Merkwürdige RPC Meldung und Neustartcountdown

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Merkwürdige RPC Meldung und Neustartcountdown

    Hallo!

    Hab ein Prob mit folgender Konfig:

    Win XP Prof sp1, iE 6.0.8, T Eumex 220PC

    Nach paar Minuten online kommt eine Warnmeldung à la:
    In 1 Minute wird ihr PC neugestartet, bitte schließen sie alle Prog... Dann läuft der Countdown.

    Als Hinweis steht unten, irgendwas mit RPC (RemoteProzdure...) muss neu gestartet werden, SYSTEM/AUTO.. hab ich mir auch noch gemerkt.

    Ist dasn Virus? War mit meinem alden PC und win98se da seit langem verschont geblieben und daher nicht mehr auf dem neusten stand, bin nun aber oft mit dem laptop und xp online.

    Was ist zu tun?

    Vielen Dank für eure Aufmerksamkeit und etwaige Lösungsvorschläge.

    Jone
  • richtig.
    Der erste Wurm, der das so gemacht hat, war der W32/Blaster (Beendigung des Remoteprozeduraufrufs (RPC) in weniger als 30 Sekunden...!).

    In jedem Fall auch mal die "wichtigen Updates" von MS beschaffen, damit die Lücke geschlossen wird...

    Freddie
  • jo, ist ein virus. der nutzt ne sicherheitslücke in win xp aus. deswegen hatteste den auch nicht unter 98se.
    wenn der das nächste mal kommt:
    start -> ausführen: shutdown -a
    dann wird das abgebrochen und du kannst erst mal die updates runterladen
  • Da ich mal den Blasterwurm hatte, der den gleichen Fehler verursacht - kann man - um erstmal ins Internet connecten zu können (und um drinzubleiben & Antivir und Security Patch downzuloaden)
    Unter Systemsteuerung-> Verwaltung-> Dienste den Dienst Remoteprozeduraufruf (Doppelklick) erstmal unter dem Karteireiter "Wiederherstellen" auf "Keine Aktion" stellen bei allen 3 Fehlschlägen. - dann macht er auf jeden Fall keinen Neustart mehr (anstatt obiger Lösung die man jedesmal eingeben muss)

    Ansonsten gilt wie die anderen sagen Antivirenprogramm (z.B. Antivir.de ist gratis und gut)
    und Securitypatches bzw Servicepacks installieren - könnte u.U. einen relativ aktuellen Securitypatch + den Antisasserpatch liefern - falls benötigt

    so long pogona187
  • Teilweise sind Sasser- und Blaster-Viren recht hartnäckig.

    Bei w*w.symantec.de gibt es kostenlose Tools für jeden dieser Viren, die selbige erkennen und zwanghaft auch aus dem Speicher entfernen. Das normale Norton AV erkannte die zwar nach 'nem Update, konnte die aber nicht richtig handeln, sprich deaktivieren.

    Würde ich auf jeden Fall dringend anraten. Dazu, wie schon andere hier schrieben, die MS-Updates oder besser gleich das Servicepack-2 von Microdoof installieren und den PC künftig auch die Patches holen lassen.
  • moin moin!

    vielen dank für eure tipps, der eine ist nun bekämpft, jedoch der zweite macht mir noch sorgen, ein keylogger oder so.

    daten:
    lol.dll in system32
    lsass.exe der prozess der sich nicht schließen läßt, da er angeblich ein systemprozess ist (deshalb kann ich die dll nicht löschen)

    was kann ich gegen tun?

    gruß & thnx!
    jone
  • lsass IST ein Systemprozess ohne den du nicht in dein Benutzerkonto kommen würdest.
    Er ist defekt und muss per MS Update repariert werden (nicht abgeschaltet!)

    Eine lol.dll allerdings...
  • hab nun 22mb update drauf geknallt und bekomm die lol.dll datei immer noch nicht weg, mein norton meldet immer noch den keyloger und löscht ihn aber nicht - egal ob mit eingabeaufforderung, abgesichtermodus oder "normal"

    plz help!
  • so ich würde dir einfach mal empfelen auch mal einen spy bot proggie durchlaufen zu lassen!!1 Manchmal hilft das auch!! Und dann würde ich mir als next eine firewall leechen und dann druf machen! Die hilft echt

    greetz MK3
  • Gib mal an der Eingabeaufforderung 'msconfig' ein.
    Geh dort in dem Fenster, welches sich öffnet, auf 'Systemstart' und schaue mal, ob dort etwas in der Art (also lol.*) ausgeführt wird.
    Oder geh auf 'Dienste' und schaue nach so etwas.

    Falls du etwas findest, mache das Häkchen davor weg und boote neu.

    Auf die Art habe ich bei mir auch schon hartnäckige Trojaner zu Fall gebracht.
    Zumindest ist es einen Versuch wert.
  • Lade dir mal den Sasser Tool runter !! Den habe ich von Microsoft seite runter geladen !! Hatte auch Sasser ... der PC war riiiichtig langsamm und ging DOWN, konnte nichts machen. Habe den Tool von meinen Kumple runter geladen, auf CD gebrannt und nen Sasser gefunden ( natürlich auch gelöscht und die Lücke mit einem der Windows Update geschlossen ). Ich weiss leider nicht mehr genau von wo du dir die ganze TOOLs saugen kannst, aber such mal in Google nach, da findest du 100% was du brauchst.

    Mfg Glotrex !!
    HuHu :)
  • Wegen der lol.dll überprüfste mal msconfig, sollte in aller Regel mit der rundll32.exe gestartet werden … sollte die dll gerade verwendet werden musst du im TaskManager mal nach ner laufenden rundll32.exe schaun (normalerweise läuft die nicht, es sei denn du hast nVidia Forceware laufen .oO(den Müll), kannste aber trotzdem beruhigt killen ^^).
    Danach die dll löschen und fertig.

    Und grunsätzlich immer mal msconfig und die Prozesse überwachen wenn irgendwas schief läuft …
  • WuselQ schrieb:

    Ich würde als erstes einmal mit einem Remove-Tool den Wurm entfernen...


    in zukunft bitte erst die kompletten threads lesen und dann posten.
    das wurmproblem ist schon lange gelöst.
  • moin!

    vielen dank für eure hilfe!

    also sasser tool (h**p://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&displaylang=en) sagt mir, das ich nicht infiziert bin.

    bei msconfig hab ich gesehn, das lsass.exe zu beginn ausgeführt wird - würd ich ja gern abschalten, aber ich mein letzt gelesen zu haben - steht glaub hier im thread auch drin, dass es sich hierbei um ein systemprozess handelt. dies lol dings hab ich da nirgends gefunden, das run... auch nicht :(

    i need somme help... just some help!

    THNX!!
  • Ja die lsass.exe ist ein Systemdienst ohne den du WindowsXP nicht nutzen kannst. Dieser Dienst ist defekt, mit dem Update von MS kannst du diesen wieder reparieren. Dh der Wurm kommt nicht wieder.
  • das update (22mb) hab ich runtergeladen und installliert, aber er zeigt immer noch win xp service pack I an... wenn ich auf update.ms.com geh, dann zeigt er an, dass es keine neuen updates gibt?! was nu... format c ist wohl die einfachste lösung bei dem mist hier :(

    oder weiß jdn welches update ich genau brauch... und hat ein link oder so?

    gruß und danke für eure anteilnahme ;)

    gruß jone<
  • So recht kann ich dir aus der ferne auch nicht mehr raten - leider!

