Avatar billede djdark Nybegynder
30. januar 2004 - 14:08 Der er 25 kommentarer og
1 løsning

"Remote Procedure Call (RPC)"

Hejsa Eksperter

Jeg skal ud og kigge på en comp på mandag hvor denne meddelse kommer når den lukker ned "Remote Procedure Call (RPC)", initiated by NT Authority\System error message that shuts down Windows

Har fået læst så meget at det er msblast at der har været i den men nu har han prøvet at formatere og geninstallere 5 gange men det er stadig samme resultat er der nogen af jer der har en løsning på problemet

På for hånd tak
Avatar billede simonvalter Praktikant
30. januar 2004 - 14:14 #1
ja .. det hjælper ikke at formatere! Du skal lukke hullet, og derefter fjerne den.

kig engang i nogen af de gamle spørgsmål.
http://www.eksperten.dk/list.phtml?&method=and&excerpt_on=1&find=ms+blaster
Avatar billede snowcat Nybegynder
30. januar 2004 - 14:15 #2
Det der kan være, det er at hvergang han er online så får han straks blaster igennem en af de huller der er i Windows, derfor opdater dit Windows og sæt firewall på, du kan eventuelt læse mere på www.virus112.dk - :o)

Håber det var svar nok :o)
Avatar billede arlet Juniormester
30. januar 2004 - 14:18 #3
Du har fået besøg af blaster ormen eller en variant

1. Klik start og klik kør
2. Skriv i feltet : shutdown -a

så genstarter den ikke mere

luk først Dcom http://grc.com/files/DCOMbob.exe
Kør det, tryk på fanebladet "DCOMbobulate me" tryk på "Disable DCOM" og genstart
læs mere om dcom her : http://www.spywarefri.dk/tipsogtricks.htm#DCom


Windows har nogle huller, som blaster og andre vira angriber igennem,
de kan lukkes ved alle opdateringerne fra windows update:

Hent dem herfra : http://v4.windowsupdate.microsoft.com/da/default.asp


Så er der lukket af for yderligere angreb af blasterormen,


Prøv først at slette blasterormen med det nye blasterfix fra microsoft http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf , hvis det ikke finder den, så må vi ty til hijackthis.

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...

Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm
Avatar billede simonvalter Praktikant
30. januar 2004 - 14:21 #4
jeg ville gøre
1. & 2. og hoppe direkte til windows update.
og så køre http://vil.nai.com/vil/stinger/ for at se om den er kommet ind.

jeg tvivler på der er nogen grund til at gå igang med hijackthis på et nyformateret system... og jo lukke for dcom kan du da godt hvis du ikke bruger den .. men det er ikke nødvendigt for at holde ms blaster ude.
Avatar billede ird Praktikant
30. januar 2004 - 14:53 #5
Enig med loadet! En ny formateret maskine kræver ikke tjek af logfil
Damn hvor er det ensformigt at se det samme smidt igen og igen fra arlet!
Hele universet gåde kan ikke løses med det hijackthis!!
Avatar billede arlet Juniormester
30. januar 2004 - 15:02 #6
loadet og ird -> Hvis i læste hvad jeg skrev...

Først sørge for at den ikke genstarter, så hent alt fra windows update.

Så er der lukket af for flere angreb.

Så kører man det nye blasterfix fra microsoft, HVIS det ikke fjerner blasterormen, så må man ty til hijackthis
Avatar billede simonvalter Praktikant
30. januar 2004 - 15:15 #7
" hvis det ikke finder den, så må vi ty til hijackthis " .. det er meget godt, men nu er det altså sådan at selv om din maskine har genstartet de første 200 gange betyder det ikke at ms blaster er kommet ind på den, selv om blaster fejler så genstarter maskinen.
og finder brugeren ikke noget så går han jo igang med hijackthis.... hvilket måske ikke er nødvendigt.
jeg har det sådan her .. keep it simple, tag det som det kommer, istedet for at vælte informationer ned over brugeren der måske forvirer mere end de gavner.
Avatar billede arlet Juniormester
30. januar 2004 - 15:20 #8
Nu går jeg ud fra at spørgeren vil have så mange forslag som muligt, til at tage med, når han skal ud og rense computeren på mandag. Derfor..
Avatar billede simonvalter Praktikant
30. januar 2004 - 15:37 #9
fint nok, jeg mener bare jeg har ret til at sige hvordan min fremgangsmåde ville være, det skulle ikke være opfattet som kritik.

