Hoi Hoi
Ein Arbeitskollege von mir hat nach seinen Angaben den LOVESUN Virus drauf. Nach 60sek. fährt der PC wieder runter. Wie entferne ich ihn, ohne das der PC gleich wieder runterfährt ???
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
GarfTermy Ruffnex „Loveson“
...(sorry...) och nööööö!
wo bekommt man solche informationen?
* im nickles archiv
* auf dem "hacker, viren, datenschutz" brett hier im forum
* bei diversen herstellern von antivirensoftware
- symantec
- sophos
- kasperskys
- mcafee
es wundert mich schon, wie "suchfaul" manch einer ist, zumal dieser virus ja nicht erst seit gestern sein unwesen treibt... und der patch von ms schon (afaik) im juni 2003 veröffentlicht wurde.
am ende...
wenn die kiste runterfährt: start-ausführen- "shutdown -a" eingeben und ok/ENTER drücken
;-)
Gurus GarfTermy „... sorry... och nööööö! wo bekommt man solche informationen? im nickles...“
;~))
Ruffnex Nachtrag zu: „Loveson“
und durch shutdown -a wird das herunterfahren verhindert ?
dann einmal den patch oder ein removaltool drauf oder ?
GarfTermy Ruffnex „und durch shutdown -a wird das herunterfahren verhindert ? dann einmal den patch...“
wie wärs denn mal mit einem aktuellen virenscanner?
;-)
Ruffnex Nachtrag zu: „Loveson“
Ja ich werde ihm ja morgen einen neuen installieren aber nun ist es für ihn halt zu spät. Ich war mir nur unsicher wie ich dem pc vorm runterfahren hindern kann. Das geht mit dem shutdown -a ??????????????? wie ich den virus entferne weiß ich !!!
GarfTermy Ruffnex „Ja ich werde ihm ja morgen einen neuen installieren aber nun ist es für ihn...“
...wie beschrieben, wenn der shutdown startet: shutdown -a
;-)
Ruffnex Nachtrag zu: „Loveson“
woher soll ich das denn merken ? auf jedenfall ist mein pc nach 3 sek aus wenn er runterfährt ... so schnell kann ich das net schreiben
BIMEX Ruffnex „Loveson“
@Ruffnex - stay tuned ..., wer solche BANNER auf der "Brust" trägt, muss auch schneller schreiben können als der Virus an Restzeit zulässt.
Rika Ruffnex „Loveson“
Wie wär's denn damit?
Systemsteuerung, Verwaltung, Lokale Sicherheit
Lokale Richtlinien, Sicherheitsoptionen
Netzwerksicherheit: Minimale Sitzungssicherheit blablabla (Client und Server)
"Nachrichtenvertraulichkeit erfordern"
Damit nimmt der RPC-Dienst keine Verbindungen aus dem Internet mehr an. Damit wird man zudem auch noch den Nachrichtendienst-Spam los, ohne den Dienst zu deaktivieren.
Und warum habt ihr diese Option noch nicht schon längst eingestellt? Weil ihr nicht wirklich Ahnung von Windows und Computern habt. Also schaltet den Computer aus... bzw. lasst das Lovesan machen. Wenn man einen Computer will, bei dem es nicht essenziell ist, genau zu verstehen, wie er funktioniert, dann kauft euch einen Mac!
basil Rika „Wie wär s denn damit? Systemsteuerung, Verwaltung, Lokale Sicherheit Lokale...“
Bevor Du deinen Computer abschaltest lies den Reply auf dein Posting im vorherigen Thread.
Tyrfing Rika „Wie wär s denn damit? Systemsteuerung, Verwaltung, Lokale Sicherheit Lokale...“
>>Und warum habt ihr diese Option noch nicht schon längst eingestellt? Vielleicht weil sie XP Home haben?
Und wer RPC wirklich sicherer machen will sollte nicht irgendwelche (umgehbaren) Filterungen probieren, sondern lieber DCOM abschalten, dummerweise gibt das bei manchen Leuten Probleme mit Inter- oder Ethernet
Teletom Tyrfing „ Und warum habt ihr diese Option noch nicht schon längst eingestellt?...“
soisses,
RPC kann man z.B. unter XP nur ungünstigerweise deaktivieren, weil sehr viele andere Dienste davon abhängen.
Besser ist es, davon auszugehen, dass der RPC-Dienst zumindest bei XP in der Regel aktiv ist. Port 135 und Port 445 sind deshalb bei XP standardmäßig offen. Das ist auch weiter nicht schlimm, wenn man den RPC-Patch installiert hat.
Die Personal-Firewall bei einer Internetdirektverbindung sollte man nur dann auf das Blockieren der RPC-Ports einstellen, wenn man verhindern will, dass RPC über Internet betrieben werden kann. Dann muss man aber auch in den "sauren" Apfel beißen, dass "gefiltert" bei einem denkbaren Portscan als Ergebnis erscheint.
Gruß
Teletom
Tyrfing Teletom „soisses, RPC kann man z.B. unter XP nur ungünstigerweise deaktivieren, weil...“
Ich sprach davon, DCOM zu beenden, nicht den RPC-Dienst.
Teletom Tyrfing „Ich sprach davon, DCOM zu beenden, nicht den RPC-Dienst.“
Ja aber DCOM zu deaktivieren, nutzt überhaupt nichts, Blaster z.B. funktionierte über ungepatchten RPC.
Tyrfing Teletom „Ja aber DCOM zu deaktivieren, nutzt überhaupt nichts, Blaster z.B....“
Zitat von Microsoft.com:
"Microsoft originally released this bulletin and patch on July 16, 2003 to correct a security vulnerability in a Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) interface.[...]There is a vulnerability in the part of RPC that deals with message exchange over TCP/IP. The failure results because of incorrect handling of malformed messages. This particular vulnerability affects a Distributed Component Object Model (DCOM) interface with RPC, which listens on RPC enabled ports. This interface handles DCOM object activation requests that are sent by client machines to the server. An attacker who successfully exploited this vulnerability would be able to run code with Local System privileges on an affected system. The attacker would be able to take any action on the system, including installing programs, viewing changing or deleting data, or creating new accounts with full privileges."
DCOM ist eigentlich der Hauptproblemfaktor an dem ganzen RPC-Kram
"Microsoft originally released this bulletin and patch on July 16, 2003 to correct a security vulnerability in a Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) interface.[...]There is a vulnerability in the part of RPC that deals with message exchange over TCP/IP. The failure results because of incorrect handling of malformed messages. This particular vulnerability affects a Distributed Component Object Model (DCOM) interface with RPC, which listens on RPC enabled ports. This interface handles DCOM object activation requests that are sent by client machines to the server. An attacker who successfully exploited this vulnerability would be able to run code with Local System privileges on an affected system. The attacker would be able to take any action on the system, including installing programs, viewing changing or deleting data, or creating new accounts with full privileges."
DCOM ist eigentlich der Hauptproblemfaktor an dem ganzen RPC-Kram
Teletom Tyrfing „Zitat von Microsoft.com: Microsoft originally released this bulletin and patch...“
Nö, RPC ist das Hauptproblem, aber netter Versuch, deshalb gibt es einen RPC-Patch und wenn der RPC-Patch installiert wird, ist die RPC-Sicherheitslücke beseitigt.
Mal eine andere Frage:
Was willst Du eigentlich mit Deinen endlosen, wenn auch sinnlosen, Dikussionen erreichen?
Tyrfing Teletom „Nö, RPC ist das Hauptproblem, aber netter Versuch, deshalb gibt es einen...“
*narf* Pisa hatte doch recht...Deutsche Schüler können den Inhalt von Texten nicht vernünftig erfassen.
Also nur noch einmal für dich: Der Fehler war im DCOM-Interface, dass an den RPC-Ports "lauscht" und normalerweise dafür zuständig ist, die Anfragen von Clients zu beantworten.
Und auch sonst bringt es etwas, DCOM zu deaktivieren, weil die Technik ähnlich wie ActiveX schon "by design" unsicher ist - ein Satz an Konzepten und Schnittstellendefinitionen von Microsoft die es Client Programmen erlauben Dienste von Server Programmen auf anderem Computern im Netz anzufordern. (Zitat Nickle-Glossar) lässt sich eben auch dafür nutzen Dinge anzuforden, die man gar nicht will.
Teletom Tyrfing „ narf Pisa hatte doch recht...Deutsche Schüler können den Inhalt von Texten...“
Ach,
*narf* Pisa hatte doch recht...Deutsche Schüler können den Inhalt von Texten nicht vernünftig erfassen.
Mit DCOM-Deaktivieren kannst Du aber keinen ungepatchten RPC-Dienst reparieren, da musst Du schon den RPC-Patch einspielen.
Wenn man DCOM deaktiviert, kann man z.B. bestimmte Visual Studio Befehle nicht ausführen. Besser ist da schon die RPC-Ports beim Internetadapter zu blockieren, aber nur dann wenn man das über Internet verhindern will. Das Blockieren kann ich, wie gesagt, in den häufigsten Fällen nicht empfehlen, denn DCOM wird gerade über Internet (wenn überhaupt) benötigt.
@Tyrfing: Ich hoffe, dass Du meinen Ausführungen diesmal einigermaßen folgen konntest. Es verlangt ja niemand, dass Du gleich alles verstehst. Das meine ich keinesfalls überheblich, ich will nur, dass auch Du den Inhalt verstehst. Mit Sicherheit liegt hier nicht das Pisa-Nichtverstehenkönnen vor, sondern Dein altes Problem: Du willst mit Vorsatz nicht andere Meinungen verstehen. Wenn das jedoch so ist, muss man Dich leider in die Kategorie einordnen, dass es sich nicht lohnt, mit Dir zu diskutieren.
Gruß
Teletom
-IRON- Teletom „Ach, narf Pisa hatte doch recht...Deutsche Schüler können den Inhalt von...“
Aus Prinzip anderen das vorzuwerfen, anzudichten oder zu unterstellen, was auf dich selbst zutrifft, scheint dein einziges Totschlagargument zu sein. Ganz schön ärmlich.
Wie merkbefreit muss man sein, um den Zusammenhang zwischen arbeitendem Dienst mit Sicherheitloch und Anfälligkeit eines Rechners derart zu verdrehen, dass man behaupten kann, der Dienst dürfe ruhig weiterlaufen (ob nun gepatcht oder nicht), solange nur $Schlangenöl (aka Paketfilter) installiert sei?
Kleiner Tipp: Versuche mal folgendes zu realisieren (es folgt ein Copy&Paste aus einem Board, wo die Leute noch selbständig denken können)
Ein merkwürdiges Phänomen lag darin, dass auf einigen NT-Maschinen der Port 135 mit der Deaktivierung der DCOM-Komponente geschlossen war, auf anderen aber nicht.Wenn man z.B. mit einem Tool wie Open Ports analysierte, welcher Prozess den 135er-Port in dem zweiten Fall öffnete, wurde ein svchost-Prozess angeführt, dessen Identität mit tasklist /svc und der dazugehörigen PID-Nummer als RPCSs identifiziert werden konnte. Es stellte sich also die Frage, warum der Dienst RPCSs in dem einen Fall den Port öffnet, in dem anderen aber nicht.
Aufgrund eines Hinweises von grc.com[...], habe ich gelernt, dass der Port 135 auch von den Diensten Taskplaner (Schedule) und MSDTC benutzt wird.
Erstaunlich ist nun folgendes : Wenn man den Taskplaner deaktiviert, der über einen anderen svchost-Prozess und eine andere PID läuft als der Remoteprozeduraufruf (RPC), dann öffnet der Prozess Remotprozeduraufruf (RPC) den Port 135 nicht mehr : Port 135 ist dann dicht.
Ob man allerdings den Taskplaner deaktivieren möchte, muss man jeweils für sich abwägen, da er z.B. die wichtige Prefetching-Funktion beim Bootvorgang ermöglicht und bei automatischen Updates aktiviert sein muss.
Mit grc.com war insbesondere dieser Link gemeint.
Gurus -IRON- „Teletom Grenze“
tja der Spinner Teletom lernst doch eh nicht, Port 135 ist doch wirklich zu gewagt......
naja, gleich wird er wieder schreiben und einem das Wort im Mund verdrehen, aber das kennt man ja bereits.....
Teletom Gurus „Teletom Grenze“
@Guru:
Und was soll ich hier im Mund verdrehen? Hier gibt es nichts zu verdrehen, dann käme ja nichts anderes raus, nämlich nichts.
Bist schon selber ein Spinner.
Teletom -IRON- „Teletom Grenze“
Der Lovsan- Virus fährt nur W2000, XP und W2003 nach einer gewissen Zeit runter. Darum geht es hier nicht um Windows 98, das -IRON-sche System. Es ist zwar toll, dass -IRON- sich über DCOM informiert, aber ob da grc.com die richtige Adresse ist. Ich weiss nicht.
Bei mit läuft jedenfalls der Taskplaner mit einem Task, der mir automatisch die DFÜ-Verbindung umschaltet, wenn der Zeitpunkt für einen günstigeren Tarif eintrifft, trotzdem kann ich RPC über Port 135 betreiben.
Also, sehr fraglich die ganze Geschichte.
Es ist nicht immer gut, wenn man wie -IRON- über ein System z.B. XP spricht, das man nicht auf seinem Computer hat.
Gruß
Teletom
Tyrfing Teletom „Ach, narf Pisa hatte doch recht...Deutsche Schüler können den Inhalt von...“
Langsam schleicht sich bei mir wirklich der verdacht ein, dass du hier eine neue Trolling-Methode ausprobierst, so begriffsstutzig kann ein normaler Mensch gar nicht sein: DER FEHLER IST IN DCOM, NICHT IN RPC SELBST
Teletom Tyrfing „Schwer von Begriff, kann kein Englisch oder Teletroll?“
Du kannst schreien und weiterhin teletrollen, deshalb wirst du noch lange nicht recht haben.
Wer schreit, hört auf zu denken.
Doch was soll die Aufregung? Einige Leute müssen offensichtlich immer recht haben. Nun ergab es sich, dass Lovsan bei ungepatchtem RPC-Dienst nicht eingeschleust wurde, genau dann wenn eine Firewall installiert war, die Port 135 blockierte.
Och, das tut mir leid, eine Firewall hat wohl doch einen Sinn und nicht wie die Firewall-Gegner behaupteten, dass man keine Firewall einrichten braucht.
Gruß und Beileid
Teletom
GarfTermy Teletom „Schwer von Begriff, kann kein Englisch oder Teletroll?“
....hehe - cool down teletom!
lass don quichote und sancho pansa doch weiter mit ihren windmühlenflügeln spielen... wen kümmert´s?
die art und weise wie die 2 die dtfw (und manchmal auch ms) bekämpfen könnte darauf schliessen lassen, das eine dtfw oder bill gates ihre familie getötet, ihre schwester vergewaltigt und die katze überfahren haben. das ganze nimmt groteske züge an und hat mit dem eigentlichen verständnis von nickles nix mehr zu tun.
hier geht es nur noch um rechthaberischen kleinkrieg und arrogante selbstdarstellung.
troll ist für die 2 kandidaten höchstens ein ritterschlag - zu rittern der traurigen gestalt.
schade. schade für dieses board und schade für alle, die hier hilfe erwartet haben.
...wie ruhig war die urlaubszeit, wo die 2 nicht da waren - da herrschte ein freundlicher ton...
;-)
Tyrfing Teletom „Schwer von Begriff, kann kein Englisch oder Teletroll?“
Toms Spezialität...Themawechsel
Könnte man glatt als Beweis für meine erste These sehen - er kann offensichlich nicht den Inhalt von dem , was andere Leute schreiben, mitbekommen (oder will e nicht mitbekommen, also These 3) und deshalb meistens nur entweder per Copy&Paste irgendwas runterbeten kann oder mit der Form des Postings argumentieren kann.
Aber zum Glück würde ich sowas niemals tun und glaube an das Gute im Menschen, deshalb erkläre ich es dir noch einmal (oder anders gesagt starte einen letzten Angriff auf den Winmühlenflügel Teletom): Es ging hier nicht darum, was eine PF verhindern kann, wenn man die elementarsten Sicherheitsregeln vergisst, sondern darum, dass man RPC wesentlich sicherer machen kann, wenn man DCOM deaktiviert(wenn es denn auf dem jeweiligen System klappt). Dann ist nämlich zum Beispiel auch dass DCOM-interface, dass an den RPC-Ports - jawohl, dazu gehört auch 135 - lauscht und den Fehler hatte, den Blaster ausnutzte, deaktiviert, während RPC selbst ohne Probleme weiterläuft.
GarfTermy Tyrfing „Schwer von Begriff, kann kein Englisch oder Teletroll?“
....[zensiert... ich will keine unnötige schärfe in die diskussion bringen]
...(lol) - du weißt aber schon, dass von dcom einige andere wichtige dienste abhängen?
nur mal als beispiel... der zertifikatsdienst? nö - brauch´ man nich... wer brauch schon zertifikate, wenn´s um sicherheit geht... schalt mal einfach aus... toll sancho - wirklich toll. ein toller tipp, der wirklich hilft... LOL
;-)
Teletom GarfTermy „Schwer von Begriff, kann kein Englisch oder Teletroll?“
....[strengstens zensiert... ich will auch keine unnötige schärfe in die diskussion bringen]
Erscheinungsformem von Tyre:
typisch
erst schreien, dann der Versuch persönlich beleidigend zu werden.
Das alles nur um recht zu haben!?
Sage mir, welche Mittel Du wählst und ich sage Dir, wer Du bist.
Was soll man da machen, wenn Tyre nichts verstehen will? Oder liegt es daran, dass er tatsächlich kein Englisch kann?
Eins ist jedoch Fakt, DCOM zu deaktivieren, bringt bei Windows, Linux und anderen Systemen einen grundlegenden Funktionsverlust.
Da grundlegende Funktionen betroffen sind, ist ein Deaktivieren fast unmöglich.
Andererseits ist ja der RPC-Patch da und mit Hilfe einer Firewall kann man ja, wenn es notwendig ist, die RPC/DCOM-Ports für den Internetadapter filtern (das weiß ja nun mittlerweile jeder, der mitgelesen hat, einige Personen wollen es eben mit Absicht nicht verstehen, obwohl es im Interenet sowohl in Englisch als auch in Deutsch dargestellt wurde).
Gruß und viel Spaß
Teletom
Tyrfing Teletom „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
>>Da grundlegende Funktionen betroffen sind, ist ein Deaktivieren fast unmöglich. Welche Funktionen sind das denn bitteschön und warum funktioniert es bei den meisten Leuten ohne Probleme?
GarfTermy Tyrfing „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
...wer lesen kann ist klar im vorteil!
* zertifikatsdienste ...efs auf ntfs
* rpc ...davon hängen auch noch diverse dienste ab
* iis
* arbeitsstationsdienst (nö - der ist ja nicht lebenswichtig - oder?)
* computerbrowser (...)
* ...brauchst du mehr?
darüber hinaus solltest du mal in die "verwaltung" unter "dienste" nachsehen und nach dcom suchen - na? gefunden? richtig - da ist er nicht, denn er ist DEFINITIV nicht vorgesehen manuell vom user beendet zu werden.
;-)
Teletom GarfTermy „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
"Nö, den Arbeitsstationsdienst braucht wirklich keiner."
@Garftermy:
Kompliment, hast ja wirklich eine sehr gute Phase zur Zeit. Ich denke mal, dass Du in Deiner Entwicklungsstufe ein ganz schönes Stück voran gekommen bist.
Habe tatsächlich selten so herzhaft über coole und satirische Antworten wie Deine gelacht. Das kommt besonders gut an, da auch die sachlichen Inhalte stimmen.
Viel Spaß
Teletom
GarfTermy Teletom „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
...danke für das kompliment!
ich sitze (hoffentlich nicht ganz umsonst) den ganzen tag in der vorlesung... jedenfalls gebe ich mit mühe.
;-)
GarfTermy Nachtrag zu: „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
miR mühe (sorry)
Tyrfing Teletom „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
Tja, ich weiss bei solchen Postings eigentlich nicht, ob ich darüber lachen soll, dass manche Leute reden und reden ohne einen Plan davon zu haben, worüber sie reden, oder an so viel Unkenntnis verzweifeln...ein Bild
@Garf: NetBIOS am DFÜ-Adapter, die Autostart-Aufrufe diverser Trojaner und tausende andere Sachen lassen sich auch nicht über den Dienste-Manager beenden und man kann mit dem Ding auch weder einkaufen noch aufs Klo gehen...geht das deshalb alles generell nicht?
basil GarfTermy „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
Nur so als kleiner Gag, warum schreibt Microsoft extra ein Programm zum Deaktivieren von DCOM und weist auf die Möglichkeit hin, wenn es nicht geht? *ggg*
Deaktivieren Sie DCOM auf allen betroffenen Computern:
Wenn ein Computer Teil eines Netzwerks ist, ermöglicht das DCOM-Protokoll, dass COM-Objekte auf dem betreffenden Computer mit COM-Objekten auf anderen Computern kommunizieren können. Sie können DCOM zum Schutz vor dieser Sicherheitsanfälligkeit für einen bestimmten Computer deaktivieren. In diesem Fall wird jedoch die gesamte Kommunikation zwischen Objekten auf diesen Computern und Objekten auf anderen Computern deaktiviert.
Wenn Sie DCOM auf einem Remotecomputer deaktivieren, können Sie nachher nicht mehr remote auf diesen Computer zugreifen, um DCOM erneut zu aktivieren. Um DCOM erneut zu aktivieren, benötigen Sie physischen Zugriff auf diesen Computer
So aktivieren (oder deaktivieren) Sie DCOM manuell für einen Computer:
Führen Sie Dcomcnfg.exe aus.
Wenn Sie Windows XP oder Windows Server 2003 verwenden, führen Sie die folgenden zusätzlichen Schritte durch:
Klicken Sie unter Konsolenstamm auf den Knoten Komponentendienste.
Öffnen Sie den Unterordner Computer.
Klicken Sie für den lokalen Computer mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie dann Eigenschaften aus.
Klicken Sie für einen Remotecomputer mit der rechten Maustaste auf den Ordner Computer, wählen Sie Neu und dann Computer aus. Geben Sie den Computernamen ein. Klicken Sie mit der rechten Maustaste auf den Namen dieses Computers, und wählen Sie dann Eigenschaften aus.
Klicken Sie auf die Registerkarte Standardeigenschaften.
Aktivieren (oder deaktivieren) Sie das Kontrollkästchen DCOM (Distributed COM) auf diesem Computer aktivieren.
Wenn Sie weitere Eigenschaften für den Computer festlegen, klicken Sie auf die Schaltfläche Übernehmen, um DCOM zu aktivieren (oder zu deaktivieren). Klicken Sie andernfalls auf OK, um die Änderungen zu übernehmen und Dcomcnfg.exe zu beenden.
Weitere Informationen zum Deaktivieren von DCOM finden Sie im Microsoft Knowledge Base-Artikel 825750.
gefunden in http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm
Wenn ein Computer Teil eines Netzwerks ist, ermöglicht das DCOM-Protokoll, dass COM-Objekte auf dem betreffenden Computer mit COM-Objekten auf anderen Computern kommunizieren können. Sie können DCOM zum Schutz vor dieser Sicherheitsanfälligkeit für einen bestimmten Computer deaktivieren. In diesem Fall wird jedoch die gesamte Kommunikation zwischen Objekten auf diesen Computern und Objekten auf anderen Computern deaktiviert.
Wenn Sie DCOM auf einem Remotecomputer deaktivieren, können Sie nachher nicht mehr remote auf diesen Computer zugreifen, um DCOM erneut zu aktivieren. Um DCOM erneut zu aktivieren, benötigen Sie physischen Zugriff auf diesen Computer
So aktivieren (oder deaktivieren) Sie DCOM manuell für einen Computer:
Führen Sie Dcomcnfg.exe aus.
Wenn Sie Windows XP oder Windows Server 2003 verwenden, führen Sie die folgenden zusätzlichen Schritte durch:
Klicken Sie unter Konsolenstamm auf den Knoten Komponentendienste.
Öffnen Sie den Unterordner Computer.
Klicken Sie für den lokalen Computer mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie dann Eigenschaften aus.
Klicken Sie für einen Remotecomputer mit der rechten Maustaste auf den Ordner Computer, wählen Sie Neu und dann Computer aus. Geben Sie den Computernamen ein. Klicken Sie mit der rechten Maustaste auf den Namen dieses Computers, und wählen Sie dann Eigenschaften aus.
Klicken Sie auf die Registerkarte Standardeigenschaften.
Aktivieren (oder deaktivieren) Sie das Kontrollkästchen DCOM (Distributed COM) auf diesem Computer aktivieren.
Wenn Sie weitere Eigenschaften für den Computer festlegen, klicken Sie auf die Schaltfläche Übernehmen, um DCOM zu aktivieren (oder zu deaktivieren). Klicken Sie andernfalls auf OK, um die Änderungen zu übernehmen und Dcomcnfg.exe zu beenden.
Weitere Informationen zum Deaktivieren von DCOM finden Sie im Microsoft Knowledge Base-Artikel 825750.
gefunden in http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-026.htm
PS: Das soll kein Angriff sein, bin nur gerade darüber gestolpert.
GarfTermy basil „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
danke für die bestätigung...
"darüber hinaus solltest du mal in die "verwaltung" unter "dienste" nachsehen und nach dcom suchen - na? gefunden? richtig - da ist er nicht, denn er ist DEFINITIV nicht vorgesehen manuell vom user beendet zu werden. "
...so ein vorgehen ist NUR für leute gedacht, die sich damit auskennen - der normalo-user wird da nix mit anfangen können.
danke also nochmal - ´s ändert an den tatsachen allerding nix.
;-)
basil Teletom „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
DCOM bei Linux? Interessante Hypothese, aber COM ist eine reine Windowsgeschichte. Im übrigen will ich mich nicht an dieser sinn- und ziellosen Flamerei beteiligen, der Buffer Overflow liegt aber wirklich in der DCOM-Schnittstelle.
Teletom basil „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
DCOM ist nicht aus Microsoft erwachsen.
Der RPC-Patch ist eigentzlich ein DCOM-Patch.
Es ist nicht immer gut, sich rauszuhalten. Das tust Du ja auch nicht, weil Du Deine Meinung postest.
Habe über Sinnlosigkeit auch nachgedacht. Ich denke, Löschen oder Verschieben des Threads wäre schlimmer.
DCOM bei Linux:
Meldung von 1998
http://www.heise.de/newsticker/data/avr-19.08.98-000/
EntireX:
http://www.softwareag.com/entirex/download/default.htm
Gruß
Teletom
basil Teletom „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
Nur weil es DCOM-Implementierungen auch für andere Systeme gibt heißt das nicht, daß es nicht microsofteigen ist. Für .NET gibt es ja schließlich auch die Portierung nach MONO. DCOM wurde von Microsoft als Gegenstück zu CORBA entwickelt.
Wenn dich interessiert, was DCOM ist und wo es herkommt, dann wirf einmal einen Blick in:
Verteilte Objekte: DCOM vs. CORBA von Arno Puder
GarfTermy basil „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
...@basil
was soll das jetzt bitte für ein beweis sein?
"...NET gibt es ja schließlich auch die Portierung nach MONO. DCOM wurde von Microsoft als Gegenstück zu CORBA entwickelt. ..."
dcom ist ein offener standard - willst du jetzt im ernst anfangen zu diskutieren, ob die henne oder das ei eher da war?
nö - lass das mal - das bringt uns nicht weiter.
;-)
basil GarfTermy „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
Ach, wie konnte ich nur auf die abwegige Idee kommen, daß ein Diskussionsforum zum diskutieren da wäre.
Im Übrigen dachte ich eigentlich, daß die Quellenangabe darunter als Hinweis ausreichen sollte, wenn das aber deinen hohen Ansprüchen an Beweisführung nicht gerecht wird, dann kannst Du auch hier schauen.
Übrigens finde ich schon, daß es meinen Diskussionsstandpunkt weiter bringt, da Teletom DCOM unter Linux gesteckt hat, im Normalfall Linux aber DCOM reichlich wenig nutzt. Ob es dich weiter bringt kann ich natürlich nicht beurteilen und ehrlich gesagt, es ist mir ziemlich egal.
GarfTermy basil „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
...die nutzung ist hier nicht das entscheidenen - sondern die implementierung offener standards in verschiedenen systemen. wie dann letztlich der entwickler diese standard nutz ist sein ding.
wenn du dann irgendwann die causalität von ereignissen verstanden hast - können wir gerne mit geigneten argumenten diskutieren. dein von mir zitiertes argument ist kein beweis ...das wird dir vielleicht sebst auffallen, wenn du dir den satz mal in ruhe durchliest. nimm dir also ruhig etwas zeit dafür...
und ob du argumentieren lernst - nun - das ist mir wiederum egal.
(übrigens - der threadstarter wollte sicher keine grundsatzdebatte über dcom lesen - daher schlage ich vor, die sache nun an dieser stelle zu beenden)
;-)
basil GarfTermy „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
Ich habe nicht dem Threadstarter geantwortet, sondern Teletom verbessert, daß DCOM unter Linux ein Exot ist. Wenn dich dieser Teil des Thread nicht interessiert, dann überlies ihn, deine Einfwürfe bringen dem Threadstarter nämlich genauso wenig.
PS: Nächste Woche nehmen wir dann einmal den Unterschied zwischen Beweis und Vergleich durch, der Beweis stand nämlich eine Zeile Tiefer in der Angabe der Quelle.
Teletom basil „Schwer von Begriff, kann kein Englisch oder Flat-Tyre-Troll?“
Hier noch mal meine Aussage:
"Eins ist jedoch Fakt, DCOM zu deaktivieren, bringt bei Windows, Linux und anderen Systemen einen grundlegenden Funktionsverlust."
Das bedeutet nicht mehr und nicht weniger und vor allem bedeutet es nicht, dass DCOM unter Linux kein Exot ist. DCOM kann auch unter Linux angewandt werden, das ist aber hier nicht das Thema.
Nörgler Ruffnex „Loveson“
Jaja, die lieben Kollegen.
Aber bei mir war es genau andersrum:
Ist schon ne Heidenarbeit, was man alles anstellen bzw. einrichten muss (z. Bleistift Portforwarding in der Firewall auf den ganz bestimmten PC) damit man des Würmchens übberhaupt erstmal habhaft wird. Das Ding ist abber auch sowas von wählerisch bei mir gewesen.
Naja, jetzt hab ich ihn ja wenigstens. Werde mal n paar Tests mit ihm machen. Vielleicht auch n komplettes Würmchenbackup, damit ich auch in Zukunft noch was zum Spielen hab.
Armes Deutschland!
Teletom Ruffnex „Loveson“
Hi,
da mich ebenfalls "einige" Leute bitten, auch solche Typen -Nachrichtendienst deaktivieren --> fertig :( , verwende ich Windows PE - also eine Windows-BootCD und die Mcafee-Scan-Exe, um beispielsweise den Lovsan-Virus in kurzer Zeit zu entfernen.
Windows PE lässt sich mit Bart's PE-Builder leicht herstellen. Der Haken dabei ist, dass man den Bart-PE-Builder nicht immer offiziell downloaden kann. Warum - das müsst Ihr schon Bart selber fragen.
Mcafee sdatXXXX.exe downloaden - ftp://ftp.mcafee.com/pub/datfiles/german/
Zum Entpacken sdat4291.exe /e eingeben, das funktioniert nur, wenn man eine Version von Mcafee AV installiert hat (z.B. die evaluation-Version). Dateien in das Mcafee-Verzeichnis des PE-Builders kopieren, Mcafee beim Builden aktivieren, Image herstellen und CD brennen.
PE-CD booten und mit Mcafee Virus entfernen, funzt prima auch bei NTFS.
Gruß
Teletom
Teletom Nachtrag zu: „Hi, da mich ebenfalls einige Leute bitten, auch solche Typen -Nachrichtendienst...“
Hi,
nach dem Barts-Site www.nu2.nu einige Zeit down war, steht die Site zur Zeit wieder zu Verfügung.
Neueste Version PE-Builder307, wer dowloaden kann, sollte downloaden:
http://www.nu2.nu/download.php?sFile=pebuilder307.zip
Vielleicht auch die PE-Einrichtungs-Beschreibung als HTML abspeichern:
http://www.nu2.nu/pebuilder/
Gruß und viel Spaß
Teletom
Tyrfing Teletom „Hi, nach dem Barts-Site www.nu2.nu einige Zeit down war, steht die Site zur Zeit...“
So etwas mag zwar bei komplizierteren Fällen angebracht sein, aber bei einem Wurm wie Blaster/Loveson, der sich noch nicht einmal sonderlich gegen das Entfernen sträubt, ist die manuelle Methode doch schneller...Autostart per msconfig abdrehen, neustarten, Datei löschen, Ende. (zumindest wenn man dann patcht, bevor man ihn sich wieder fängt)
Teletom Tyrfing „So etwas mag zwar bei komplizierteren Fällen angebracht sein, aber bei einem...“
Wenn Du noch so viel Zeit hast und das schaffst, würde das gehen.
Ansonsten ist die Off-System-Methode wie schon bei Windows 3.1 bis Me immer noch die beste Methode, Viren zu entfernen.
Ich denke da auch an Lovsan-Nachfolger-Viren, wie der Dumaru-Wurm, den kann man nur entfernen, wenn das System nicht läuft.
Windows-PE hat darüber hinaus als System auf einem externen Datenträger, wie eine CD , keine Probleme, auch auf NTFS fehlerfrei den Schreibzugriff zum Virenentfernen durchzuführen.
Gruß
Teletom
Tyrfing Teletom „Wenn Du noch so viel Zeit hast und das schaffst, würde das gehen. Ansonsten ist...“
Da Blaster den PC nur abstürtzen lässt, wenn eine Netzwerkverbindung aktiv ist, geht das ohn Probleme und hat noch den Vorteil, dass der Autostart gleicht mit weg ist.
Ansonsten sollte man allerdings wirklich eine Möglichkeit haben Malware zu entfernen, auch wenn das System nicht mehr läuft oder die gestartete Malware sich nicht entfernen lässt, und zwar schon bevor man sich etwas entsprechendes einfängt.
Teletom Tyrfing „Da Blaster den PC nur abstürtzen lässt, wenn eine Netzwerkverbindung aktiv...“
Ja ja, Virenentfernung mit Windows-PE ist eben "ma' was anderes", wie die Überschrift bereits sagt.
Teletom Nachtrag zu: „Hi, nach dem Barts-Site www.nu2.nu einige Zeit down war, steht die Site zur Zeit...“
Bart hat erfreulicherweise offensichtlich eine chreative Phase:
http://www.nu2.nu/pebuilder/#download
Ich komme mit dem Brennen nicht mehr nach.
Gruß
Teletom
GarfTermy Teletom „Barts-PE-Builder downloaden Version 309“
...sehr cooler link! danke!!!
;-)
gelöscht_84526 Teletom „Barts-PE-Builder downloaden Version 309“
Hi Tom !
Noch besser als das Tool von Bart ist natürlich, wenn du Knoppix benutzt. Habe mir gestern mal die neueste Version gesaugt (ist ja ganz offiziell...). Soeben bin ich damit fertiggeworden, die CD zu brennen und ich probiere sie gerade aus. Ich bin nun mit dieser Knoppix-CD im Netz, soll heissen, dass ich von der CD den Rechner gestartet habe, hier meine Internetverbindung konfiguriert habe und nun unter Knoppix dieses Posting schreibe! Noch mehr an Sicherheit und Komfort kann man nicht haben!
Schließlich kann auch der größte Hacker nichts - aber auch gar nichts - auf meine CD schreiben, die ich gerade im CD-ROM-Laufwerk liegen habe.....! Und es gibt einfach keine bessere Lösung, um von einem zerschossenen System Daten zu retten, als dieses mit Knoppix über die CD zu starten. Solltest du irgendwelche Virenprobleme haben, so kannst du sogar einen Onlinescann des Systems durchführen.
Die einzige Angriffsmöglichkeit auf meinen PC würde im jetzigen Zustand darin bestehen, dass ich mir eine diffuse Datei herunterlade und diese anschließend auf meinem Rechner ausführe. Aber so beknackt würde ich mit Sicherheit nicht sein :-))
Nichts gegen das Tool von Bart, es ist weiterhin genial. Aber gegen die Knoppix-Lösung kommt es denn doch nicht an.
Ich habe allerdings einen kleinen Nachteil bei dieser Knoppix-Lösung gefunden - einen Fehler kann man es eigentlich nicht nennen - und zwar erkennt Knoppix keine USB-Maus. Habe aber meine USB-Maus mittels eines Adapters an den PS/2-Anschluss gesteckt, und nun klappt das anstandslos.
Solltest du Interesse haben, dir Knoppix ebenfalls zuzulegen (und zwar das Original, nicht diese kastrierte Version von den CD-Zeitschriften, dann gehe doch einfach mal auf das Klatsch-Fakten-News-Brett, dort habe ich den Link gepostet, wo du dir dieses geniale Teil herunterladen kannst.....
Ich bin auf jeden Fall total begeistert.
Gruß
K.-H.
Teletom gelöscht_84526 „@Teletom“
Hi,
Knoppix ist sehr gut, hab ich schon häufig ausprobiert.
Passt aber so richtig hier nicht rein, denn NTFS-Schreiben, um den Lovsan-Virus zu entfernen, ist unter Linux mit Problemen behaftet.
Bei Knoppix ist die Ladezeit sehr langsam, darum besser auf Festplatte installieren. Muss man eben abwägen, was wichtiger ist der Nichtschreibzugriff oder die Ladezeit. Knoppix hat mit Sicherheit auch Probleme, interne Modems zu verwenden.
Gruß
Teletom
gelöscht_84526 Teletom „@Teletom“
Hi Teletom
Ich weiss nicht, konnte bisher keine Nachteile feststellen, und das mit dem Modem kann ich im Moment nicht nachvollziehen. Habe eine interne ISDN-Karte, und die erkennt Knoppix einwandfrei, wie du in meinem letzten Posting gesehen hast. Und das mit der Geschwindigkeit kann ich auch nicht so bestätigen. Zumindestens bei mir läuft das Teil wie Sau - na ja, ist natürlich nicht so, als wenn es von der Festplatte läuft, aber es soll ja auch nicht als "Ständiges System" laufen. Um Linux auszuprobieren und meine ersten Schritte mit diesem System zu wagen, habe ich vorige Tage auf einem anderen Rechner Suse 8.0 installiert (war so ziemlich der 89. Versuch, aber dieses Mal hat es geklappt :-)), ich kann sogar übers Netzwerk ins Internet gehen...."schulterklopf"!) Bis TCPA eingeführt wird, kann ich bestimmt mit Linux umgehen :-))
Schönen Gruß noch.
K.-H.
