Win XP Service Pack 2

[CRAIK]

Hm, also ich kann ja froh sein, dass hier der Mozilla Firefox Browser wenigstens noch funktioniert! Ansonsten stürzen wirklich hier fast alle Programme ab! Ein Image hab ich nicht gemacht (was ist damit überhaupt eigentlich gemeint? Eine CD mit allen installierten Programmen?). Ich habe lediglich einen Wiederherstellungspunkt gesetzt! Das ganze funktioniert wie gesagt leider nicht! Ich werd mich jetzt mal dranmachen das SP2 über Software zu deinstallieren! Ich hoffe mal dass das klappt! Ach, 1 Frage noch, falls das nicht klappt und ich Windows neu aufspielen muss: Mein System ist in 3 Laufwerken (Oder Festplatten? Sorry keine Ahnung davon...) aufgeteilt: Einmal Laufwerk C: (BOOT), Laufwerk D: (BACKUP) und Laufwerk E: (RECOVER). Im LAufwerk D (Backup) befinden sich alle Daten, die bei Auslieferung des PC's enthalten waren. Kann man also nicht vorher alle möglichen Programme, die man braucht auf dieses Laufwerk kopieren und das System erst dann aufspielen?

[Cali]

genauso kannst du es machen.
Falls du neuinstallieren mußt, dann mußt du nur C:\ platt machen,
alle Daten auf D: und anderen PArtitionen bleibt erhalten (wenn du keinen Fehler machst )


Ein Image ist praktisch eine Kopie eines kompletten Systems (ein eingefrorenes Bild)

Das mach ich einmal im Monat und brenn es auf CD RW,

sollte mein System kaputt gehen kann ich innerhalb von nichtmal 10 Minuten den PC wieder perfekt herstellen (also ähnlich wie der Systemwiederherstellungsscheiß bei Windows, nur dass ein Image immer funktioniert )

[CRAIK]

Funktioniert jetzt wieder alles - hab SP2 deinstalliert. Hat gefunzt! Anscheinend läuft das SP2 wohl nicht auf meinem PC - warum auch immer....

[Daft]

Tja, da kündigt Microsoft groß an alle erdenklichen Sicherheitslücken mit SP2 zu schließen. Besonders der Internet Explorer war ja bisher besonders anfällig. Aber wenn ich das so lese:

Bei folgenden Programen bekomme ich jetzt die schöne Windows Fehlermeldung "xxx hat ein Problem festgestellt und muss beendet werden.":

- Internet Explorer
.
.
.

Da wird mir langsam klar wie sie das Problem in den Griff bekommen wollen. Wer ihn nicht benutzen kann, hat natürlich auch kein Risiko. Einfach komplett den IE deaktivieren, fein Microsoft, damit wären dann ja tatsächlich alle Sicherheitslücken gestopft.

[Minto]

Leider nicht - Blaster und Sasser zB haben auch ohne IE prima funktioniert.

[Cali]

ja leider, da im Betriebssystem selbst einige Lücken waren, aber die gibts in jeder Software, da kann man Microsoft keinen Vorwurf machen ausser vielleicht, dass die Patches immer ziemlich lange brauchen.

Zum Thema Images:

Norton Ghost
Acronis True Image
Drive Image


Gibt leider keine zuverlässige Freeware, aber die drei Programme gibts regelmäßig gratis in älteren Versionen als Beilage in PC Magazinen

oder saubillig bei Ebay:

http://search.ebay.de/norton-ghost



Es ist im Prinzip ganz simpel.
Mit diesem Image Tool erstellt man sich zwei Startdisketten oder eine CD,
damit startet man den PC neu unter DOS und kann dann einfach eine Partition auswählen und von dieser eine Kopie (also z.B. die WindowsPartition) erstellen.

Dieses Image kopiert man einfach auf eine der anderen Partitionen (direkt brennen geht bei der neuen Software auch, ist aber nicht so wichtig, da man das File dann auch hinterher noch brennen kann)

[smashIt]

hab letztens gemerkt das man mit nero auch images von partitionen erstelln und brennen kann. hab aber ka wie man die dann zurückspielt.

und wegen patch: ich glaub das sasser-loch war bereits über n monat VOR erscheinen des wurms gestopft. es warn blos alle zu faul den patch zu installiern.

[Ricao]

Leider nicht - Blaster und Sasser zB haben auch ohne IE prima funktioniert.

Blaster nutzt TFTP - "Trivial File Transfer Protocol", was in XP als "TFTP.exe" heisst. Wenn ihr den Blaster XP Patch nicht habt, achtet mal auf eure Prozesse . Win98 ist sicher, da kein TFTP!
Wenn Blaster euch runterfahren will:
In der Eingabeaufforderung shutdown /a oder shutdown -a eingeben.

Und dieser "XXX hat ein problem festgestellt und muss beendet werden."
Dialog kann man auch abschalten.
Arbeitsplatz ->Rechtsklick ->Eigenschaften.
oder Systemsteuerung -> System.
Jetzt muss man nach "Fehlerberichterstattung" suchen und dort alle Haken entfernen.

Ich benutz kein XP mehr:
2 GB allein für den Windowsordner, !
Ich (Dual-Boot-System) boote jetzt mal XP
und mach (vielleicht) n Tuning-Topic auf.

<EDIT>: Never change a working system!

[Minto]

und wegen patch: ich glaub das sasser-loch war bereits über n monat VOR erscheinen des wurms gestopft. es warn blos alle zu faul den patch zu installiern.

Ja, war es, ebenso wie bei Blaster. Programme wie XP Antispy, die erstmal lustig das Autoupdate deaktivieren, taten zusammen mit dem Desinteresse der Nutzer ein Ãœbriges dazu, dass Blaster funktioniert hat. Traurig ist, dass sich EXAKT DAS GLEICHE SPIEL mit Sasser wiederholt hat.
You guess they'd learn...

Blaster nutzt TFTP - "Trivial File Transfer Protocol", was in XP als "TFTP.exe" heisst. Wenn ihr den Blaster XP Patch nicht habt, achtet mal auf eure Prozesse . Win98 ist sicher, da kein TFTP!

Quark. Blaster nutzt im häufigsten Fall eine Sicherheitslücke im RPC-Dienst von Windows NT seit einschließlich Version 4.0 aus - somit sind die alten, DOS-basierten Windowse, die keinen NT4-basierten RPC haben, natürlich nicht betroffen. TFTP läuft auf Windows XP und 2000 standardmäßig nichtmal und ist somit relativ irrelevant für die Verbreitung von Blaster.
Der RPC-Dienst dagegen ist sehr wohl relevant und durchaus nützlich - RPC, Remote Procedure Call, ist ein für die Kommunikation zwischen Programmen sowohl lokal als auch über Netzwerke verwendetes Verfahren. Durch einen Bug im RPC-Dienst ist es unter ungepatchten NT-Systemen möglich, den RPC-Dienst zum Absturz zu bringen (was auch der Grund ist, wieso Rechner bei einem Infektionsversuch neu starten - NT bemerkt, dass ein wichtiger Dienst abgeschmiert ist und startet deshalb den Rechner neu) und eigenen Programmcode ins System einzuschleusen - dies ist genau das, was Blaster tut.
Der eigene Code bei Blaster ist an sich sogar relativ harmlos - er tut nichts anderes, als zufällig generierte IP-Adressen über die exakt gleiche Sicherheitslücke anzugreifen (sprich, sich selbst zu verbreiten) und an einem vorgegebenen Datum zu versuchen, eine Anfrage an die (damalige) Webseite von SCO zu schicken. Wenn das ein paar hunderttausend Rechner auf einmal tun, wäre der Server, auf dem die Seite liegt, natürlich ruck-zuck überlastet gewesen. Die Lücke könnte natürlich auch bösartiger ausgenutzt werden, aber weder Blaster noch Sasser haben "richtige" Schadroutinen außer der Infektion.

Sasser nutzt eine Lücke aus, die prinzipiell genau gleich funktioniert wie die bei Blaster, nur dass sie in einem anderen Dienst steckt - dem Local Security Authority Service (LSASS - fragt mich nicht, woher das zweite S am Ende kommt). Der LSASS ist grundsätzlich mal dafür da, die Gültigkeit von Benutzerlogins zu überprüfen und somit auf NT-Systemen, die für Mehrbenutzerbetrieb ausgelegt sind, standardmäßig aktiv und ebenfalls durchaus wichtig. Auch hier zeigt sich deshalb das gleiche Verhalten mit dem System, das sich selbst neu startet, weil ein wichtiger Dienst abgestürzt ist.

Informationen zum LSASS und zu RPC

[Ricao]

Blaster überträgt sich per TFTP.
Ich werds ja wohl wissen, bin "Infect-Zeuge".

PS: DDoS, ich weiss.

TFTP läuft auf Windows XP und 2000 standardmäßig nichtmal und ist somit relativ irrelevant für die Verbreitung von Blaster.

Sicher? Selbst getestet?

Holt euch statt dem Update ne richtige Firewall.
So ändert ihr den Core nicht und könnt bei Bedarf die Wall runterschmeissen.