dette var det jeg gjorde, og maskinen min er Blast-fri.

Hvis du får problemet med at maskina vil slå seg av mens du laster ned, så skriv "shutdown /a" i dos-promptet, som nevnt over.

*Tronaldo* · 2. desember 2003

Hei igjen!

Det er dessverre ikke så enkelt som tjohei gir utrykk for - vel; enkelt er det, men for det første trenger man to patcher KB823980 og KB824146. Den første beskytter mot blaster og den andre stenger for modda varianter av blaster ormen.

For det andre fungerer Symantec removal tool og f-secure lovesan tool dessverre bare i 10% av tilfellene. Her på jobb ble ca halvparten av maskinene infisert (ca 100 stykk) og toolene slutta jeg å bruke etter kun kort tid. Det beste er å fjerne ormene manuelt.

En annen ting som er verdt å merke seg ved alle variantene er filer som heter tftpd(noen tall).exe dette er selve ftp serveren som ormene bruker for å formidle seg selv videre. Denne skal man også slette og fjerne nøkkelen til i registeret. Skal ikke forveksles med tftpd.exe - som er en windows fil.

*Tronaldo*

Rascal · 3. desember 2003

for å bevise min påstand. ta en fersk installert xp maskin ( ikke service pack 1 ) start microsoft update uten firewall eller antivirus og se hvor lenge det tar før du får msblast.. selfølgelig kan det komme fra andre steder også... :cool:

*Tronaldo* · 3. desember 2003

for å bevise min påstand. ta en fersk installert xp maskin ( ikke service pack 1 ) start microsoft update uten firewall eller antivirus og se hvor lenge det tar før du får msblast.. selfølgelig kan det komme fra andre steder også...

Kis - du er *helt* på tur! Er dette et resultat av intenst hat mot Microsoft eller rett og slett dårlige kunnskaper om MSBlast ol?

Sorry ass, men windowsupdate.com "hoster" ikke MSBlast / Welchi / Natchi eller dets like...

*Tronaldo*

**Hårek** · 3. desember 2003

for å bevise min påstand .......

Denne burde jo vært i humor. Utrolig hva man kan komme med som "bevis".

Jazzcat · 3. desember 2003

for å bevise min påstand. ta en fersk installert xp maskin ( ikke service pack 1 ) start microsoft update uten firewall eller antivirus og se hvor lenge det tar før du får msblast.. selfølgelig kan det komme fra andre steder også...

De tildeles herved prisen "Årets huleste resonnement" og nomineres samtidig til "Svada" prisen...gratulerer.

Trancton · 3. desember 2003

Jeg foretok en rollback på maskinens drivere/oppdateringer til før jeg installerte Office og driverne/utilities for ISDN kortet, og da funket det fint, feilmeldingen forsvant. Jeg msitenkte Outlook'en til å produsere disse RPC meldingene, installerte Office uten Outlook siste gangen, og da fungerte ting fint... Så om det var Blast, er det merkelig at det nå ikke gir noe utslag når jeg foretok en rollback...

Spirograf · 3. desember 2003

En annen ting; for at verktøyet fra Symantec skal kunne fjerne ormen i XP må man slå av Systemgjenoppretting.

Cid · 3. desember 2003

mener bestemt at Zone Alarm stenger port 135 by default?? kan jo være en tankevekker for alle, at det er gratis......

Edit://

Zone Alarm

Endret 3. desember 2003 av Cid

[BiGG] · 3. desember 2003

msblast!

Tjohei · 4. desember 2003

Det er dessverre ikke så enkelt som tjohei gir utrykk for - vel; enkelt er det, men for det første trenger man to patcher KB823980 og KB824146. Den første beskytter mot blaster og den andre stenger for modda varianter av blaster ormen.

For det andre fungerer Symantec removal tool og f-secure lovesan tool dessverre bare i 10% av tilfellene. Her på jobb ble ca halvparten av maskinene infisert (ca 100 stykk) og toolene slutta jeg å bruke etter kun kort tid. Det beste er å fjerne ormene manuelt.

Neivel? Det funka ihvertfall for meg... :shrug: Var jeg heldig da eller?

*Tronaldo* · 4. desember 2003

Neivel? Det funka ihvertfall for meg... Var jeg heldig da eller?

Det korte svaret er ja! Men litt flaks har vel aldri skadet noen Som sagt funker jo toolen(e) i noen tilfeller, men ikke tilstrekkelig til at man kan kjøre dem på en maskin og ta svaret for god fisk. Jeg satt feks å kikka i prosesslista når jeg kjørte toolene og jeg så at msblast.exe kjørte sammen med sin gode venn SVCHOST.EXE. Ved kjøreslutt sa alle toolene at "denne maskina er frisk som en fisk" - noe jeg visste ikke stemte. Da mistet jeg troen på disse automatiske verktøyene.

Ikke ment å disse deg ass, men du hadde litt flaks :roll:

Spirograf · 4. desember 2003

Neivel? Det funka ihvertfall for meg... Var jeg heldig da eller?

Det korte svaret er ja! Men litt flaks har vel aldri skadet noen Som sagt funker jo toolen(e) i noen tilfeller, men ikke tilstrekkelig til at man kan kjøre dem på en maskin og ta svaret for god fisk. Jeg satt feks å kikka i prosesslista når jeg kjørte toolene og jeg så at msblast.exe kjørte sammen med sin gode venn SVCHOST.EXE. Ved kjøreslutt sa alle toolene at "denne maskina er frisk som en fisk" - noe jeg visste ikke stemte. Da mistet jeg troen på disse automatiske verktøyene.

Ikke ment å disse deg ass, men du hadde litt flaks

Har bestandig benyttet meg av Symantec sine verktøy for å fjerne virus med rota, men man må huske å slå av Systemgjenoppretting i ME/XP for at det skal ha noen nytte.

Jeg må dessuten være utrolig heldig, siden alle de drøyt 20 PC-ene jeg har medisinert for MSBlast har blitt kvitt det etter å ha brukt Symantec Removal Tool...

Lurifaksen · 4. desember 2003

Jeg kan følge opp mitt innlegg med at maskinen ikke har restartet de siste 2 døgnene.

Symantec's removal tool fant ingenting, og det er lite sannsynlig at noen blasters har lurt seg inn siden jeg kjører både MS sin software firewall og firewall i ruter.

Ser ut til at det rett og slett har vært en windows feil som har ført til at maskinen har måttet restarte.

Tjohei · 5. desember 2003

Du trenger ikke være infisert for å bli stengt ned ... Upatchede maskiner blir skrudd av de også, for å forsikre seg mot spredning. Jeg satte opp en helt fersk XP-installasjon => shutdown kom med en gang inet var oppe og kjørte.

GeeZuZz:

Jeg minner om det LarsC sier, FYI.

Lurifaksen · 5. desember 2003

Du trenger ikke være infisert for å bli stengt ned ... Upatchede maskiner blir skrudd av de også, for å forsikre seg mot spredning. Jeg satte opp en helt fersk XP-installasjon => shutdown kom med en gang inet var oppe og kjørte.

GeeZuZz:

Jeg minner om det LarsC sier, FYI.

Ja, det er mulig. Men det er fremdeles merkelig at de har kommet seg gjennom ruteren som har firewall aktivert, og inn på en maskin på nettverket...

Rascal · 7. desember 2003

Hva, ingen premie? det er bra folk har nok kunnskap til å avsløre dårlige spøker. Ja jeg var "veldig" irritert på M$ på daværende tidspunkt. Av diverse årsaker.. ting som noen nevnte

"Til og med min niese på 3 år hadde klart å fjerne MS Blaster! Jeg kan gjøre det i blinde uten hender! Hva er det du tror om Microsoft, egentlig?"

Lite trolig..

"hvor i allverden har du det fra? tror da guruene hos MS skulle klare å fikse et så lite problem.."

ahem.. Tror du Microsoft Update ligger på en maskin?

"Kis - du er *helt* på tur! Er dette et resultat av intenst hat mot Microsoft eller rett og slett dårlige kunnskaper om MSBlast ol? Sorry ass, men windowsupdate.com "hoster" ikke MSBlast / Welchi / Natchi eller dets like..."

Du behøver ikke kalle meg en hestrompe for det og jeg nevnte aldri Welchi / Natchi eller dets like...

"Denne burde jo vært i humor. Utrolig hva man kan komme med som "bevis". "

Venter i spenning

"De tildeles herved prisen "Årets huleste resonnement" og nomineres samtidig til "Svada" prisen...gratulerer."

Med andre ord den fødte politiker.

Gutta, Folkens,

Its been an Honor..

God Natt

*Tronaldo* · 8. desember 2003

Har bestandig benyttet meg av Symantec sine verktøy for å fjerne virus med rota, men man må huske å slå av Systemgjenoppretting i ME/XP for at det skal ha noen nytte.

Jeg må dessuten være utrolig heldig, siden alle de drøyt 20 PC-ene jeg har medisinert for MSBlast har blitt kvitt det etter å ha brukt Symantec Removal Tool...

Spirograf - ja, da har du vært svineheldig. For det første: systemgjenoppretting har vel ingenting med at F-Secure og Symantec sine tools ikke finner noe! For det andre er vel ditt utvalg på 20 maskiner litt spinkelt i forhold til mitt på 100+. Sorry ass - men jeg fester ikke lit til at du har kurert hele arbeidsplassen din med Symantec Blaster removal tool!

(jaja - jeg vet det, formulerte meg som en bedrevitende dust nå...)

J'accuse!

Logg inn

Får feilmelding om Remote Procedure Call

Anbefalte innlegg

Sinnsro

Videoannonse

talisar

Tjohei

Tronaldo

Rascal

Tronaldo

Hårek

Jazzcat

Trancton

Spirograf

Cid

[BiGG]

Tjohei

Tronaldo

Spirograf

Lurifaksen

Tjohei

Lurifaksen

Rascal

Tronaldo

Opprett en konto eller logg inn for å kommentere

Opprett konto

Logg inn

Hvem er aktive 0 medlemmer