MS_RPC_DCOM_BufferOverflow-Angriff!!!

#1 Hallo erst einmal,
Ich habe ein problem. Immer wenn ich ins internet gehe kommt so alle zwei min. die scheiß warnmeldung von norton antivirus:
Ein Computer mit der IP-Adresse 62.246.118.143 hat Informationen gesendet
die die merkmale eines MS_RPC_DCOM_BufferOverflow-Angriffs aufweisen.

der tüp wechselt immer die IP_Adresse....
Was kann ich dagegen tun und was ist das für ein Angriff??
Auf dauer nervt das nähmlich.

thx

nOOb

#2 Nichts, du wirst nur von Rechnern "angefunkt" die mit einem Virus infiziert sind, der diesen RPC bug nutzt um sich zu verbreiten. Irgendwo gibt es bei Norton eine Einstellung, mit der du solche Meldungen nicht mehr angezeigt bekommst.
__________
MfG Ralf
SEO-Spam Hunter

#3 Ich vermute auch, dass es sich um Blaster/Lovsan handelt.
s.a http://board.protecus.de/t5696.htm
Ist dein System gepacht ?!! Eine Firewall verwendest Du nicht, oder ?
Wie man Port 135 komplett schliesst: http://board.protecus.de/t610.htm
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Was meinst du mit gepachtet??
Ich verwende Norton Internet Security 04, wie oben beschrieben.

Bei mir kommt auch immer das Fenster von norton, eine Anwendung versucht auf das internet zuzugreifen:
Protokoll: ICMP(Ausgehend)
Die Remote-Adresse endert sich auch immer und da steht immer Echoanforderung.
Da ist es dann egal ob ich dann immer auf "diese Aktion immer verwenden" klicke.Weil es ja die ip adresse immer endert, oder?
@all, wo gibt es bei norton diese einstellung wo ramen beschrieben hat??

thx nOOb

#5 Du sprachst von Norton Antivirus, das ist was anderes, es ist nur ein Teil der "Norton Internet Security", aber wie bereits gesagt, irgendwo laesst sich diese nutzlosen/uninteressanten Meldungen abschalten. Mit einem gepatchtem System ohne Firewall wuerdest du von dem ganzen nichts mitbekommen/merken. Ungepatchte Systeme wuerden infiziert werden!
__________
MfG Ralf
SEO-Spam Hunter

#6 Danke für die Antworten, ich habe jetzt herausgefunden das ich den W32/Blaster-C drauf habe. Das habe ich gesehen als ich msconfig eingegeben habe und da stand nemlich teekids.exe

thx nOOb

#7 Dann wird es hoechste Zeit, das du Norton von deinem Rechner verbannst! Obwohl ich nicht fuer (desktop)Firewalls bin, sollten die NortonPF dich vor Blaster oder den "Opa" wuermern schuetzen auch wenn du dein System nicht gepatcht hast. Von Norton Antivirus(2004!) mal ganz abgesehen.
Um zu testen, ob sich noch andere RPC-Malware auf deinem Rechner befindet, solltest du mal das hier herunterladen: http://us.mcafee.com/virusInfo/default.asp?id=stinger
Mcafee, KAV oder RAV sind alle nicht schlecht, falls du eine gute Alternative zu Norton suchst. Falls du fuer Norton schon bezahlt haben solltest, immer schoen aktuell halten und saemtliche Firewallregeln( eigene oder auch vorgefertigte) loeschen!
__________
MfG Ralf
SEO-Spam Hunter

#8 Also ich hatte mit Norton noch nie Probleme. Mein System ist total ungepatcht, bis auf ein SP 1 ist mein XP relativ jungräulich.

Ich denke es liegt immer an der Einstellung, wie gut eine Firewall schützt. Und da ich sämtliche automatische Einstellungen erst mal verbannt und meine eigenen Regeln konstruiert habe, schützt NIS für mich perfekt und problemlos.

Die Blasterseuche hätte ich wahrscheinlich gar nicht mitbekommen, wenn ich nicht in solchen Foren verkehren würde

Alles eine Sache der Einstellungen.
__________
Hab ich "NULL" gewählt?

#9 Norton, oder eigentlich jeder aktuell gehaltene Virenscanner sollte fuer den Normalgebrauch reichen, aber bei Unwissenheit oder P2P Anwendungen, sollte man schon mehr investieren.
__________
MfG Ralf
SEO-Spam Hunter

#10 Ich glaube das habt ihr falsch verstanden, das mit msconfig habe ich ganz am anfang gemacht, und dann habe ich gleich norton anti virus durchlaufen lassen und der hats dann auch gleich gefunden. Ich halte Norton immer auch immer Aktuell und das hat bei mir auch noch nie so probleme gemacht bis ich das 04 installiert habe.

@raman du hast geschrieben das es eine einstellung bei norton gibt mit der ich die meldungen abschalten kann. Kannst du mir das mal genauer erklähren??

Mfg nOOb

#11 Naja, ich muss zugeben, das ich bei dir ja falsch lag. Ich dachte nicht, aufgrund eines aktuellen scanners und einer Firewall, das du mit einer Blastervariante infiziert warst.(Was mich immer noch verwundert).
Genaue infos dazu kann ich dir leider nicht geben, da ich damals nur kurtz mal in NIS 2000 reingeschaut habe. Ich meine das man gleich wenn die Meldung auftauchte in ein Menue kam wo man das abschalten konnte.

BTW: Inzwischen www.windowsupdate.com besucht?
__________
MfG Ralf
SEO-Spam Hunter

#12 Bei NIS 2003 gabs im Main Menu (doppelklick auf die Weltkugel *g*) noch die Option BENACHRICHTIGUNG, wo man den Regler auf Niedrig schieben konnte und dann erst mal Ruhe hatte. Weiß allerdings nicht, wie's beim 2004er is.
__________
Hab ich "NULL" gewählt?

#13 Hallo, ich habe das gleiche Problem.
Nach einigem Suchen habe ich bei microsoft eine Lösung gefunden !??
Jedenfalls sind diese nervigen Meldungen deutlich reduziert.
Also ich habe folgendes gemacht:
1. micosoft.de
2. Dienste -> downloads
3. Blaster: Sicherheitsupdate für windows xp
4. Download
5. ausführen
Das ist alles viel Glück.

#14 Blaster entfernung hatten ma doch schon mal oder???
Gähn, Suche hilft Wunder...

#15 Hallo noob,
auch auf die Gefahr hin, Computerexperten ein Gähnen zu entlocken, melde ich mich noch einmal.
Unser Problem kann auch durch dem Wurm "w32.welchia" hervorgerufen werden. Wen du in windows\system32 die datei dllhost.exe findest ist dein PC mit diesem Wurm infiziert. Ein Tool zum Entfernen findest du auf der Symantec-Seite.

MFG PC-Laie

Für Hinweise auf Rechtschreibfehler bin ich dankbar.