    Aber hast du mal das Serviepack 2 zu Windows XP versucht?
    Ich mein, mehr schaden kanns ja auch nicht mehr als jetzt!
  • /edit hab nun das hier: h**p://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=049C9DBE-3B8E-4F30-8245-9E368D3CDB5A gefunden, muss ich die ganzen 260mb runterladen?? mit meim isdn dauert das ja stunden :(
  • Ich weiss ja nicht, welchen Anschluss du hast (ISDN-DSL), aber sicherlich findest du das SP-2 demnächst auch auf den Beilage-CDs vieler PC-Zeitschriften.
    Bei mir hat der DL nicht lange gedauert, 1 - 1,5 Std. vielleicht.
  • ICh würd bei nem freund die windows updatwes runterladen und auf cd brennen und die dann so schnell wie es geht in der minute instalieren sonst anderen viren scaner meine empfehlung antivir mfg gloverthrum
  • Ich glaube du hattest ursprünglich 2 wurm/Trojaner variationen drauf:
    einmal die Sasser-variante (die du ja schon losgeworden bist) und eimal ein W32/backdoor wurm variante die immernoch drauf sein sollte, da "lol.dll" vorhanden ist

    bei der lol.dll handelt es sich möglicherweise um den hier:

    W32/Francette-K
    Alias
    Worm.Win32.Francette.l, W32/Tumbi.worm.gen.b, W32.Francette.Worm, WORM_FRANCETTE.L

    Typ
    Win32-Wurm

    W32/Francette-K ermöglicht einem bösartig gesinnten Anwender Fernzugriff auf einen infizierten Computer. Der Wurm legt die dll-Datei lol.dll ab, mit der Tastenfolgen gespeichert werden. Diese Tastenfolgen können an die E-Mail-Adresse des Angreifers gesendet werden. Lol.dll wird von Sophos Anti-Virus als W32/Francette-I erkannt.
    W32/Francette-K kann sich mit einem IRC-Server verbinden und so Backdoor-Zugriff mittels IRC-Kanälen ermöglichen.

    Also ein Keylogger ist echt ein böses Teil, solange du das Ding drauf hast, empfehle ich dir keine Onlinetransfers durchzuführen (falls du so etwas machst), Kontonummern. Passwörter oder ähnliches einzutippen, wenn du Online bist.

    versuch mal in der Registry diesen Eintrag zu löschen, falls vorhanden:

    Damit er automatisch beim Start von Windows aktiviert wird, erstellt W32/Francette-K den folgenden Registrierungseintrag:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft IIS

    vielleicht ist es dann möglich das dieser Systemprozess beim nächstenmal nicht mehr automatisch mitgestartet wird bzw. vielleicht kannst du dann die lol.dll entfernen.

    hier noch ein Info. zur Isass.exe

    Wie erfahre ich, welche Lsass.exe korrekt ist und wo gehört diese hin:
    lsass ist an sich ein ganz normaler Windows Prozess. Diese Datei sollte bei XP zum Beispiel im Verzeichnis C:\WINDOWS\system32 stehen. Um sicher zu gehen ob es der richtige ist, kannst du diese Datei bei Kaspersky (kaspersky.com/de/scanforvirus) online prüfen lassen.
  • vielen dank, für deine aufschlussreiche antwort... werde gleich alles testen ;) und dann edit was los ist :)

    EDIT
    Vielen Dank euch allen, vorallem an dich, Xcellent, dein tipp hat nun auch den letzten virus gekillt... endlich wieder virenfrei, nun noch auf sp2 warten und dann ist hoffentlich mal ruh :).

    bis denSen.

    @kollegam0D plz cl0s3!
    :cool:
  • Ich kenn was besseres!
    Hatte ich auch ich habe dieses gemacht!

    Start-->Suche-->nach Datein und Ordner suchen-->Auf Datein und ordner Klicken

    Gebe in textfeld ein : Shutdown.exe

    Wenn er diese Datei gefunden hat mit rechter maustaste drauf klicken!
    Und auf verknüpfunk auf dem Desktop herstellen!
    Jetz Suchen Schließen und auf desktop gehen!

    Rechter mausklick auf die verknüpfunk --> Eigenschaften klicken !

    In der zeile ziel steht C:\windows\system32\shutdown.exe

    Diesen ändern in C:\windows\system32\shutdown.exe -a

    -a = abort/abrechen

    Übernehmen und OK klicken!

    Und wenn diese meldung kommt einfach auf die verknüpfunk klicken!

    Dann kommt es nie wieder oder eine sehr lange zeit nicht mehr!!!