roma572 Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору После старта системы (2003 сервер) через некоторое время (несколько минут) появляется сообщение, что мол Remote Procedure Calling (RPC) service terminated unexpectedly и через 60 сек винда перезагружается. Поставил 2000, там такие траблы были с svchost.exe (что-то такое), поставил ХР, там тоже тамое...RPC terminated bla-bla-bla и если в эти 60 сек в сервисах вручную запустить RPC, то комп при выключении зависнет, а если оставить как есть, то перезагрузится нормально.   Подскажите, что это может быть и как боротсья? Раньше такого никогда не было. Началось ни с того, ни с сего. Отключение вызвано NT Authority\System       Господа! Это вирус!   Выглядит так:         Цитата: Уязвимость проявляет себя при установке удаленного соединения с машиной через порт 135 (TCP/IP). Соединение между клиентом и сервером обеспечивает служба RPC (Remote Procedure Call), которую использует архитектура DCOM. Использование этой уязвимости дает удаленному пользователю возможность послать разрушительную команду к DCOM__RemoteGetClassObject и аварийно завершить работу RPC-службы, а также всех служб, зависящих от нее. При этом на атакованной системе, в зависимости от версии и установленного комплекта заплаток, появляется сообщение об ошибке памяти или отключении сервиса svchost.exe.         О вирусе: http://www.viruslist.com/viruslist.html?id=2709083 Об уязвимости Windows, используемой вирусом (DCOM): http://www.securitylab.ru/?ID=39609 Уязвимости подвержены любые Windows на основе NT (XP, 2000, в т.ч. с сервис паками (в т.ч. SP4), включая 2003) с открытым 135 портом.     Цитата:   Worm.Win32.Autorooter   Является набором Win32 EXE-файлов (компонент). По своей функциональности схож с сетевым Win32-червем: распространяется по локальным или глобальным сетям.     Червь использует уязвимость в службе Microsoft Windows DCOM RPC. Ее описание приведено в Microsoft Security Bulletin MS03-026: http://www.viruslist.com/click?_URL=http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp   Основной файл червя является самораспаковывающимся ZIP-архивом (т.е. приложением Win32, которое содержит в себе ZIP-архив и которое извлекает файлы из этого архива при запуске). Размер файла - около 114KB.     Содержит в себе 3 файла:     rpc.exe - 41KB, главный компонент (загрузчик), детектируется как "Worm.Win32.Autorooter";   tftpd.exe - 144KB, легальный FTP сервер;   rpctest.ex - 95KB, вспомогательный компонент, детектируется как "Exploit.Win32.DCom". При запуске SFX-архива он создаёт перечисленные выше файлы и устанавливает их в корневой каталог локального диска C:, после чего запускает файл "rpc.exe", являющийся основной компонентом червя.       Исходный код: http://www.securitylab.ru/?ID=39592     Профилактика:   1. Изменить в реестре по адресу [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] параметр "EnableDCOM" с "Y" на "N" 2. Поставить патч от MS. 3. Пойти в сервисы, найти там службу Remote Procedure Call (RPC), правой кнопкой - Properties, закладка Recovery, поставить там везде Take No Action 4. Firewall с закрытыми портами 135, 139, 445, 4444.       Качать патчи:   http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp     Или конкретно по ОС:   Windows NT Workstation (requires SP6a installed): http://www.microsoft.com/downloads/details.aspx? FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=en Windows NT Server 4.0 (requires SP6a installed): http://www.microsoft.com/downloads/details.aspx? FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=en Windows NT Server 4.0, Terminal Server Edition (requires SP6 installed): http://www.microsoft.com/downloads/details.aspx? FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F&displaylang=en Windows 2000 (requires SP2, SP3, or SP4 installed): http://www.microsoft.com/downloads/details.aspx? FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=en Windows XP: http://www.microsoft.com/downloads/details.aspx? FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=en Windows XP 64 bit Edition: http://www.microsoft.com/downloads/details.aspx? FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65&displaylang=en Windows XP 64 bit Edition Version 2003: http://www.microsoft.com/downloads/details.aspx? FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en Windows Server 2003: http://www.microsoft.com/downloads/details.aspx? FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=en Windows Server 2003 64 bit Edition: http://www.microsoft.com/downloads/details.aspx? FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en       Обсуждать проблему можно также: Как побороть Windows RPC DCOM Buffer Overflow Remote Exploit ,   http://forum.ru-board.com/topic.cgi?forum=55&topic=2664#1 и   Remote Procedure Call Fail. Изза чего?   Еще почитать:   http://www.winextreme.org/forum/index.php?showtopic=371 http://www.dev0.ru/viewtopic.php?t=6 http://www.dev0.ru/viewtopic.php?t=2&postdays=0&postorder=asc&start=15 http://www.securitylab.ru/?ID=40158 http://www.securitylab.ru/?ID=40164 http://www.securitylab.ru/?ID=40160 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp http://www.kaspersky.ru/news.html?id=1319733   Лечение:   1. Любым способом, который получится, уничтожить msblast.exe (в том числе потом из автозагрузки его не забыть удалить); 2. поставить патч; 3. просканировать антивирусом.   Обзор (карта) форума "В помощь системному администратору" »  BugTraq для сисадминов: уязвимости/исправления »  Remote Procedure Calling (RPC) service terminated unexpected   Строгое замечание за безобразное неконкретное название темы: "I need help". Исправлно. lynx. Всего записей: 409 | Зарегистр. 30-03-2002 | Отправлено: 13:28 12-08-2003 | Исправлено: lynx, 19:11 05-11-2003

naPmu3aH Из лесу вышел Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору смотри тут ---------- Ну і хто тебе кликав, чому ти прийшла, Стара проститутка, сука-війна? Хто тобі платить за наші тіла? Скільки ще тобі треба, яка їх ціна? Всего записей: 4642 | Зарегистр. 30-10-2001 | Отправлено: 13:36 12-08-2003

lynx Advanced lynx Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Направили тебя правильно.   Походу это вирус. Лекарства - последние патчи от Майкрософт.   Выглядит так:         Качать патчи:   http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp     Обсуждать идите: Как побороть Windows RPC DCOM Buffer Overflow Remote Exploit и http://forum.ru-board.com/topic.cgi?forum=55&topic=2664#1 Remote Procedure Call Fail. Изза чего?   Тему закрою и подниму наверх, жалко народ, сегодня эпидемия. Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 18:19 12-08-2003

lynx Advanced lynx Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору По многочисленным просьбам тема открыта, в первых пост добавлены последние новости:   http://www.securitylab.ru/?ID=40158 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 17:46 11-09-2003

Students Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ia prosto sdelal polnoie update s microsoft saita i postavil anti xaker kaspera virus prosto iscez esli firevol stoit virus daje bez patcha ne vlezaet pomoemu ....koroce mne pomoglo Старайтесь не писать транслитом, читайте п. 3.4 правил. lynx. Всего записей: 21 | Зарегистр. 30-09-2003 | Отправлено: 23:45 02-10-2003 | Исправлено: lynx, 21:21 03-10-2003

Kamerton Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору А вот и обновление этого же вируса. Это уже его 3 часть! ХР валит со свистом, на 2000 тоже самое!! Вот почитайте , там же мона и заплатку взять! Заплатка мелкософта не помогает! ---------- Счастье лысых не может висеть на волоске. Мудрость не всегда приходит с возрастом. Бывает, что возраст приходит один... Всего записей: 1287 | Зарегистр. 19-11-2002 | Отправлено: 09:24 13-10-2003

netvigator Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору не помогла заплатка и на троян она больше похожа. переустановка винды помогла - но ведь это не решение Всего записей: 60 | Зарегистр. 31-07-2002 | Отправлено: 23:57 13-10-2003

Cheery .:МордератоР:. Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kamerton Цитата: там же мона и заплатку взять! Заплатка мелкософта не помогает!   не наводи зря паники.. netvigator Цитата: не помогла заплатка и на троян она больше похожа. какая именно? о чем ты? ---------- Away/DND Всего записей: 52737 | Зарегистр. 04-04-2002 | Отправлено: 00:01 14-10-2003

TROL Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Любой фаервул решает эту проблему. Перекрыть порты и забыть. И нечего копья ломать. И не нужны никакие патчи. ---------- Ищу поклонников Майкрософт. Найду - убью! Всего записей: 455 | Зарегистр. 07-12-2001 | Отправлено: 18:24 19-10-2003 | Исправлено: TROL, 19:09 19-10-2003

lynx Advanced lynx Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору TROL     Это что ты типа добавил новой информации по теме? Зачем флеймить то.   Фаеры могут и глюкануть. Это уже по теме.   Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 19:24 20-10-2003

Kuorn Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору После полной переустановки системы, и блокировки DCOM ХРшка выдает такое же окно но с указанием что его вызвала не NT AUTORITY\SYSTEM а USER\ник юзера.   Я в непонятках.... Всего записей: 3 | Зарегистр. 03-12-2003 | Отправлено: 20:34 04-12-2003

quiXilver Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ..Короче у меня такая же проблема,но у меня нет этого файла-Mblast но почти уверен на 100% что знаю какой это файл,а вот удалить его не могу,Помогите пожалуйста!!!!! он называеться-lsass и когда нажимаю ALT+Ctrl+Delete,то там его тоже нельзя отключить....А Винд так не хочеться переустанавливать,только 2 дня назад поставил новый... Всего записей: 127 | Зарегистр. 01-05-2004 | Отправлено: 23:39 25-05-2004

lynx Advanced lynx Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору quiXilver Цитата: удалить его не могу,Помогите пожалуйста!!!!!   он называеться-lsass   и когда нажимаю ALT+Ctrl+Delete,то там его тоже нельзя отключить....   Грузись в ДОС с поддержкой NTFS, оттуда удалишь. Нужна дискета ДОС с поддержкой NTFS на полный доступ, а не только на чтение. Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 00:44 26-05-2004

WRFan Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:   При запуске SFX-архива он создаёт перечисленные выше файлы и устанавливает их в корневой каталог локального диска C:, после чего запускает файл "rpc.exe", являющийся основной компонентом червя.       скажите, а ради интереса, как это этот файл запускается при следующем рестарте виндов? он прописывается в startup реестр, или запускается как сёрвис под виндами? потому что если нет, то совершенно не понятно, т.к. сами по себе файлы не могут запускаться, их можно только запускать, без "ся" в конце Всего записей: 5275 | Зарегистр. 25-11-2002 | Отправлено: 16:38 07-09-2004

COH Шаман из Ижевска Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору quiXilver Цитата:   Process name: Local security authentication server   Product: Windows   Company: Microsoft   File: lsass.exe   Security Rating:   "lsass.exe" is the Local Security Authentication Server. It verifies the validity of user logons to your PC/Server. It generates the process responsible for authenticating users for the Winlogon service. This process is performed by using authentication packages such as the default Msgina.dll. If authentication is successful, Lsass generates the user's access token, which is used to launch the initial shell. Other processes that the user initiates inherit this token. More info     Note: The lsass.exe file is located in the c:\windows\System32 folder. In other cases, lsass.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager.   Virus with same name:   W32.Nimos.Worm - Symantec Corporation W32.Sasser.E.Worm (Lsasss.exe) - McAfee W32.HLLW.Lovgate.C@mm - Symantec Corporation    взято с http://www.neuber.com/taskmanager/process/lsass.exe.html   То же касается файла spoolsv.exe   Ещё есть прога teekids.exe из этой же серии вирусов, она вирус 100% вне зависимости от нахождения (у меня в ..\систем32 появлялась)   Добавлено WRFan Цитата: он прописывается в startup реестр, или запускается как сёрвис под виндами?   Насколько понял вопрос, то ДА. запускается стартапом. ---------- Верно-то оно верно, но ведь ни хрена же непонятно. Всего записей: 3355 | Зарегистр. 26-04-2002 | Отправлено: 08:07 07-10-2004

react Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Люди, помогите плиз !    Поставил себе заплатку с сайта мелкософта, так у меня теперь ни инет ни сеть не хочет пахать !!!    Что делать ??? Всего записей: 773 | Зарегистр. 08-02-2002 | Отправлено: 13:53 14-10-2004

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Remote Procedure Calling (RPC) service terminated unexpected

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование