Hallo.
Nachdem ich gestern wieder diesen MSBlast (oder wie er heißt) Wurm hatte, obwohl ich die Datei, welche die Sicherheitslücke ausfüllt, entdeckte ich, daß er offenbar über eine Download-Datei hereingekommen war - und zwar ausgerechnet über einen Virenscanner (es war einer von Ad-aware - es ist aber nur eine Vermutung!).
Hat jemand shcon ähnliche Erfahrung und weiß, welche Virenprogramme man besser nicht herunterladen sollte?
Feldmarschall
ausfüllt, entdeckte ich, daß er offenbar über eine
Download-Datei hereingekommen war - und zwar ausgerechnet über
einen Virenscanner
Wie meinst Du, das erkannt zu haben? AFAIK verbreitet sich Blaster über einen Buffer Overflow im RPC (?) Dienst.
LG
Stuffi
ausfüllt, entdeckte ich, daß er offenbar über eine
Download-Datei hereingekommen war - und zwar ausgerechnet über
einen VirenscannerWie meinst Du, das erkannt zu haben? AFAIK verbreitet sich
Blaster über einen Buffer Overflow im RPC (?) Dienst.LG
Es trat zum ersten Mal auf, als ich gerade den Virenscanner heruntergeladen hatte und starten wollte.
Es trat danach, wie sich herausstellte, immer nur dann auf, wenn zuvor der virenscanner gestartet wurde.
Es trat zum ersten Mal auf, als ich gerade den Virenscanner
heruntergeladen hatte und starten wollte.Es trat danach, wie sich herausstellte, immer nur dann auf,
wenn zuvor der virenscanner gestartet wurde.
Wie schnell doch die Degradierung vom Feldmarschall zum Gemeinen vonstatten gehen kann! Wie von Stuffi bereits erwähnt, verbreiten sich Blaster und Sasser über den RPC-Dienst. Möglicherweise aktiviert erst der Virenscanner bei dir diesen Dienst. Das solltest du aber wissen, das würde nämlich bedeuten, dass du an den Diensten herumgeschraubt hast. Möglicherweise ist auch dein Virenscanner oder dein BS defekt.
Dafür spricht in deinen Postings aber wenig bis grad garnix. Standardprozedur (Backup, Neuinstallation, SP2 oder Patches einspielen, Browser installieren) scheint eher angebracht.
Soldatischer Gruss
Schorsch
Wie schnell doch die Degradierung vom Feldmarschall zum
Gemeinen vonstatten gehen kann! Wie von Stuffi bereits
erwähnt, verbreiten sich Blaster und Sasser über den
RPC-Dienst. Möglicherweise aktiviert erst der Virenscanner bei
dir diesen Dienst. Das solltest du aber wissen, das würde
nämlich bedeuten, dass du an den Diensten herumgeschraubt
hast.
Das habe ich nicht.
Möglicherweise ist auch dein Virenscanner oder dein BS
defekt.
Dafür spricht in deinen Postings aber wenig bis grad garnix.
Was heißt „mein“ Virenscanner - ich schrieb ja, daß ich mir diesen gerade erst heruntergeladen hatte und genau in dem Augenblick als ich ihn installiert hatte und startete das Problem auftrat (und danach auch immer dann wenn ich ihn startete), und als ich ihn wieder deinstalliert hatte, nicht mehr. Es schiene also offensichtlich ein Zusammehang zu bestehen.
Was heißt „mein“ Virenscanner - ich schrieb ja, daß ich mir
diesen gerade erst heruntergeladen hatte und genau in dem
Augenblick als ich ihn installiert hatte und startete das
Problem auftrat (und danach auch immer dann wenn ich ihn
startete), und als ich ihn wieder deinstalliert hatte, nicht
mehr. Es schiene also offensichtlich ein Zusammehang zu
bestehen.
Aus der Datei Readme.TXT von Antivir:
Mit der neuen Version 6.26 haben wir aus technischen Gründen die
Kommunikation zwischen dem sog. Kontrollprogramm (rotes Schirmchen)
und dem Guard Dienst unter Windows NT, 2000 und XP auf eine TCP/IP
Verbindung umgestellt. Das Kontrollprogramm kommuniziert hierbei
nur mit dem lokalen Computer unter 127.0.0.1 (localhost); es findet
keine Kommunikation mit dem Internet statt.
Die meisten sog. Personal Firewalls (lokale Firewalls) werden
beim ersten Start von AntiVir deshalb eine Warnung ausgeben und
nachfragen, ob die entsprechenden Funktionen erlaubt werdn sollen.
Dies betrifft die Datei AVGNT.EXE (will eine Verbindung zu TCP
Port 18350 aufbauen) und die Datei AVGUARD.EXE (will als Server auf
Port 18350 „hören“). Um diese Kommunikation zu ermöglichen, müssen
Sie Ihre Firewall kurzzeitig in den Lernmodus schalten, und bei der
Nachfrage der Firewall diese Funktionen Verbindung erlauben -
am besten setzen Sie hier dann das Häkchen unter „immer erlauben“.
Ist das die Möglichkeit?
Gerd