KB977165 legt teilw. rechner lahm

U

ulukay

Banned
Thread Starter
Mitglied seit
19.07.2006
Beiträge
8.158
http://www.golem.de/1002/73083.html

super, hab die updates (nach 2 tagen warten, nur zur sicherheit) gestern abend freigeschalten und das update wurde schon in der firma verteilt, heute kommens drauf dass das update xp rechner lahmlegt ...

DANKE M$HIT
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
ulukay schrieb:
http://www.golem.de/1002/73083.html

super, hab die updates (nach 2 tagen warten, nur zur sicherheit) gestern abend freigeschalten und das update wurde schon in der firma verteilt, heute kommens drauf dass das update xp rechner lahmlegt ...

DANKE M$HIT
Zum Vergrößern anklicken....
ja und wieviele rechner hats bei euch lahmgelegt? (das problem tritt direkt beim nächsten reboot auf) und vorallem wieso habt ihr keine testgruppe? Das update lässt sich ja auch wieder zurückrufen bzw auf nicht freigeben setzen also wos das problem?

bei uns hats übrigens genau 0 von etwas über 600 rechnern erwischt...

ansonsten wenns auftritt
Von cd booten und Wiederherstellungskonsole
CHDIR $NtUninstallKB977165$\spuninst
Deinstallation starten: BATCH spuninst.txt
systemroot
exit
reboot abwarten

microsoft hat zwischenzeitlich auch nur bestätigt die probleme zu untersuchen, ob die probleme an 3rd party liegt oder nicht wurde noch nicht ermittelt...

alles weitere wird ms wie üblich zu erst hier kund tun:
http://blogs.technet.com/msrc/default.aspx
 
Zuletzt bearbeitet:
wieviel betroffen sind weiss ich montags wenn die leute die den patch schon installiert haben den rechner booten ;)
testgruppe? ich mach doch nicht M$hits arbeit!
declined isses schon, hilft nur bei den die es schon installiert haben nix.
naja morgen mal sehen
 
ulukay schrieb:
wieviel betroffen sind weiss ich montags wenn die leute die den patch schon installiert haben den rechner booten ;)
testgruppe? ich mach doch nicht M$hits arbeit!
declined isses schon, hilft nur bei den die es schon installiert haben nix.
naja morgen mal sehen
Zum Vergrößern anklicken....
ja als ms jede erdenkliche konstellation testen könnte :rolleyes:

naja wie dem auch sei
Mitteillung von MS was das Problem auslöst: http://blogs.technet.com/msrc/archi...talling-ms10-015-and-the-alureon-rootkit.aspx
Kleine Info zum Rootkit: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus:Win32/Alureon.A

ein ms update legt also rechner lahm die offensichtlich von schadsoftware befallen sind...ich bin tatsächlich erschüttert
 
ich ebenfalls, dass man so ein beschissenes OS zusammenzimmert welches offensichtlich von jedem trottel zu knacken ist. aber wofuer ein gutes konzept, die loecher stopft man indem man dem kunden noch mehr geld aus der tasche zieht fuer software damit das windepp die naechsten 5 minuten ueberlebt. SO macht man das ;)
 
Hatte auf den Bluescreen dank des Rootkits.
Meine Atapi.sys war infiziert, weiterhin wurde der Explorer beim Systemstart in der Registry wie folgt ausgeführt: "Explorer.exe rundll32.exe xlyf.ppo ebneby"

Hab die atapi.sys gegen eine andere ausgetauscht, den Eintrag in der Registry wieder auf: "Explorer.exe" geändert und die xlyf.ppo gelöscht.

