Virus trotz geschlossener Sicherheitslücke von XP.

groovesurfer · 13.01.2004

Hallo Gemeinde,

Ihr kennt doch bestimmt das Problem mit dem Virus Sorbig F. (oder so): Das System wird heruntergefahren, bla, bla. Es zählt ein Counter von 60 zurück --> Neustart. Mit dem Befehl shutdown -a unter ausführen kann man das Fenster zwar schliesen, aber diverse Funktionen funktionieren danach nicht mehr.
Den Virus kann man mit dem Programm fixblast löschen und die Sicherheitslücke von Win XP mit einem Patch schliesen. Danach sollte das Problem behoben sein. War bei mir auch so, bis ich meinen Rechner in ein Netzwerk eingebunden habe (arbeitet als host). Jetzt kommt diese Meldung wieder andauernd, obwohl ich die Sicherheitslücke ja geschlossen habe. Der Virenkiller (fixblast) findet den Virus auf meinem System nicht.
Jemand ne Idee was ich noch machen könnte?

Grüsse
Sascha

Verschoben von Windows XP

Flöckchen · 13.01.2004

Bist du sicher, daß der entsprechende Port auch geschlossen ist? 135 ist die Nummer. Ansonsten bei google.de mal shields up eingeben und dort deine Common Ports überprüfen lassen.

groovesurfer · 13.01.2004

Ja, der Port 135 ist geschlossen. Habe es soeben mit shields up getestet. Noch ne Idee vielleicht?

Grüsse
Sascha

Flöckchen · 13.01.2004

Nunja, nur weil da closed steht, heißt das nicht, daß er nicht ansprechbar ist. Im optimalen Fall sollte dort Stealth stehen. Wenn das nicht da steht, dann ist der Port im Prinzip offen. Er war nur closed, als du ihn hast scannen lassen.

PCDCharly · 13.01.2004

*hüstel* Sobig F und der Blaster-Wurm wären allerdings zwei verschiedene Paar Schuhe ... welchen meinst du denn nun? Hast du auch einen Virenscanner installiert oder benutzt du ausschließlich die fixblast.exe??

groovesurfer · 13.01.2004

@ Flöckchen: wie kann ich Ihn denn auf stealth stellen? mit der firewall?

@PCDCharly: habe nav 2003 (natürlich aktuell), und kerio firewall installiert. fixblast habe ich nur verwendet um den Virus zu entfernen.
Ich kann nicht genau sagen welcher von beiden viren gemeint ist. Es kommt ja nur die Meldung, dass der Computer heruntergefahren wird.

Flöckchen · 13.01.2004

groovesurfer schrieb:
@ Flöckchen: wie kann ich Ihn denn auf stealth stellen? mit der firewall?

Korrekt, im Normalfall bekommst du den mit einer ordentlich konfigurierten Firewall dicht. Die XP-Firewall reicht dafür sogar vollkommen aus...

-IRON- · 13.01.2004

Zunächst zum Auslöser:
Wenn überhaupt, so dürfte es sich um Blaster/Lovsan handeln. Sobig.F ist eine ganz andere Geschichte.
Zum Patch:
Wenn anschließend ein LAN eingerichtet wurde, kann es durchaus sein, dass der Patch wieder unwirksam gemacht wurde. Man sollte mal feststellen, welche Dienste denn nun wirklich laufen.

Bei der sicheren Konfiguration von Diensten hilft ungemein das Script auf www.ntsvcfg.de

netstat -a sollte da bereits weiterhelfen.
ShieldsUp:
Der dortige Scan ist Mumpitz und seine Ergebnisse unzuverlässig.
STEALTH gibt es nicht. Ein Port ist entweder offen oder geschlossen.
STEALTH bedeutet lediglich, dass ein lokaler Paketfilter die an ihn gerichteten Pakete verwirft. Das Fehlen einer Rückmeldung, ohne dass der letzte HOP vor dem Ziel ein->destination unreachable' liefert, ist aber ein Beweis dafür, dass der vermeintlich unsichtbare Rechner eben doch existiert.

groovesurfer · 13.01.2004

@ IRON: Danke für den Link. Habe das Script ausgeführt. Jedoch ist mein Port 135 immer noch offen. Habe auch netbios deaktiviert (ausser bei der Lan-Verbindung zum anderen Rechner). Mit der Firewall kann ich den Port irgendwie auch nicht sperren. Noch ne Idee vielleicht?

Grüsse
Sascha

-IRON- · 13.01.2004

Wie genau hast du denn überhaupt festgestellt, dass der Port noch offe ist?
Wie gesagt: grc.com ist unzuverlässig.
Was sagt netstat -an?
Mal ActivePorts installiert und das Ergebnis angesehen?
Läuft der Taskplaner?

groovesurfer · 14.01.2004

Mal was anderes. Wie kann ich dieses Script eigentlich wieder deinstallieren? Habe es erst mit /s ausgeführt und danach mit /all. Die restore Funktion funktioniert aber nur auf das zuletzt ausgeführte.
Konnte meinen Client Rechner nicht mehr mit dem Internet verbinden. Dachte ich benutze mal ne andere Netzwerkkarte, die in meinem Rechner ist, und nun geht nichts mehr. Kann auch keinen Rechner mehr anpingen.

groovesurfer · 14.01.2004

P.S. habe http://webscan.security-check.ch/ benutzt um den Port zu testen

-IRON- · 14.01.2004

Zur Deinstallation des Scripts (du meinst wohl Rücknahme der geänderten Einstellungen) steht auf der Seite:

/restore

Nimmt die zuletzt vorgenommen Änderungen zurück. Es erscheint möglicherweise eine Fehlermeldung, das es beim Rücksichern Probleme beim Schreiben in die Registry gegeben hat. Dies läßt sich aufgrund gestarteter Dienste nicht vermeiden. Ignorieren Sie bitte diese Fehlermeldung mittels OK

Auch zum Thema Bekannte Probleme steht einiges auf der Seite.
Auch wie man offline den Blasterpatch installiert...

groovesurfer · 14.01.2004

ja, das habe ich schon versucht. Aber wie gesagt habe ich das script erst mit /s (standard) und danach mit /all (alle Änderungen) ausgeführt, und somit war /restore nur auf /all bezogen. /r ließ sich nicht mehr rückgängig machen.
Was unter bekannte Probleme zu dem ICS stand:

ICS: In Verbindung mit der Internetverbindungsfreigabe (Internet Connection Sharing, ICS) in Windows 2000 und XP sind vereinzelt Probleme berichtet worden. Demnach können die Clienten nicht mehr über den ICS-Rechner das Internet nutzen. Die Ursache ist noch unbekannt. Möglicherweise ist die Deaktivierung von NetBios over TCP/IP dafür verantwortlich. Überprüfen sie daher, ob wirklich nur in den Eigenschaften der Netzwerkkarte, welche mit dem Internet verbunden ist, NetBios over TCP/IP deaktiviert ist.

hat mich nicht weiter gebracht. Habe Windows mittels Wiederherstellungspunk wiederhergestellt. Funktioniert jetzt wieder. Habe aber immer noch das Problem mit dem Blaster.
Aber den Blasterpatch habe ich noch nicht getestet. Werde ich jetzt machen.....

-IRON- · 14.01.2004

groovesurfer schrieb:
Aber den Blasterpatch habe ich noch nicht getestet. Werde ich jetzt machen.....

SCHLUCK...
Das_wird_dann_aber_auch_mal_Zeit.

Mysteria · 14.01.2004

Hast doch oben erwähnt, dass du den Patch drauf hast und jetzt doch nicht ??? Dann aber fix jetzt ;D

Du kannst den Port 135 auch manuell ganz aus XP deaktivieren ... Anleitung findest du z.B. hier:
http://www.firewallinfo.de/index.php?option=content&task=view&id=1515&Itemid=176

groovesurfer · 14.01.2004

Ja ich hatte den Patch auch installiert. Hat eben nur nicht mehr funktioniert seitdem ich das Netzwerk eingerichtet hatte. Habe es nun noch einmal versucht, und siehe da, es funktioniert wieder, sprich ich bekommen die Virusmeldung (Das System wird heruntergefahren) nicht mehr.....komisch...

-IRON- · 14.01.2004

Nö, komisch ist das nicht. Als du dein Netzwerk eingerichtet hast, wurden bestimmt Dateien von der Windows-CD gefordert. Damit wurden die gepatchten Dateiversionen wieder mit den alten ungepatchten Originaldateien überschrieben.

Virus trotz geschlossener Sicherheitslücke von XP.

groovesurfer

Flöckchen

groovesurfer

Flöckchen

PCDCharly

groovesurfer

Flöckchen

-IRON-

groovesurfer

-IRON-

groovesurfer

groovesurfer

-IRON-

groovesurfer

-IRON-

Mysteria

groovesurfer

-IRON-

Virus trotz geschlossener Sicherheitslücke von XP.

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums