ruud,

probeer eens je firewall zo in te stellen dat alle porten dicht staan en kijk daarna of alles wat je met je pc op internet wil doen nog werkt.

(1)de meeste (personal) firewalls gaan ervanuit dat al het verkeer wat van binnen naar buiten gaat ook weer van buiten naar binnen mag (op basis van ipnr en portnr).

(2) het gaat er bij jou waarschijnlijk om dat je al het verkeer wat van buiten naar binnen (zonder dat er eerst verkeer van binnen naar buiten ging) wil blokeren (door alle porten dicht te zetten).

wanneer je hierna bv een website wil hosten (http port 80) vanaf jou verbinding dan zou je port 80 open moeten zetten zodat er van buiten een verbinding naar je webserver gemaakt kan worden. (2)

NB om te surfen hoef je dus niet port 80 open te zetten, immers jij zet in eerste instantie de verbinding op. (1)


hier heb je nog een overzicht van portnummers:
http://www.iana.org/assignments/port-numbers

succes

RPC is een service dat wordt beheerd door SVCHOST.exe. (te vinden in c:windowssystem32) Als je SVCHOST teveel rechten geeft door 'm bijvoorbeeld onder 'trusted applications' te scharen zorgt dat voor diverse open poorten op je systeem. Bekende services van SVCHOST zijn:

SSDP
UPnP
RPC
DNS

De enige die je hoogtwaarschijnlijk als enige nodig bent op je PC is DNS. Je kunt nu:
- alle SVCHOST-services die je niet nodig hebt blokkeren met je firewall
- de betreffende services uitschakelen via systeembeheer.

Of allebei natuurlijk. :-)

maar als ik port 135 alleen voor outbound open heb staan dan maakt het toch niet uit?
ik heb n.l. zelf tiny pf 4 en die monitored hem wel......maar ik krijg van security sites door dat ie open staat....

iemand hier die mij kan vertellen of dit wat uitmaakt dan?

thanks in advance...

Try setting an "advanced rule" to block Port 135;

1. From Main Screen Select Menu's... {Tools} {Advanced Rules}.
2. Choose "Add" to create a new rule.
3. On General Tab:
Give rule a description
Choose "Block All Traffic"
Choose "Apply to all network interface cards"
Choose to Apply this rule during screen saver mode "Both on and off"
4. On Hosts Tab:
Choose to apply this rule to "All Addresses"
5. On Ports and Protocols tab:
Choose "TCP" as protocol.
Leave Remote port blank.
Type in "135" in the Local Port box.
Choose "Both" for traffic direction.
6. On Scheduling Tab:
Disable scheduling
7. On Applications tab:
Do not check any applications.

*When you have all the settings entered,click "ok" to create the rule.
Then,run the GRC test,and it should show as stealthed.

Sygate also has it own Test feature via the Sygate Toolbar Test button,or thru Tools/Test your firewall

http://www.computing.net/security/wwwboard/forum/3610.html

heb problemen met de RPC mijn

het systeem wordt door NT authority sytem afgesloten omdat de RPC overwachts stopt

hierna moet heel windows opnieuw opstarten... vorige bericht moest worden afgebroken door een uitval. de RPC-service valt onverwachts uit. meer info krijgen we niet.

heb net de hele comp door de virusscan gehaald, kan het dus niet aan liggen. zijn ook fouten (foutmeldingen) opgetreden bij MSN messenger en Generic Host Process for Winn 32

Heb zojuist verscheidene malen hetzelfde meegemaakt. Pc sloot zichzelf af met de medeldeing rpc onverwachts gestopt....
Heb daarna de firewall ingeschakeld en heb tot nu toe geen last meer gehad van dit bericht.

groeten

ps zorg wel eerst dat je geen nternetverbinding hebt ivm met terugkerende bericht

Zie :

http://www.cert.org/advisories/CA-2003-19.html

Auk

Ga naar http://microsoft.com/downloads/details.aspx?displaylang=nl&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074 en download de patch

Groet Rafael

IK heb dit ook "gehad", ik was er zelf al achter gekomen dat wanneer je online kwam dit probleem voorkwam, + wanneer je je firewall aandeed hij het niet meer had, na installatie van de patch werkt het nog wel.... :S

http://isc.sans.org/diary.html?date=2003-08-09

Bedankt voor de info, was al bang dat het aan mijn PC ligt, maar blijkbaar zijn er meer mensen die er vanavond last van hebben.
Zou het aan de nieuwe MSN Messenger 6.0 kunnen liggen ?

zie tcp/135 RPC worm thread..

het gaat loos

wat gaat loos... wij hebben dit probleem ook

Wat er loos gaat ?

Wat dacht je van een port 135 RPC WORM ? Slimme..

W32/Lovsan.worm

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547

Ik ben er nu van overtuigd dat M$ Win2k/XP ernstig hersenletsel veroorzaken..
Hallo ? iemand thuis ?
Sinds 16 Juli!!! Mooi he? Dat Windhose UpShitCreek ?

Dat lusers nog vragen wat er aan de hand is...tsk, je moet toch echt serieus achterlijk zijn om het nog niet meegekregen te hebben.

Is this a worm coming in via mail or is it put on the system via the port 135?

Your system can get compromised both ways either through e-mail or via the ports 135, 138 and 445, TCP and UDP which are therefore suggested to close for incoming traffic from the outside.

More information regarding this issue can be found by using the following links (in English):

W32/Blaster worm
http://www.cert.org/advisories/CA-2003-20.html

Exploitation of Vulnerabilities in Microsoft RPC Interface
http://www.cert.org/advisories/CA-2003-19.html

er zijn treads te lezen op internet, waar instaat dat deze fout door microsoft komt, maar ik geloof dit niet helemaal want, niet IEDEREEN die windows draait heeft er last van... en niet IEDEREEN heeft 6.0 die er WEL last van heeft, wie het weet mag het zeggen, maar wat ik wel weet is dat ik OOK na een nieuwe XP install het nieuwe virus heb wat nu op het nieuws is, de patch kan je http://www.bitdefender.com/download/Antimsblast-EN.exe daar downloaden, en dit virus loopt samen met deze fout, ons virus wat het dus eigenlijk is heeft het nieuws gehaald :), lees hier het verslag van microsoft http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

Okay dan, en nu in het Nederlands?

oke ik heb dit probleem ook maar snap nog steeds nie egg wat ik eraan kan doen? het is dus een virus of worm maar hoe krijg ik hem weg , eventueel zonder virus scanner .

hij valt gewoon uit duss virus scannen heeft geen nut

ik heb panda anti virus titanium

ps deze site is wel top

Mpas quote:
--------------------------------------------------------------------------------
Originally posted by Neorim
--------------------------------------------------------------------------------

Okay dan, en nu in het Nederlands?


--------------------
sry dit was niet voor jouwn postje, maar voor diegene die zei of dit kwam door MSN 6.0, tijdens het maken van mijn post waren er al weer 3 nieuwe :S

Wij ook niet: eieren kun je in de supermarkt halen. Neem scharreleieren, die zijn 'diervriendelijk(er)' verkregen.
Echt wel toppie en vet gaaf gewoon: maar als je de inhoud ook leest zul je daar het antwoord vinden, dat inmiddels tot vervelends toe is herhaald.

Misschien dat die herhalingen een gecombineerd effect hebben met de inherente domheid die WindHose met zich meebrengt ?

Handlers Diary August 11th 2003
Updated August 11th 2003 17:33 EDT
RPC DCOM

This RPC DCOM worm started spreading early afternoon EDT (evening UTC). At this point, it is spreading rapidly.

**********
NOTE: PRELIMINARY. Do not base your incidents response solely on this writeup. **********

Increase in port 135 activity: http://isc.sans.org/images/port135percent.png

Latest update: The worm may launch a syn flood against windowsupdate.com on the 16th. (unconfirmed)

The worm uses the RPC DCOM vulnerability to propagate. One it finds a vulnerable system, it will spawn a shell on port 4444 and use it to download the actual worm via tftp. The exploit itself is very close to 'dcom.c' and so far appears to use the "universal Win2k" offset only.