hvis det iøvrigt er noget han tager med sig, og ikke har mulighed for at vende til bage til spm med evt kommentarer for at få yderligere support så får han jo heller ikke meget ud af hijackthis ;)
Avatar billede ird Praktikant
30. januar 2004 - 15:39 #10
Nej men arlet tror alt skyldes virus og han kan redde jorden med den hijackthis!
Kan se på hans karma folk er ved at få øjnene op :)
Klart du må komme med din holdning loadet :)

Undskyld for spam opretter
Avatar billede arlet Juniormester
30. januar 2004 - 15:44 #11
loadet -> Selvfølgelig må du det. og om du kører det nye blasterfix eller stinger, går ud på et. Jeg har taget hjt vejledningen med som sidste løsning, da vi har været ude for en del gange at hverken stinger eller blasterfixet finder blasteren.

Som sagt, har du lov at komme med din fremgangsmåde, men så har jeg vel også til at komme med min*S*
Avatar billede djdark Nybegynder
30. januar 2004 - 17:18 #12
Såså rolig drenge ;)

Jeg tror ihvertfald jeg har det jeg skal bruge for at få renset ud i den comp på mandag... Men grunden til jeg spurgte var fordi jeg troede at virusen var ude af systemet når man først havde geninstalleret compen... meeen den er sq mere snu end det kan jeg jo læse på det hele :D
Avatar billede arlet Juniormester
30. januar 2004 - 18:08 #13
Hvis det er blaster virussen, så er den væk i det øjeblik du formaterer.

Hvis du skal slippe for blaster ormen efter formatering, så skal du have hentet service pack 1 og enten have lagt på dit d-drev, eller brændt ned på en cd-rom. Så formater du og indstaller service pack 1 inden du går på nettet. så kan du i ro og mag hente alle de andre opdateringer til windows og IE, uden af få besøg af den igen
Avatar billede djdark Nybegynder
02. februar 2004 - 12:43 #14
Nu sidder jeg ved compen og han har kørt en virus scan hvor den fandt 5 worms og kunne kun slette de 3 af dem derfor har jeg prøvet med hijackthis så her er loggen :

Logfile of HijackThis v1.97.7
Scan saved at 12:42:38, on 02-02-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Download\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38016.1378009259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede arlet Juniormester
02. februar 2004 - 12:45 #15
kigger den lige igennem
Avatar billede djdark Nybegynder
02. februar 2004 - 12:48 #16
Bare iorden
Avatar billede arlet Juniormester
02. februar 2004 - 12:50 #17
Der var ikke noget snavs, bare noget der sløver maskinen lidt:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

genstart.

Nu du har din systemgendannelse deaktiveret , så kør et scan med stinger http://vil.nai.com/vil/stinger/

finder den noget??
Avatar billede djdark Nybegynder
02. februar 2004 - 13:05 #18
Finder ikke noget
Avatar billede arlet Juniormester
02. februar 2004 - 13:09 #19
Du skriver at du kørte et virus scan og den ikke kunne slette dem, den fandt. Hvilke virusprogram brugte du??
Avatar billede djdark Nybegynder
02. februar 2004 - 13:12 #20
www.antivirus.dk panda antivirus
Avatar billede arlet Juniormester
02. februar 2004 - 13:14 #21
prøv, men du har deaktiveret systemgendannelse at køre et scan med panda
Avatar billede djdark Nybegynder
02. februar 2004 - 13:16 #22
Den er deaktiveret.... Men den finder ikke noget mere har lige kørt den igen... Men tror du så den er helt ude af systemet?
Avatar billede arlet Juniormester
02. februar 2004 - 13:19 #23
Ja, hvis der ikke er mere i loggen og stinger og panda ikke finder noget, så har du ikke mere, det er sikkert.

Du er clean og kan aktiver din systemgendannelse igen


For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm
Avatar billede djdark Nybegynder
02. februar 2004 - 13:26 #24
Jamen så takker jeg mange gange tak for hjælpen
Avatar billede djdark Nybegynder
02. februar 2004 - 13:26 #25
Damn skrive kan jeg da ikke lige i øjeblikket heh
Avatar billede arlet Juniormester
02. februar 2004 - 13:27 #26
Velbekommen
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester