Hallo zusammen,
bei mir gibt es manchmal eine Access Viloation bei svchost.exe wenn ich den Rechner neu starte. Das schaut auf den ersten Blick nach Blaster aus, aber McAffee oder AntiVir Guard (http://www.free-av.de/) haben nix gefunden.
Danach kann ich mich nicht mehr in das Internet einwählen (wie bei Blaster) und bekomme die Fehlermeldung das die DUNI Version zu alt ist. Ich wähle mich mit dem SmartSurfer von Web.de ein.
Wenn ich Abbrechen zum Debuggen anklicke sagt Visual Studio, das es im Bereich H232.tsp passiert. Die einzige Lösung ist den Debugger anzuschmeißen und den Prozess wieder laufen zu lassen, dann klappt auch das Einwählen in das Internet.
Ich habe jetzt 1h gegoogelt und hier auch nix außer Blaster usw. gefunden, da bei mir aber copy und paste sowie alles andere funktioniert bin ich ratlos.
In der Ereignisanzeige gibt es noch parallel die Fehlermeldungen:
Der Dienst "COM+-Ereignissystem" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Kein Vorgang.
Der Dienst "RIP-Überwachung" wurde ...
Der Dienst "Netzwerkverbindungen" wurde ...
Der Dienst "Wechselmedien" wurde ...
Der Dienst "RAS-Verbindungsverwaltung" wurde ...
Der Dienst "Systemereignisbenachrichtigung" wurde ...
Der Dienst "Telefonie" wurde ...
Die RAS-Verbindungsverwaltung konnte nicht gestartet werden, da keine Puffer erstellt werden konnten. Starten Sie Ihren Computer neu. Zugriff verweigert
Der Dienst "RAS-Verbindungsverwaltung" wurde mit folgendem Fehler beendet:
Zugriff verweigert
Habe wg. obiger Fehlermeldungen meine Telefonanlage von den Telekomikern in Verdacht (Eumex), da die Software trotz Update nicht einwandfrei funktioniert. Wenn ich z.B. den USB Stecker zur Anlage ziehe und ein Dialer versucht zu wählen dan bootet der Rechner :-((
Grüße aus dem Taunus
Björg
Archiv Server-Windows 15.877 Themen, 54.317 Beiträge
Eben. Blater schickt doch erst einen Infektionscode voraus, den kann kein Virusscanner abfangen. Erst wenn er sich über diesen Code installieren will, wird er abgefangen... der falsche Code im svchost-Prozess bleibt aber bestehen.
So, nun gibt es nicht nur Varainten von Blaster, sondenr auch drei weitere Lücken im RPC-Server, die ebenfalls genauso wie die von Blaster ausgenutzt werden können und nach dem gleichen Schema verlaufen - zum Glück ist es bei einzelnen Exploits und lokalen Virenepidemien geblieben, aber es wäre ohne Probleme ein Blaster2 auf dieser Basis möglich gewesen.
Gemehrt wird das Problem dadurch, dass die Installation des ursprünglichen Blaster-Patches diese Lücken noch enthält und weiterhin auch in einem voll gepatchten Windows diese Lücken wieder aufreissen würde.
Und wie war das noch mal mit dem neuen Blaster2, der auf einer Lücke im Nachrichtendienst beruht? Basiert auch auf RPC und dürfte ähnliche Symptome erzeugen.