Infection sequence: 1. SOURCE sends packets to port 135 tcp with variation of dcom.c exploit to TARGET
2. this causes a remote shell on port 4444 at the TARGET
3. the SOURCE now sends the tftp get command to the TARGET, using the shell on port 4444,
4. the target will now connect to the tftp server at the SOURCE.

The name of the binary is msblast.exe. It is packed with UPX and will self extract. The size of the binary is about 11kByte unpacked, and 6kBytes packed:

MD5sum packed: 5ae700c1dffb00cef492844a4db6cd69 (6176 Bytes)

So far we found the following properties:

- Scans sequentially for machines with open port 135, starting at a presumably random IP address
- uses multiple TFTP servers to pull the binary
- adds a registry key to start itself after reboot

Name of registry key:
SOFTWAREMicrosoftWindowsCurrentVersionRun, name: 'windows auto update'

Strings of interest:

msblast.exe
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
windowsupdate.com
start %s
tftp -i %s GET %s
%d.%d.%d.%d
%i.%i.%i.%i
BILLY
windows auto update
SOFTWAREMicrosoftWindowsCurrentVersionRun

Existing RPC DCOM snort signatures will detect this worm. The worm is based on dcom.c

Attention: Are you looking for info about the cause of "Remote Procedure Call (RPC)", initiated by NT AuthoritySystem error message that shuts down Windows (you might also see svchost.exe error occasionally)?

Here is Microsoft's security patch for Windows XP that fixes this dangerous vulnerability allowing anyone to execute any program on your computer across the Internet. Here it is for Windows 2000. If you have a slower connection, you may not be able to download it before your computer shuts down. In this case, look at other options below or use another computer to download it and then copy it over and run on your computer. Here is more info from Microsoft.

Another workaround for this virus is going to Start->Control Panel->Administrative Tools->Services->Remote Procedure Call (RPC)->Recovery Tab and choosing "Take No Action" for all three choices. This disables DCOM RPC.

If you have a problem with Windows shutting down before you can complete these tasks, you'll need to disconnect from the Internet until you have finished.

Another option for more advanced users is:

1. Delete msblast.exe (usually found at c:windowssystem32msblast.exe).
2. Delete the Windows Registry key: "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunwindows auto update" containing "msblast.exe". This is what causes the virus to start on reboot. To edit the Registry, go to Start->Run and put in "regedit".


beter domme vragen stellen dan domme antwoorden geven

Remote Procedure Call _-->http://www.faqs.org/rfcs/rfc1831.html

Als je al door het wormpje besmet bent kun je hem ook handmatig van je systeem af halen.

Geen verbinding met internet maken.

Hij staat in Windows/system32 en in windows/system, hij heet msblast.exe

Als je een op NT gebaseerd syteempje hebt draaien gebruik dan de taskmanager om msblast.exe uit te schakelen. Dan kun je die ook weg gooien.

Direct de prullenbak legen <----------------------------

Win98-Me even CTRL+ALT+DEL en msblast.exe stoppen.
Voor de rest de zelfde porcedure.

PRC uitschakelen (heb je in de meeste gevallen niet nodig) en de patch downloaden bij M$

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Tooltje om hem te verwijderen:
http://www.bitdefender.com/download/Antimsblast-EN.exe

Oh, ja hij komt binnen via poort 135

Groet Remi

Hoi remi,

Kan je enige uitleg geven over RPC? Ik krijg regelmatig een melding waar deze term in gebruikt wordt, vervolgens wordt mijn PC na 60 sec. afgesloten.

Groeten,
Laurens

Geen verbinding met internet maken. Bij XP/NT via services gewoon remote procedure call disabelen. Dus UIT zetten.

Staat meestal onder administrativetools (XP/NT).

Indien de services zijn uitgezet herstarten.

Groet Remi

http://forum.security.nl/showthread.php?threadid=3679

* Is er nu van overtuigd dat Windoze hersenletsel veroorzaakt *

Voor U gevonden via Google.nl door in te typen RPC whatis.

http://whatis.techtarget.com/definition/0,289893,sid9_gci214272,00.html

Remote Procedure Call

Remote Procedure Call (RPC) is a protocol that one program can use to request a service from a program located in another computer in a network without having to understand network details. (A procedure call is also sometimes known as a function call or a subroutine call.) RPC uses the client/server model. The requesting program is a client and the service-providing program is the server. Like a regular or local procedure call, an RPC is a synchronous operation requiring the requesting program to be suspended until the results of the remote procedure are returned. However, the use of lightweight processes or threads that share the same address space allows multiple RPCs to be performed concurrently.
When program statements that use RPC are compiled into an executable program, a stub is included in the compiled code that acts as the representative of the remote procedure code. When the program is run and the procedure call is issued, the stub receives the request and forwards it to a client runtime program in the local computer. The client runtime program has the knowledge of how to address the remote computer and server application and sends the message across the network that requests the remote procedure. Similarly, the server includes a runtime program and stub that interface with the remote procedure itself. Results are returned the same way.

There are several RPC models and implementations. A popular model and implementation is the Open Software Foundation's Distributed Computing Environment (DCE). The Institute of Electrical and Electronics Engineers defines RPC in its ISO Remote Procedure Call Specification, ISO/IEC CD 11578 N6561, ISO/IEC, November 1991.

RPC spans the Transport layer and the Application layer in the Open Systems Interconnection (OSI) model of network communication. RPC makes it easier to develop an application that includes multiple programs distributed in a network.

Alternative methods for client/server communication include message queueing and IBM's Advanced Program-to-Program Communication (APPC).

en hoe sluit ik poort 135 dan bijv met een norton fire wall?

Welke hersenloze oetl*l deze worm de wereld in heeft gebracht is me een raadsel. Kielhalen zo'n zielig figuur... Echt stoer hoor, Microsoft pesten...

Maar goed... nog een tip voor wie 't nog niet door heeft:

Ga effe naar

antivirus.pagina.nl

en kijk bij de diverse info over:

w32.blaster.worm.

Daar staat alles wat je moet weten om 't geheel weer op orde te krijgen...

even melden dat lovsan, het nieuwe virus gebruik maakt van poort 135.

De Symptomen van het virus zijn:

Bij het maken van een verbinding met het internet wordt de pc instabiel en zal proberen om te herstarten.

Na zo'n 5 tal minuten na het maken van de verbinding gebeurt het. Er wordt afgeteld.

In deze tijd dat er afgeteld wordt moet je het volgende doen:
Klik op start, uitvoeren, en typ: shutdown /a
Het herstarten wordt hierdoor geanuleerd.

Om het virus te verwijderen moet je een ingewikkelde procedure volgen die te vinden is op http://www.virusalarm.be of in de bijlage bij dit bericht.

Hansje

Knap hoor, 15 (vijftien) dagen later met een *herhaling* komen van wat er in die 15 (vijftien) dagen oeverloos is herkauwd, en het dan ook nog godbetert als fscking *attachment*. (In MickeySoft vaag-format)

Gefeliciteerd!

DCOM kan de probleem zijn.


Op GRC.com kan je DCOMBOBULATOR of iets dergelijks downen.

Goed lezen want het is eigenlijk nuttige informatie.

Verder hoor jer er vanzelf wel uit te komen.

MVG

TTT

Hallo,
Dit probleem heb ik ook precies het zelfde, wat moet ik hieraan doen ik heb mijn
pc al geformateerd, en toch blijft het probleem zich voordoen ?

Je zou eens kunnen patchen..

Ik heb een probleem!!

pop up van svchost.exe IS DIT EEN VIRUS ofzo??Het is echt heel irritant. Kan niet
vanuit internet kopieren en plakken in word. enz

Mensen worden voorzichtig en terecht, alleen voorzichtig zijn is gewoon niet
genoeg. Neem een firewall (zonealarm kost niets versie!) neem een virusscanner
(een voor niets versie) en UPDATEN!!!!. EN DAT IS NOG NIET GENOEG!!! Maak
je PC schoon, na het surfen je internetrotzooi opruimen(met een voor niets versie
natuurlijk). Xp-Antispy installeren en zo goed als alles aanvinken. Dan kan de
gewone man REDELIJK veilig ineternetten (met de nadruk op redelijk). En wil je
nog veiliger laat dan je computer configureren of ga er iets van leren. Maar ach dit
is al duizend en één keer gezegd......Maar toch, kom uit je luie stoel....

gebruik een goede firewall zonealarm, mcafee, of norton zijn voor mij nu de beste
sygate is een beetje irritant soms

Wat is je vraag?

Als je het scherm van RPC ziet, en dat je pc wordt afgesloten in 60, 59, 58...enz
sec. ga dan naar start--> uitvoeren en tik hier shutdown /a in.
Shutdown is een programmaatje waarmee je de lokale of een andere computer
in een netwerk kunt afsluiten en Blaster maakt hier gebruik van

gewoon DCOM uitzetten ga maar naar GRC

heb problemen met de RPC mijn

het systeem wordt door NT authority sytem afgesloten omdat de RPC
overwachts stopt
Hoe kun je eigenlijk poort 135 blocken?

Ik heb ook windows xp ned. versie, en heb ook het probleem met RPC, computer
start automatisch opnieuw. Ik heb de stukjes hierboven gelezen maar wordt er
niet echt wijzer van. WAT MOET IK DOEN??

Lees dit ff door:

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547

Verwijdertooltje draaien, patchen en hupsakee.

start run shutdown /a
ga dan op internet op zoek naar een removal tool voor blaster via google.
popt het RPC scherm ondertussen weer op:
shutdown /a weer intikken!

dcom uitzetten

Waarom al dat gemopper heen en weer.
De computergebruiker die initieel de vraag stelde wilt gewoon worden geholpen.
Ik zelf gebruik Outpost Free v1.0 en Pro v2.1. Deze blokkeren 'by design' poort 135.
Patches van Microsoft waren in dit geval dus geen directe noodzaak.
Sygate PF heeft een geheel andere aanpak en je kan niet van iedereen
verwachten dat hij/zij direct weet hoe om te gaan met de afhandeling van 'rules'.
Hier geldt echter wel: lees de handleiding.

Advies: help zo'n persoon met gedegen richtlijnen en basis-adviezen.
Begin niet met: "deze applikatie is beter/slechter". Geef de verschillen aan en laat
de ander voor zichzelf uitmaken wat 'ie wilt gebruiken.
Er is genoeg in de Freeware-catagorie te vinden maar alleen door te proberen
vindt je de tool die aan je wensen voldoet.

ik heb probleem met remote call procedure wie kan mij daar mee helpen heb
tiscali internet kan wel internet op maar dan na 5 minuten valt die in de storing
ben geen ervaren gebruiker dus als iemand mij stap voor stap kan uitleggen wat
ik moet doen dan ben ik zeer blij

Hier KEESKE,

ik had ook zware problemen met de RCP foutmelding en na 60 sec eruit !!!!
Doe dit:
Start -> configuratiescherm -> systeembeheer -> services -> remote call
procedure (aanklikken) -> systeemherstel -> bij de 3 opties 1e fout en 2e fout en
volgende fouten neem je 'Geen actie ondernemen'

Groeten,
Keeske vanuit Belgisch Limburg

RPC probleem, nu 2 weken lang. Ik heb ALLLES gedaan, alle tooltjes
firewalletjes enzo geprobeerd. Heb fdisk /mbr gedaan, geformatteerd, win xp
nl pro terug geinstalleerd (schone cd) zelfde probleem. win 2000 geprobeerd
na formatteren. MBR gecheckt met opstartcd van virusscanner. niks
gevonden. Blaster removal tool geprobeerd : niks gevonden. maar die *#*$#
RPC BLIJFT. Ik wordt gek. ik smijt de hdd bijna de deur uit als ik niet beter
wist: alle virussen of wat dan ook kunnen verwijderd worden. Of zou diezich in
de BIOS hebben genesteld. of komt dat ding uit de lucht weer binnen
vliegen? ;) plz help

Hallo RPC-probleem,

Poort 135 zal op door het OS altijd open worden gezet. Echter, als je de firewall
goed hebt geconfigureerd zal deze het verkeer van buitenaf op de betreffende
poort tegenhouden. Zoals ik je al eerder meldde houdt Outpost het al 'by design'
tegen. Mocht je Outpost installeren en proberen, verwijder dan eerst de andere
firewall (Outpost tolereert geen andere firewall omdat het systeem instabiel kan
worden, wat niet zo verwonderlijk is als je nagaat op welk niveau een firewall
werkzaam is). Mocht er iemand/iets pogen naar je pc, dan zal Outpost dit
weergeven in de Atack Detection. Je kan dat controleren door na installatie van
Outpost en herstart van je pc het icoontje op de icon-tray te 'dubbelklikken'. Klik
vervolgens in het linker gedeelte onder Plug-ins op Attack Detection.
Recentelijk (februari) maakte een virus gebruik van deze poort.
Overigens: geef de hoop niet op en gooi helemaal geen spullen de deur uit. Als je
de beveiligingssoftware die aan je wensen voldoet hebt gevonden, begin dan met
een schone lei en noteer stap voor stap wat je aanpast. Controleer de gewijzigde
functionaliteit en zorg voor een goede weg terug. Dit kost een helebooel tijd en de
nodige frustraties maar loont zich op langere termijn.
Ook voor de 'minder' deskundigen en niet-'specialisten' moet er vreugde zijn in het
computergebruik; laat de je dus niet beïnvloeden door al die wijsneuzen.

succes

Een onbeschermde PC vers geinstalleerd met Windows XP is binnen 5 minuten
geinfecteerd met Blaster. Zo kan het dus voorkomen dat je aan het Windows
Update'n bent en ondertussen geinfecteerd raakt. Zet in ieder geval de
ingebouwde firewall van XP aan VOORDAT je online gaat. Het is misschien niet
zo'n beste firewall maar het helpt wel.

ik ben van oorsprong win2k gebruiker en alles loopt hier gesmeerd maar wat ik
gisteren meemaakte sloeg de pannen van het dak
mijn neefje heeft pc met xp erop, problemen genoeg, de ene foutmelding na de
andere, ik ben dus noop met winXP maar wou hem toch even helpen want hij
kreeg zijn modem niet geinstalled
dus ik pc mee naar huis genomen alles opgezocht op mijn goede pc en
probleem gevonden
dan heb ik zijn pc geinstalled en modem geinstaleerd
was nogmaar 2 min. op het net en had al 2 virus meldingen
maar dat was nog niet alles , enkele minutjes later begon het nog maar pas erg
te worden
de ene RPC na de andere en het is kloten als je dan geen goede pc in de buurt
hebt
maar gelukkig had ik die met win2k erop
DUS IK HOOP DAT IK VIA DEZE SITE ZIJN PROBLEEM KAN OPLOSSEN
en ik , ik blijf bij mijn WIN2K

Greets from WIN2K user

Ga naar http://www.grc.com download via de free stuff de "DCOMbobulator "activeer
hem en je zullt zien als je nog eens een port scan doet dat poort 135 onzichtbaar
is, via gcr kun je ook een poortscan doen. Er staan trouwens nog meer zeer
interesante downloads. succes. Anoniempje F.

Hoi allemaal ik heb een grote probleem en weet dus niet hoe ik het moet
verhelpen .ik heb alles geprobeerd om BLOODHOUND virus te verwijder maar
niks heeft een resultat geleverd ik heb : gescand met norton antivirus 2004 hij
vind hem wel maar kan hem niet verijderen , ik heb een systeem herstel gedaan
lukt ook niet ik word er gek van.Kan er iemand mij graag zeggen hoe ik de BLOOD
HOUND virus kan verwijder van me pc, maar die virus is dus niet te verwijder kan
please iemand me hierbij helpen.


alvast bedankt

Als je een router hebt moet je ff naar de url daarvan gaan, dan even handmatig
hem sluiten of onzichtbaar maken. in een router komen vrijwel geen virussen :D
Dat is wel fijn voor mij in ieder geval :D

manan mana doe het niet sal ik 12 bellen

http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.html

Capricornus

Ga naar http://www.grc.com download via de free stuff de
"DCOMbobulator "activeer
hem en je zullt zien als je nog eens een port scan doet dat
poort 135 onzichtbaar
is, via gcr kun je ook een poortscan doen.

Uitstekende tip! Dank je wel
Capricornus

Deze topic is van begin deze eeuw!!

Gerard

Een worm heeft dit gedaan! Sluiten die browser. Tot morgen.
Capricornus.