Forum CDRinfo.pl

Forum CDRinfo.pl (https://forum.cdrinfo.pl/)

- Off topic (https://forum.cdrinfo.pl/f5/)

- - Rpc (https://forum.cdrinfo.pl/f5/rpc-24365/)

Witam siedze na DC i ktos pyta o RPC za chwile mi się to samo przydarza, czy ktoś mógł mi coś podesłać? Pokazuje się okno z komunikatem: Trwa zam. systemu zapisz....... zamknięcie zostalo zainicjowane przez zarządzanie NT/System. System Win. musi bć ponownie uruchoimiony ponieważ usługa zdalna wywołania procedur RPC

po skanowanie antyvirusem to znalazłem. Pomocy.

to samo w watku troche nizej :blee: -> http://forum.cdrinfo.pl/showthread.p...threadid=24364
i do tego jeszcze moj kumpel z sieci to ma :o
to juz 3 osoby dzisaj :-o

Cytat:

Y@nkee_PL napisa***322;(a)
to samo w watku troche nizej :blee: -> http://forum.cdrinfo.pl/showthread.p...threadid=24364
i do tego jeszcze moj kumpel z sieci to ma :o
to juz 3 osoby dzisaj :-o

Co to może być ja załapałem to siedząc na DC, gostek się pytał i za chwile mi wyskoczyło co ciekawe w systemie znalazłem coś takiego : msblast.exe, jestem pewien, że wcześniej tego nie miąłem bo gostek co to miał na DC prosił żebym sprawdził u siebie w systemie i nie miałem a po ok 5 min. masz i ja mam. Użyłem jv16 Power Tools i w autostarcie siedziało właśnie mblast.exe- Windows Update??? co to do diabła jest? Na bank siedzi w autostarcie i po wyłączeniu komp chodzi OK, pojawił się komunikat, że system odzyskał sprawność po poważnej awarii tylko jakiej???

Miałem to samo dzisiaj 3 razy, pojawiło się po kilkutygodniowej nieprzerwanej pracy systemu (nic nie robiłem, nic nie instalowałem). Zrestartowałem więc system, ale po kilku minutach znowu ten błąd. Pomyślałem sobie, że ktoś tu się próbuje zabawić moim kosztem i zainstalowałem Norton Antyvirus 2003, uaktualniłem bazy wirusów i wykryto "Backdoor.Sdbot" w dwóch plikach: \windows\system\netd32.exe oraz iwuachz.exe w katalogu temp. Po wyleczeniu plików miałem może godzinę przerwy, myślałem że jest po wszystkim, aż tu znowu to samo. Nigdy wcześniej mi się nie zdarzyło, żeby usługa zdalnego wywoływania procedur została wyłączona samoczynnie. Przeskanuję jeszcze raz system antywirusem, a jeżeli to nie pomoże to będę musiał reinstalować winde, bo nie mogę sobie pozwolić na restarty w losowych momentach.

Cytat:

ZiP napisa***322;(a)
Miałem to samo dzisiaj 3 razy, pojawiło się po kilkutygodniowej nieprzerwanej pracy systemu (nic nie robiłem, nic nie instalowałem). Zrestartowałem więc system, ale po kilku minutach znowu ten błąd. Pomyślałem sobie, że ktoś tu się próbuje zabawić moim kosztem i zainstalowałem Norton Antyvirus 2003, uaktualniłem bazy wirusów i wykryto "Backdoor.Sdbot" w dwóch plikach: \windows\system\netd32.exe oraz iwuachz.exe w katalogu temp. Po wyleczeniu plików miałem może godzinę przerwy, myślałem że jest po wszystkim, aż tu znowu to samo. Nigdy wcześniej mi się nie zdarzyło, żeby usługa zdalnego wywoływania procedur została wyłączona samoczynnie. Przeskanuję jeszcze raz system antywirusem, a jeżeli to nie pomoże to będę musiał reinstalować winde, bo nie mogę sobie pozwolić na restarty w losowych momentach.

Miałeś msblast.exe?
Bo ja zrobiłem tak: pchał sie do autostartu, więc go odłączyłem znalazłem tą aplikacje w windows\system 32 i poprostu ją usunąłem, nie wiem czy dobrze zrobiłem, ale narazie działa ok 20 min, a tak restart co 3-4min.

Cytat:

tomall0 napisał(a):
Co to może być ja załapałem to siedząc na DC, gostek się pytał i za chwile mi wyskoczyło co ciekawe w systemie znalazłem coś takiego : msblast.exe, jestem pewien, że wcześniej tego nie miąłem bo gostek co to miał na DC prosił żebym sprawdził u siebie w systemie i nie miałem a po ok 5 min. masz i ja mam. Użyłem jv16 Power Tools i w autostarcie siedziało właśnie mblast.exe- Windows Update??? co to do diabła jest? Na bank siedzi w autostarcie i po wyłączeniu komp chodzi OK, pojawił się komunikat, że system odzyskał sprawność po poważnej awarii tylko jakiej???

u mnie tez ten problem zaczął występować po tym jak uruchomiłem DC

tylko u mnie zadnego pliku mblast.exe nie ma :|

Cytat:

tomall0 napisa***322;(a)
Miałeś msblast.exe?
Bo ja zrobiłem tak: pchał sie do autostartu, więc go odłączyłem znalazłem tą aplikacje w windows\system 32 i poprostu ją usunąłem, nie wiem czy dobrze zrobiłem, ale narazie działa ok 20 min, a tak restart co 3-4min.

Nie, nie miałem nic w autostarcie. Jedynie ten wirus w tych dwóch plikach. Miałeś też tego samego wirusa?

Od tamtego czasu sytuacja powtórzyła się dwukrotnie. Skan antywirusem nie wykazał zainfekowanych plików, więc zaczynam wątpić, żeby miało to jakikolwiek związek ze zdalnym wywoływaniem procedur.

Zaraz sie wkurze i postawie nowy system, najlepiej win2003 :glaszcze:

Acha, i nie korzystam z DC, dla mnie tylko eMule.

Proponuję wejść na strone http://securityresponse.symantec.com...tent/8205.html. Jest to najwyraźniej bug systemowy WSZYSTKICH wersji Windows opartych na NT. To jest właśnie ten bug, patche są na tejże stronie, w moim przypadku pomogło.

Description

A buffer overrun vulnerability has been reported in Microsoft Windows that can be exploited remotely via a DCOM RPC interface that listens on TCP/UDP port 135. The issue is due to insufficient bounds checking of client DCOM object activation requests. Exploitation of this issue could result in execution of malicious instructions with Local System privileges on an affected system.

This issue may be exposed on other ports that the RPC Endpoint Mapper listens on, such as TCP ports 139, 135, 445 and 593. This has not been confirmed. Under some configurations the Endpoint Mapper may receive traffic via port 80.

Update
7-31-2003: Although spikes in activity have been reported during the past five days, the majority of this scanning activity appears to be isolated to a small number of hosts. Exploit development is continuing, but at this time there is no evidence that successful worms have been developed. Although the level of activity on this port has been climbing steadily since the announcement of the vulnerability a few weeks ago, organizations that have robust filtering, and frequent patch auditing should be relatively safe.

[...]

Recommendations
Block external access at the network boundary, unless service is required by external parties.
Hosts that can send malicious traffic to TCP port 135 can exploit this issue. External access to this port should be filtered at network perimeters. Permit access for trusted or internal hosts and networks only.

Microsoft has released patches to address this issue:
(to jest patch do XP Home oraz Pro SP1 PL, do pozostałych systemów szukać na podanej stronie)
http://microsoft.com/downloads/detai...displaylang=pl

Proponuje zainstalowac jakiegos firewalla i odmawiac polaczen z portem z wlasnie tym RPC, wyczytalem to na jakiejs stronie.

Cytat:

Od kilku dni niezwykle popularne stało się zdalne resetowanie lub wyłączanie komputerów nieświadomym niczego użytkownikom systemów Windows. Zjawisko to swoją powszechnością zaczyna przypominać już osławionego WinNuke'a. Efekt wykorzystania narzędzia eksploatującego problem dotyczący implementacji RPC to niemożliwe do zamknięcia okno informujące użytkownika o tym, że za 60 sekund nastąpi wyłączenie systemu. Metoda zabezpieczenia się jest bardzo prosta, wystarczy zainstalować łatki z biuletynu bezpieczeństwa MS03-026 (o czym informowaliśmy już w poprzednim miesiącu). Rozpoczęte przez robaka msblast.exe odliczanie można zatrzymać uruchamiając z poziomu wiersza poleceń komendę shutdown -a. Odkrycie błędu w RPC odpowiedzialnego za całe zamieszanie zawdzięczamy polskiej grupie The LSD...

Cytat z Jamy Mastaha .

podobno prog zawiera taki text
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!(w sam raz na sygnaturke)

a tu szczegoly
C:\WINDOWS\SYSTEM32\msblast.exe(wasz winowajca killowac i wywalic)
http://securityresponse.symantec.com...ster.worm.html

info z forum.tweak.pl

ms tez jakas "poprawke" zafundowal :)