Dcom exploit atak z

09.02.08, 16:45
Witam mam taki problem postawiłem sobie system win xp(sp2)i co jakiś czas
awast pokazuje komunikat że udaremnił atak (DCOM EXPLOIT atak z 88.199......)
Postawiłem system z tego wzg. że nie działało mi nero po włączeniu samo się
wyłączało ale teraz po formacie jest dalej to samo a do tego doszło to co w
temacie (myśle że to jest powiązane ze sobą)
Oto logi:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:45:10, on 2008-02-09
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?3474717022439
O17 -
HKLM\System\CCS\Services\Tcpip\..\{746D4599-9384-4DB9-8AC5-59C2EF3DF438}:
NameServer = 213.199.225.14,213.199.225.10
O17 -
HKLM\System\CS1\Services\Tcpip\..\{746D4599-9384-4DB9-8AC5-59C2EF3DF438}:
NameServer = 213.199.225.14,213.199.225.10
O17 -
HKLM\System\CS2\Services\Tcpip\..\{746D4599-9384-4DB9-8AC5-59C2EF3DF438}:
NameServer = 213.199.225.14,213.199.225.10
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program
Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner -
C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe

--
End of file - 2562 bytes

Pomocy
    • Gość: Kolobos Re: Dcom exploit atak z IP: *.escom.net.pl 09.02.08, 17:42
      Nudzisz, wystarczy uzyc wyszukiwarki i wszystko bys wiedzial.
      Zamknij porty przy pomocy wwdc.exe.
    • Gość: llukas17 Re: Dcom exploit atak z IP: *.tktelekom.pl 09.02.08, 20:16
      Użyłem wwdc ale dzieje się dalej to samo mam zamknięty port 135. A i przy
      uruchamianiu wwdc pisze Yoru system seems to be infected by a virus, your
      svchost memory usage 21292Ko is beyons usual values. It is strongly advised to
      check your system with an AntiVirus up to date and an AntiTrojans.
      • Gość: Kolobos Re: Dcom exploit atak z IP: *.escom.net.pl 09.02.08, 20:21
        W takim razie zainstaluj jakis firewall np. Comodo.
        Jak chcesz dac logi to:
        forum.gazeta.pl/forum/72,2.html?f=430&w=66002983
        • Gość: llukas17 Re: Dcom exploit atak z IP: *.tktelekom.pl 09.02.08, 20:50
          Poniżej przedstawiam logi.

          hijack
          wklej.org/id/86944dcd76
          fixcombo
          wklej.org/id/9c55eb6d82
          • Gość: Kolobos Re: Dcom exploit atak z IP: *.escom.net.pl 09.02.08, 21:03
            Uzyj ATF Cleaner i usun wszystko z temp itd.
            Uruchom cmd: Start->Uruchom->cmd i wpisz tam:
            sc stop 1c731
            sc delete 1c731

            Reszta jest ok.
    • Gość: hac3k Re: Dcom exploit atak z IP: 80.54.39.* 04.02.09, 22:58
      zal
Inne wątki na temat:
Pełna wersja