Atak RPC DCOM
Scan w trybie awaryjnym przez program Nod32 nie odnalazł źadnych wirusów.
Mój niepokój budzi fakt, źe od tygodnia nasiliły się ataki RPC DCOM,dłuźej ładuje się Win.Program Outpost Firewall jest od tego by bronić komputer od takich ataków i chyba to robi, jeźeli nie to proszę wyprowadzić mnie z błędu.Czy tak częste ataki na mój komputer (6,7 na godzine)nie zagraźają bezpieczeństwu mojego komputera.Przesyłam log :
Logfile of HijackThis v1.99.1
Scan saved at 22:40:57, on 2005–12–21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\eMule\eMule.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Jakub\USTAWI~1\Temp\Rar$EX00.672\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O4 – HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 – HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 – HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 – HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 – HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 – HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 – HKLM\..\Run: [KonektorTP] "c:\program files\konektortp\konektortp.exe" tray
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 – HKLM\..\Run: [ODK_Mon] C:\Program Files\Odkurzacz 9.0 Pro\odk_mon.exe
O4 – HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe /waitservice
O4 – HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 – HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" –osboot
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\AGNITUM\OUTPOS~1\feedback.exe /dump:os_startup
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 – Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 – Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 – Global Startup: NOD32 FiX.lnk = C:\WINDOWS\system32\regedt32.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 – Extra context menu item: Otwórz w Firefoksie – file://C:\Documents and Settings\Jakub\Dane aplikacji\Mozilla\Firefox\Profiles\valhqduu.default\extensions\{5D558C43–550F–4b12–84AB–0D8ABDA9F975}\firefoxviewlink.html
O8 – Extra context menu item: Zobacz te strone w Firefoksie – file://C:\Documents and Settings\Jakub\Dane aplikacji\Mozilla\Firefox\Profiles\valhqduu.default\extensions\{5D558C43–550F–4b12–84AB–0D8ABDA9F975}\firefoxviewpage.html
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 – Extra button: Szybkie dostosowywanie programu Outpost Firewall Pro – {44627E97–789B–40d4–B5C2–58BD171129A1} – C:\PROGRA~1\AGNITUM\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O17 – HKLM\System\CCS\Services\Tcpip\..\{321D05BC–EA9E–4ECB–9957–06C92F01577F}: NameServer = 194.204.152.34 217.98.63.164
O20 – AppInit_DLLs: C:\PROGRA~1\AGNITUM\OUTPOS~1\wl_hook.dll
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 – Service: InCD File System Service (InCDsrv) – Unknown owner – C:\Program Files\Ahead\InCD\InCDsrv.exe (file missing)
O23 – Service: NOD32 Kernel Service (NOD32krn) – Eset – C:\Program Files\Eset\nod32krn.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: Outpost Firewall Service (OutpostFirewall) – Agnitum Ltd. – C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
Mój niepokój budzi fakt, źe od tygodnia nasiliły się ataki RPC DCOM,dłuźej ładuje się Win.Program Outpost Firewall jest od tego by bronić komputer od takich ataków i chyba to robi, jeźeli nie to proszę wyprowadzić mnie z błędu.Czy tak częste ataki na mój komputer (6,7 na godzine)nie zagraźają bezpieczeństwu mojego komputera.Przesyłam log :
Logfile of HijackThis v1.99.1
Scan saved at 22:40:57, on 2005–12–21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\eMule\eMule.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Jakub\USTAWI~1\Temp\Rar$EX00.672\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 – HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O4 – HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 – HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 – HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 – HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 – HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 – HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 – HKLM\..\Run: [KonektorTP] "c:\program files\konektortp\konektortp.exe" tray
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 – HKLM\..\Run: [ODK_Mon] C:\Program Files\Odkurzacz 9.0 Pro\odk_mon.exe
O4 – HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe /waitservice
O4 – HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 – HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" –osboot
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\AGNITUM\OUTPOS~1\feedback.exe /dump:os_startup
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 – Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 – Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 – Global Startup: NOD32 FiX.lnk = C:\WINDOWS\system32\regedt32.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 – Extra context menu item: Otwórz w Firefoksie – file://C:\Documents and Settings\Jakub\Dane aplikacji\Mozilla\Firefox\Profiles\valhqduu.default\extensions\{5D558C43–550F–4b12–84AB–0D8ABDA9F975}\firefoxviewlink.html
O8 – Extra context menu item: Zobacz te strone w Firefoksie – file://C:\Documents and Settings\Jakub\Dane aplikacji\Mozilla\Firefox\Profiles\valhqduu.default\extensions\{5D558C43–550F–4b12–84AB–0D8ABDA9F975}\firefoxviewpage.html
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 – Extra button: Szybkie dostosowywanie programu Outpost Firewall Pro – {44627E97–789B–40d4–B5C2–58BD171129A1} – C:\PROGRA~1\AGNITUM\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O17 – HKLM\System\CCS\Services\Tcpip\..\{321D05BC–EA9E–4ECB–9957–06C92F01577F}: NameServer = 194.204.152.34 217.98.63.164
O20 – AppInit_DLLs: C:\PROGRA~1\AGNITUM\OUTPOS~1\wl_hook.dll
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 – Service: InCD File System Service (InCDsrv) – Unknown owner – C:\Program Files\Ahead\InCD\InCDsrv.exe (file missing)
O23 – Service: NOD32 Kernel Service (NOD32krn) – Eset – C:\Program Files\Eset\nod32krn.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: Outpost Firewall Service (OutpostFirewall) – Agnitum Ltd. – C:\PROGRA~1\AGNITUM\OUTPOS~1\outpost.exe
Odpowiedzi: 7
EL NINO NAPISAŁ :
I o taką odpowiedz mi chodziło wielkie dzięki,pozdrawiam i źyczę wesołych i spokojnych świąt.
Ty masz uaktualniony system, Ty masz firewalla. Moga Ci nadmuchac.
I o taką odpowiedz mi chodziło wielkie dzięki,pozdrawiam i źyczę wesołych i spokojnych świąt.
Nie za bardzo rozumiem tej przewrotnej logiki.KrisBa:
Wyłączając tę usługę (...)
program nie będzie chronił mojego komputera.
Mając Win XP z SP2
nie powinienem mieć problemów z RPC DCOM.
1. Co ma wylaczenie uslugi do pracy firewalla ? To tak jakbys powiedzial, ze jesli wylaczysz dzwonek w telefonie, nikt do Ciebie nie bedzie dzwonil.
2. Co ma system taki czy owaki, z service packiem piatym czy pietnastym, do prob "ataku" ? System po zainstalowaniu latek czy service packa moze byc odporny na pewne dzialania, a nie oznacza to absolutnie tego, iz one nie beda podejmowane. A niech kurna sa. Ty masz uaktualniony system, Ty masz firewalla. Moga Ci nadmuchac.
dla bezpieczeństwa lepiej wyłączyć tę usługę. Narzędzie do bezpiecznego wyłączania (i włączania, rzadko, ale zdarza się, źe trzeba ją przywrócić) ściągnij stąd małą aplikację http://www.grc.com/dcom/.
Moźe uda Ci się w Twoim firewallu zablokować intruza po IP
Mój Firewall blokuje intruzów na 5 minut,tak jest w ustawieniach programu. IP atakujących od czasu do czasu powtarza sie. Wyłączając tę usługę faktycznie pozbędę się sie problemu,bo nie będę wiedział o atakach i program nie będzie chronił mojego komputera.Mając Win XP z SP2
nie powinienem mieć problemów z RPC DCOM. Na częstotliwość tych ataków nie mam wpływu, to rozumiem,ale co jest powodem takiej aktywności tych ataków, jakiś trojan?(Komp jest skanowany regularnie z aktualną bazą wirusów i anty–spyware) Mam Neostrade od 2 lat,do tej pory 1 lub 2 na tydzień teraz 6, 7 na godzine.To zaczyna być irytujące, gdy co chwilę słyszysz dźwięk alarmu o ataku.CO JEST POWODEM TAKIEJ AKTYWNOŚCI TYCH ATAKÓW:!::!::?:
Na częstotliwość "ataków" DCOM nie masz wpływu, dla bezpieczeństwa lepiej wyłączyć tę usługę. Narzędzie do bezpiecznego wyłączania (i włączania, rzadko, ale zdarza się, źe trzeba ją przywrócić) ściągnij stąd małą aplikację http://www.grc.com/dcom/.
Moźe uda Ci się w Twoim firewallu zablokować intruza po IP lub MAC–u.
Moźe uda Ci się w Twoim firewallu zablokować intruza po IP lub MAC–u.
Usunołem ibm00001.exe ,ale to niestety nie miało wpływu na częstotliwość ataków.
KrisBa, pozbadz sie ibm00001.exe.
u mnie avast ciagle co 5 minut pokazuje ze zablokwoano atak DCOM exploit juz mnie to wkurza
Strona 1 / 1