Ir para conteúdo
  • Cadastre-se
BRuNoSoL

RPC - PC Reiniciando - Tópico Oficial

Mensagem Recomendada

10.gif Sempre atualizado !!!!!!!!!!11.gif

eXtremeMods OC Team

DFI Lanparty UT nF4 Ultra Expert SLI-DR

AMD Opteron 170 @ 2800 Mhz

WaterCooler Extrememods + NeXus Block

2Gb GSkill HZ - Dual Channel

X1900XTX Modded

G5 + G15 Logitech + RAZER Mantis Speed

SoundBlaster Audigy 2 + Z-680 Logitech

2 x HD Seagate 120Gb - SATARAID 0

H20N DVD Burner RPC

Seventeam 750W SLI vSense Mod

Compartilhar este post


Link para o post
Compartilhar em outros sites
Aqui só dava quando eu entrava na intenet mas aí eu removi o arquivo mblast da pastas system32 manualmente e parou de dar... Ja rodei esse prog. da Microsoft e não acusou nada...

33958-spiderx3.jpg

Compartilhar este post


Link para o post
Compartilhar em outros sites

Worm with teeth could infect 10s of millions of Windows machines

Updated And aims to down windowsupdate server

By Mike Magee: Tuesday 12 August 2003, 10:09

A WORLDWIDE ALERT was issued today about an RPC worm which is likely to cause large scale infections on Windows 2000 and XP systems.

It doesn't spread by email, but looks for Internet ports that haven't been patched by the latest Microsoft patches.

The worm Blaster/Lovsan, exploits the RPC/DOM first discovered on the 16th of July, according to Mikko Hypponen, a director at F-Secure, and it has started to proliferate.

The firm said the worm, known as Lovsan or Msblast is expected to attack windowsupdate.com on the 16th of August.

It spreads in a 6176 byte exe file called MSBLAST.EXE to Windows XP and 2000 systems unless the most recent security patches are installed, said F-Secure.

It scans addresses on the Interweb to find vulnerable Windows machines and when it find them, it copies and modifies the system, said F-Secure, and executes on restarts as well as replicating from infected machines.

Said Hyponnen: "On the 16th of August, the worm will start a distributed denial of service attack against the windowsupdate.com server".

He anticipates that if the worm continues to spread as fast as it's currently doing, the attack could down the whole Windows Update service.

F-Secure says it first saw samples yesterday night. The worm attacks TCP port 135 and infects it remotely, without users being aware of it.

Microsoft has a patch to close the hole, which you can find here.

F-Secure estimates it could potentially infect tens of millions of machines, because the Buffer Overrun in RPC Interface is one of the most common security holes in the world.

Symantec raised the level of threat for the Blaster Worm to four, and claimed that over 57,000 machines have been affected. It has information on the worm here. µ

* A READER says he was hit by the problem this morning and has put together a compilation web page about it, here. We've had many reports so far from other readers and people who've been hit by it. He also points to a Symantec removal tool, which is here.

http://www.theinquirer.net/?article=10986

Compartilhar este post


Link para o post
Compartilhar em outros sites

Worm Blaster foi mal escrito, dizem analistas

Terça-feira, 12 de Agosto de 2003 - 18h01

IDG Now!

Especialistas em segurança afirmam que apesar de ter infectado milhares de computadores em todo o mundo, o worm W32.Blaster é pobremente escrito e ineficiente, o que diminui seu impacto.

Os analistas alertam no entanto, que futuras versões do worm poderão corrigir estas falhas, fazendo com que o Blaster se espalhe muito mais rapidamente, o que resultaria na interrupção de serviços das redes infectadas e causaria grandes danos aos negócios e usuários individuais na web.

O Blaster, também conhecido como MSBlast, Lovsan Worm e DCOM Worm, apareceu nesta segunda-feira (11/08) e se espalhou rapidamente em computadores de todo o mundo ao explorar uma falha no sistema operacional Windows. De acordo com Johannes Ullrich, Chief Technology Officer (CTO) do SANS Internet Storm Center, até esta terça-feira (12/08), o worm atacou mais de 30 mil sistemas.

Especialistas já familiarizados com o novo worm afirmam porém, que uma inspeção mais detalhada do código do worm revelaram um trabalho de baixa qualidade. Segundo Marc Maiffret, especialista de segurança da empresa eEye Digital Security, o criador do Blaster não escreveu um novo código, mas copiou e colou uma ferramenta de ataque já conhecida para a vulnerabilidade que estava disponível na web. Apesar da falha afetar todos os PCs que rodam Windows, o worm Blaster ataca somente os sistemas Windows XP e Windows 2000, o que reduz o número de máquinas afetadas.

De acordo com a empresa de segurança F-Secure, da Finlândia, o código do Blaster não consegue detectar que tipo de sistema operacional está instalado na máquina que ele está atacando e escolhe, de forma randômica, entre atacar sistemas Windows XP e Windows 2000. Ao fazer isso, o Blaster frequentemente usa o recurso errado para o sistema operacional instalado o que faz com que as máquinas com Windows XP sejam reiniciadas com uma mensagem de erro.

Os autores do Blaster criaram um método ineficiente e nada sutil para espalhar o código de uma máquina infectada para outra vulnerável, mas ainda “limpa”. O worm solicita que a máquina vulnerável estabeleça uma conexão individual com o PC infectado, para copiar o código do worm, facilitando sua detecção em uma rede e fornecendo vários caminhos para seu bloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Entrem no site do Velox, e saibam mais sobre este virus que explorar a vulnerabilidade do RPC, o caso é que todos os usuários do velox também foram contaminados na hora de realizar a autenticação de usuário.

http://www.veloxzone.com.br

Compartilhar este post


Link para o post
Compartilhar em outros sites

Amigos......eu estava com o mesmo problema...e baixei o patch e resolveu o problema....e quando eu estava fazendo a limpa no meu AV acusaram 3 virus....com esse nome ai...o que ele faz de mal no seu computador?

Compartilhar este post


Link para o post
Compartilhar em outros sites
2.gifPesoar o negócio é o sequinte não achei o msblast no system 32 mas achei no regedit (por incrível que pareca)e o deletei não tenho problemas de restart no PC , nem tive isto antes , mas eu notei uma coisa estranha , no meu firewall (zone alarm free edition) fica aparecendo dois processos de generic host , bom , eu posso estar errado , mas esse gh é o rpc em ação , esses dois processos ocorrem em contas diferentes , uma no local service e outra no network service já coloquei esse serviço nas duas contas mas eu continuo a ter o mesmo processo duas vezes , o que eu devo fazer .( ps já fiz o download da correção e já passei a ferramenta da symantec , e graças a Deus não foi encontrado o virus)13.gif16.gifhmmm.gif.

Compartilhar este post


Link para o post
Compartilhar em outros sites

----------------

E-ponto escreveu:





----------------

swatch |+| escreveu:



Caramba, passei o dia inteiro no esritório hoje resolvendo problemas com este vírus...
"<a
http://www.Babooforum.com.br/idealbb/images/smilies/7.gif">
"<a
http://www.Babooforum.com.br/idealbb/images/smilies/7.gif">

 

Vocês sabem se ele é muito grave, se é melhor formatar as máquinas agora?
"<a
http://www.Babooforum.com.br/idealbb/images/smilies/12.gif">


----------------


Não é necessário tanto, basta verificar se não existem rastros na máquina, pois se você instala o patch da Microsoft o sistema para de rebootar, mas você continua atacando e contaminando todas as máquinas que estão com seu IP e mascara 255.255.0.0




A Symantec lançou ontem a noite uma ferramenta para remoção do  W32.Blaster.Worm:



----------------

So usando essa ferramenta ja funciona ?

Compartilhar este post


Link para o post
Compartilhar em outros sites

para quem teve esse problema e não consegue fazer o down po causa do tempo que é 1 min tem uma dica :

 

painel de controle/performance e manutenção/ferramentas administrativas/serviços/

ache  Remote Procedure Call (RPC) ,botão direito propriedades , recovery,

restart computer option... , mude de 1 para quantos min. quiser OK4.gif

 

30777-mottezje.jpg

..........::::::::::ZaggaZ::::::::::..........

Compartilhar este post


Link para o post
Compartilhar em outros sites

----------------

_Bob_ escreveu:

suprabug
, vai ser extremamente incômodo ter que fazer isso sempre que se instalar o sistema...

Endeavour
, no
PC
de todo mundo começou de uma hora para outra... E não deu alerta de vírus no norton aqui, só quando eu fui ao diretório WindowsSystem32 e selecionei o arquivo msblast.exe

Já que você não tem tempo de baixar o patch faça isso, que foi postado em outro tópico pelo usuário
gabrielpinho
:

Vá ao regedit e apague a chave HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe

Depois, vá ao diretório WindowsSystem32 e apague o arquivo msblast.exe

Eu fiz isso aqui, mesmo após executar o patch, só por via das dúvidas

EDITADO: Esqueci de dizer, tem que reiniciar o sistema antes de apagar o arquivo
3.gif

----------------

NÃO CONSIGO ACHAR O VÍRUS!!!

já procurei nos lugares descritos e não encontro nada ,

será que pode estar em outro lugar ou com outro nome? , tenho como verificar se fui e ainda estou infectado ?

PS.já baixei o patch da Microsoft e solucionei o problema da mensagem de erro!!!

dúvida o link descrito da symantec é só para usuários do norton?,

tenho que fazer algum down da symantec mesmo tendo já feito o da Microsoft?


30777-mottezje.jpg

..........::::::::::ZaggaZ::::::::::..........

Compartilhar este post


Link para o post
Compartilhar em outros sites

Certo pessoal eu uso o PC-CILLIN 2003 e ele detectou e colocou o virus em quarentena, mas mesmo com as atualizações do antivírus e o mesmo em quarentena não consegui instalar o path.

O que eu faço....8.gif

SuperErtec01.jpg

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico é muito antigo e está impedido de receber novos posts. Se você quiser ajuda ou suporte, crie um novo tópico.

×
×
  • Criar Novo...