Показано с 1 по 8 из 8.

MS RPCSS Attack (2) detected - вирусы атакуют? (заявка № 41882)

  1. #1
    Junior Member Репутация
    Регистрация
    16.03.2009
    Сообщений
    5
    Вес репутации
    33

    Thumbs up MS RPCSS Attack (2) detected - вирусы атакуют?

    Приветствую, проблема началась с того, что стел медленно работать инет, долго косил на провайдера (там действительно были свои проблемы), но вот проблемы решились, а скорость как была низкой так и не повысилась.

    Закралось подозрение на вирус.

    Сейчас стоит антивирус SEP (Semantec Endpoint Protection) и переодически ругается вот такими сообщениями:

    Traffic from IP address 95.209.106.35 is blocked from 16.03.2009 21:30:23 to 16.03.2009 21:40:23.
    [SID: 20386] MS RPCSS Attack (2) detected.
    Traffic has been blocked from this application: C:\WINDOWS\system32\svchost.exe

    Traffic from IP address 95.104.48.163 is blocked from 16.03.2009 16:08:32 to 16.03.2009 16:18:32.
    [SID: 20615] MSRPC Malicious LSASS DS Request BO (1) detected.
    Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe

    Почитал по форумам (в том числе и тут) что под обоими этими процессами могут гнездиться всякого рода неприятные вирусы. Делал проверку полностью SEP-ом, drWeb'ом. Хотел поставить тестовую версию последнего касперского, но он сначала ругнулся на удаленный давно avast (который в реестре наследил и не почистил во время удаления), потом ругнулся что принципиально не работает с SEP, поэтому провериться последней версией касперского не могу, проверялся CureIt в безопасном режиме.

    Стал проверять сетевую активность утилитой Tcpview.exe в логе смутили две строчки с ip на которые как раз ругался SEP /
    Строки вот (весь лог лежит во вложении под именем TCPWiew_log):
    svchost.exe:1480 TCP "мой ip" 95.209.106.35:4091 ESTABLISHED
    Skype.exe:3012 TCP "мой ip":3341 68.84.220.26:63042 ESTABLISHED
    qip.exe:4032 TCP "мой ip":3075 64.12.25.105:5190 ESTABLISHED
    qip.exe:4032 TCP "мой ip":3556 64.12.30.48:5190 ESTABLISHED

    При этом мне несколько раз уже говорили что от меня спам идет со ссылкой на вирус, но отловить я его все никак не могу до сих пор.

    Как и просили выкладываю необходимые данные:
    1. ссылочка на страницу автоматического анализа http://gsi.kaspersky.fr/read.php?file=926e...71464624b31f7da
    2. сам файл GetSystemInfo_USER_Administrator_2009_03_16_21_50_ 54.zip во вложении.
    3. лог AVZ4 virusinfo_syscure.zip - во вложении
    4. лог AVZ4 virusinfo_syscheck.zip - во вложении
    5. hijackthis.log - во вложении
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\vghd\vghd.exe','');
     QuarantineFile('C:\WINDOWS\system32\wzcdly.dll','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\system32\wzcdly.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    Код:
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    16.03.2009
    Сообщений
    5
    Вес репутации
    33
    файл карантина выслал:

    Файл сохранён как 090317_132944_2009-03-17_49bf7b983af1f.zip
    Размер файла 3070351
    MD5 8c183826c9c6e52060725d5607b050b4

    новые логи во вложении
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    В логах ничего подозрительного. Обновите базы Антивируса и проверьте систему.
    Обновите Адоби Ридер.
    Установите Сервис Пак 3 - возможно потребуется повторная активация системы - и последующие патчи.

  6. #5
    Junior Member Репутация
    Регистрация
    16.03.2009
    Сообщений
    5
    Вес репутации
    33
    сорри видимо немного неправильно логи отправил, первый раз просто не все еще знаю. Пересылаю нормальные без лишних файлов

    Файл сохранён как 090317_133933_virus_49bf7de500b75.zip
    Размер файла 1060524
    MD5 d753ba4ef855e61ec4eeb3486e9bd4e2

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Вы и в первый раз все, что надо, прислали.

  8. #7
    Junior Member Репутация
    Регистрация
    16.03.2009
    Сообщений
    5
    Вес репутации
    33
    Rene-gad, то есть получается что у меня=то вирусов нет, но вот возможно у владельцев этих ip что ко мне стучатся есть вирусы, атаки которых и блокирует SEP. Я правильно понял?

    Traffic from IP address 95.209.106.35 is blocked from 16.03.2009 21:30:23 to 16.03.2009 21:40:23.
    [SID: 20386] MS RPCSS Attack (2) detected.
    Traffic has been blocked from this application: C:\WINDOWS\system32\svchost.exe

    Traffic from IP address 95.104.48.163 is blocked from 16.03.2009 16:08:32 to 16.03.2009 16:18:32.
    [SID: 20615] MSRPC Malicious LSASS DS Request BO (1) detected.
    Traffic has been blocked from this application: C:\WINDOWS\system32\ntoskrnl.exe

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) zininau, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирусы атакуют (Кам)
      От Delion в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 16.10.2010, 22:35
    2. [SID: 20386] Обнаружен MS RPCSS Attack (2).
      От yeppp в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.04.2010, 17:12
    3. Вирусы атакуют.. :(
      От Igor1 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.12.2009, 17:22
    4. Вирусы атакуют!!!
      От Сёмчик в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 07.09.2009, 19:44
    5. Вирусы атакуют
      От bol в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 05:09

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01528 seconds with 17 queries