Mittwoch, 19. September 2018, 02:12 UTC+2

Sie sind nicht angemeldet.

  • Anmelden
  • Registrieren

Rtt

Udo Männlich

Vize-Administrator

Registrierungsdatum: 30. August 2002

Beiträge: 8 155

Wohnort: Trade-Planet

21

Montag, 11. August 2003, 21:20

Hallo Herr Knöpfel,

hmmm..zwischen meinem und den anderen beiden Rechen auf denen es auch passiert ist besteht überhaupt kein Zusammenhang und sicherlich ist auch die unterschiedlichste Software drauf!

Hans-Jürgen und ich verwenden "WXP Professional" Service Pack1 . Zwischen unseren Rechneren besteht Sofware,- und Hardwaremässig keinerlei Gleichheit und beide rechner sind sicherlich auch unterschiedlich konfiguriert...
Happy Trading

Investox

Administrator

Registrierungsdatum: 31. August 2002

Beiträge: 5 566

22

Montag, 11. August 2003, 22:25

Hallo,

danke für die Infos. Ich hatte es mit einer Home-Edition getestet. Ich glaube aber, es würde sich nicht lohnen, dem noch weiter nachzugehen...

Viele Grüße
Andreas Knöpfel

Udo Männlich

Vize-Administrator

Registrierungsdatum: 30. August 2002

Beiträge: 8 155

Wohnort: Trade-Planet

23

Dienstag, 12. August 2003, 09:10

Hallo Herr Knöpfel,

leider tritt bei mir ein weiteres Problem auf. Wenn ich die Simulation über einen längeren Zeitraum laufen lasse dann meldet Windows eine Fehler in der SVCHOST exe. Hat diese EXE irgend etwas mit Investox zu tun?

Der PC lässt sich dann nicht mehr herunterfahren...
Happy Trading

Investox

Administrator

Registrierungsdatum: 31. August 2002

Beiträge: 5 566

24

Dienstag, 12. August 2003, 10:28

Hallo,

SVCHOST exe ist eine Windows-Systemdatei, welche Dienste startet. Hat also nichts direkt mit Investox zu tun. Das einzige, was ich mir momentan vorstellen könnte ist, dass irgend ein Dienst hängen bleibt, weil bei der Simulation zu wenig Rechenzeit bekommt (ist aber nur eine blinde Vermutung).

Viele Grüße
Andreas Knöpfel

Udo Männlich

Vize-Administrator

Registrierungsdatum: 30. August 2002

Beiträge: 8 155

Wohnort: Trade-Planet

25

Dienstag, 12. August 2003, 10:56

Hallo Herr Knöpfel,

die Datei ist definitiv beschädigt denn die Fehler häufen sich schlagartig-quer durch alle Programme- so das kein arbeiten mit dem PC mehr möglich ist!

Falls Ihre Vermutung wirklich zutrifft und dies der Auslöser war, müsste man bei der Simulation einen zeitlichen Puffer einbauen?
Happy Trading

Investox

Administrator

Registrierungsdatum: 31. August 2002

Beiträge: 5 566

26

Dienstag, 12. August 2003, 12:07

Hallo,

ich hatte nicht vermutet, dass die Simulation eine Ursache für die Beschädigung von SVCHOST.exe sein kann, sondern nur, dass event. ein (schlecht programmierter) Dienst dadurch Probleme bekommt (aber auch das würde mich eher wundern). Lassen Sie bei der Simulation von Investox SMS oder E-Mail verschicken?

Bei Problemen mit SVCHost.exe sollte man übrigens auf jeden Fall auch den Rechner nach Viren/Trojanern scannen, da dieses Programm gern als Einfallstor benutzt wird.

Ansonsten: das Zeitverhalten der Simulation kann man durch das Aktualisierungsintervall des Berechnungstitels bestimmen.

Viele Grüße
Andreas Knöpfel

Registrierungsdatum: 2. September 2002

Beiträge: 433

Wohnort: Freiburg

27

Dienstag, 12. August 2003, 14:00

Udo,

Dein System ist von dem neuen Wurm befallen, siehe bei www.heise.de


Der Wurm W32.Blaster verbreitet sich über einen Fehler im RPC-Dienst auf Port 135. Zwei Schritte helfen, um einen Angriff des Wurms
abzuwehren: Patch einspielen oder Port 135 blockieren -- im Zweifelsfall sollte man beides machen.

Der Patch von Microsoft beseitigt die Sicherheitslücke im RPC-Dienst. Ein Paketfilter oder eine Firewall kann eingehende Verbindungsversuche über
Port 135 sperren. Schon handelsübliche ISDN- und DSL-Router mit eingebauter Firewall blockieren derartige Angriffe erfolgreich. Ankommende
Verbindungsversuche werden grundsätzlich ignoriert.

Wer über keinen Router zum Filtern verfügt, kann unter Windows XP die systemeigene Firewall unter den erweiterten Netzwerkeigenschaften
einschalten. Windows-2000-Benutzern wird empfohlen, sich eine Personal Firewall, zum Beispiel Kerio Personal Firewall, zu installieren. Zusätzlich
sollten die UDP- und TCP-Ports 137 bis 139, 445 und 593 blockiert werden. Ein Abschalten des RPC-Dienstes wird nicht empfohlen, da viele
andere Dienste RPC benötigen.

W32.Blaster zeigt beim Angriff auf Systeme störende Nebeneffekte: Eine Fehlermeldung erscheint bei einigen Systemen in einem Pop-up-Window,
mit dem Hinweis, dass der PC neu gestartet werden muss. Anschließend wird der PC automatisch heruntergefahren. Dieser Effekt beruht auf
fehlender Kenntnis des Wurms über die Plattform des angegriffenen Systems. Der Wurm basiert auf dem seit zwei Wochen kursierenden Exploit
"dcom.c". Die bisherige Version enthielt Offsets für 48 Zielplattformen zum erfolgreichen Anspringen des Shell-Codes auf dem Stack. Der Wurm
verwendet nun zwei universelle Offsets für Windows XP und 2000. Zum Angriff muss der Wurm einen Offset auswählen: In 80 Prozent der Fälle
wählt er den Offset für Windows XP. Ist das angegriffene System dann Windows 2000, führt das zum Absturz der "svchost.exe" und einem
erzwungenen Reboot. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe"
zum Absturz bringen kann. (dab/c't)

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »hungerturm« (12. August 2003, 14:01)


Udo Männlich

Vize-Administrator

Registrierungsdatum: 30. August 2002

Beiträge: 8 155

Wohnort: Trade-Planet

28

Dienstag, 12. August 2003, 16:14

Bernhard....besten Dank für den Hinweis! In diesem Fall werde ich die HD formatieren! Da der Wurm definitiv vorhanden ist!Er verhindert selbst die Verbindung zu MS um das Patch downzuloaden...
Happy Trading

Frieder

unregistriert

29

Dienstag, 12. August 2003, 22:09

Hallo,
habe gerade ohne Probleme alle RTT- Dax-Werte ab 1.1.03 eingepflegt, ohne irgendein Problem, trotz neuester IV-Version. System läuft aber auf Win2000prof-Basis. Ist eh das stabilere Betriebssystem!
Frieder

Udo Männlich

Vize-Administrator

Registrierungsdatum: 30. August 2002

Beiträge: 8 155

Wohnort: Trade-Planet

30

Mittwoch, 13. August 2003, 00:48

Hallo zusammen,

bei mir war mit 100%iger Sicherheit W32.BLASTER
aktiv. Ich hatte es aber noch rechtzeitig bemerkt. Bei Symantec kann man sich ein ganz kleines Tool laden das den kompletten PC auf diesen Wurm testet und ihn auch beseitigt! Bei mir hatte er Dateien angelegt und sich in die REG eingetragen. Weiterhin war der Zugriff auf Microsoft Websites nicht mehr möglich....

Investox hatte letztendlich gar nichts damit zu tun und es war wohl eher ein "dummer" Zufall das ich mit dem Simulator gearbeitet habe und diese Fehlermeldung auftauchte wie vom Wurm verursacht wurde!

Wer sich nicht ganz sicher ist ob er nicht auch diesen Wurm aufgeschnappt hat..;) der kann sich ---h i e r--- diesen Mini Patch laden der nur auf BLASTER anspricht und das Teil mit allen Dateien und REG einträgen entfernen!Blaster ist als recht brisant einzustufen weil es Hackern Tür und Tor öffnen kann und wird über eine Sicherheitslücke in einem Microsoft Dienst über den Port eingeschleust. Das Sicherheits patch von Microsoft sollte unbedingt auch geladen werden..auch wenn man hinter einer Firewall oder einem Router sitzt..

Bernhard und Hr. Knöpfel nochmals danke für die Hinweise!
Happy Trading

Frieder

unregistriert

31

Mittwoch, 13. August 2003, 10:42

Hi Udo!
Diesen Wurm wie auch alle anderen kann man leicht vermeiden durch Installation der kostenlosen Firewall ZONEALARM, die zudem den download von Trojanern verhindert.
Gruß
Frieder

Udo Männlich

Vize-Administrator

Registrierungsdatum: 30. August 2002

Beiträge: 8 155

Wohnort: Trade-Planet

32

Mittwoch, 13. August 2003, 13:22

Hallo Frieder,

vor kurzen hatte ich gelesen-aber bitte frag nicht wo im Net-das die freie Version von Zone Alarm ein Sicherheitsloch hat das dem Hersteller bekannt ist!!!

Einen 100%igen Schutz-falls man davon sprechen kann-bietet lt. Angaben der Hersteller die kostenpflichtige Version da diese Lücke geschlossen wird! Also auch hier vorsicht!

Ich habe keine Datei neu installiert oder eine Mail mit unbekannter Herkunft geöffnet sondern er hat einen vermutlich offenen PORT meines Rechners verwendet der jetzt geschlossen wurde.

Eine m.M. nicht kostenlose aber gute Sicherung gegen solche Attacken ist wohl ein Router...
Happy Trading

Hans-Jürgen Männlich

Administrator

Registrierungsdatum: 10. Juli 2002

Beiträge: 1 712

Wohnort: Niedersachsen

33

Mittwoch, 13. August 2003, 17:44

Hallo zusammen,
Microsoft empfiehlt alle Systems Windows NT 4.0 mit dem Sicherheitspatch zu versehen. Hier kann man es nachlesen: http://www.microsoft.com/germany/ms/tech…tinms03-026.htm
Viele Grüße,
Hans-Jürgen

Udo Männlich

Vize-Administrator

Registrierungsdatum: 30. August 2002

Beiträge: 8 155

Wohnort: Trade-Planet

34

Dienstag, 26. August 2003, 11:15

Hallo Herr Knöpfel,

mir ist aufgefallen das RTT erst die Meldung zum Verdindungsabbruch bringt wenn man den Versuch von TPR sich mit dem Server neu zu verbinden abbricht!

TPR hatte heute 10min. versucht sich in den Server einzuwählen. Ist das so gewollt oder sollte RTT grundsätzlich eine Meldung bringen wenn TPR keine Daten mehr sendet?
Happy Trading

Investox

Administrator

Registrierungsdatum: 31. August 2002

Beiträge: 5 566

35

Dienstag, 26. August 2003, 12:18

Hallo,

das ist im Prinzip so gewollt, da man sonst dauernd Bestätigungsboxen klicken müsste. Wir werden damit aber nochmal ein wenig experimentieren...

Viele Grüße
Andreas Knöpfel