Hatte jemand ähnliche Probleme?
Woher kam das Rootkit und was hat es gemacht?
 
sanni schrieb:
Hatte auf den Bluescreen dank des Rootkits.
Meine Atapi.sys war infiziert, weiterhin wurde der Explorer beim Systemstart in der Registry wie folgt ausgeführt: "Explorer.exe rundll32.exe xlyf.ppo ebneby"

Hab die atapi.sys gegen eine andere ausgetauscht, den Eintrag in der Registry wieder auf: "Explorer.exe" geändert und die xlyf.ppo gelöscht.
Zum Vergrößern anklicken....
dadurch wird mit großer warscheinlichkeit nichtmal ansatzweise alles vom trojaner entfernt sein

eine kleine auswahl wo aluron alles sein kann und was er teilweise macht
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32/Alureon
Encyclopedia entry: TrojanDropper:Win32/Alureon.J - Learn more about malware - Microsoft Malware Protection Center
http://www.microsoft.com/security/p...ia/Entry.aspx?Name=Trojan:Win32/Alureon.gen!R
Encyclopedia entry: Trojan:Win32/Alureon.CT - Learn more about malware - Microsoft Malware Protection Center

sanni schrieb:
Hatte jemand ähnliche Probleme?
Zum Vergrößern anklicken....
laut ms foren natürlich einige leute...
sanni schrieb:
Woher kam das Rootkit und was hat es gemacht?
Zum Vergrößern anklicken....
kommt auf die variante an...siehe für nähere details die obigen links (im wesentlichen entweder code nachladenh, durch dns manipulation das ausspähen von daten/kennwörtern, blockiert websites durch dns manipulation)
Bekommen tust du ihn durch social engineering, p2p, warez, cracks, blogs, gehackte webseiten.
Backdoor.Tidserv | Symantec

Allerdings setzt auch dieser trojaner voraus dass der benutzer mit adminrechten unterwegs ist damit er sich einnisten kann -> zu 100% eigenverschulden

einzig saubere methode, system neu aufsetzen und nächstes mal system klüger einrichten
 
KB977165 hab ich am 10.02, installiert. Der Bluescreen ereignete sich gestern das erste mal als ich ein Setup ausführen wollte.
Die Setup.exe war also infiziert. Eigentlich hätte sich doch Antivir melden sollen ... dummes Antivir.

Gibt es ein Programm das sämtliche Veränderungen am OS vor und nach einem bestimmten Event auszeichnen kann?
Weil dann würde ich mal ein neues XP in einer virtuellen Maschine aufsetzen und das absichtlich infizieren damit ich weiß was der alles verändert hat.
 
sanni schrieb:
Gibt es ein Programm das sämtliche Veränderungen am OS vor und nach einem bestimmten Event auszeichnen kann?
Weil dann würde ich mal ein neues XP in einer virtuellen Maschine aufsetzen und das absichtlich infizieren damit ich weiß was der alles verändert hat.
Zum Vergrößern anklicken....
ja gibt es...

winstall le z.B. oder jede beliebige paketierungstool...
protokollieren was wärend des setups verändert wird können auch die monitoring tools von sysinternal/ms (process monitor) aber dazu könntest du einfach auch die verlinkten seiten studieren

was du dadurch aber nicht rausfindest:
- welche dateien/setups nachgeladen werden
- welche sonstigen änderungen gemacht werden
- ab den zeitpunkt wo das rootkit aktiv ist kannst du mit diesen tools nicht mit sicherheit sagen was weiterhin geändert wird
- du kannst nicht sicher sein dass bei deinem test die gleichen pakete nachgeladen werden wie bei deinem host

-> ergo deine methode ist unbrauchbar

ein virenscanner ist bekanntlich nicht fehlerfrei und wie weiterhin bekannt sollte man darauf nicht blind vertrauen
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

Man-in-Black
  • Artikel
[User-Review] Die Synology DP320 ActiveProtect Appliance im Lesertest
Antworten
13
Aufrufe
1K
Man-in-Black
Man-in-Black
RoadDog87
[User-Review] Maus & Tastatur von CHERRY im Lesertest - CHERRY XTRFY M64 Pro Wireless & CHERRY XTRFY MX 3.1
Antworten
0
Aufrufe
989
RoadDog87
RoadDog87
M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
4K
mz_z
M
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh