2008-07-02 Atak wirusa?

[polom]

cze.
pojawia mi sie taki komunikat i nie wiem "o co kaman"

Czy czasem nie jest to błąd w ustawieniach mojego antivira Avast który blokuje kogoś na DC?

[piter]

Ja miewam podobne ostrzeżenia, dzisiaj miałem już trzy:
2008-07-02 13:28:59 Intrusion.Win.DCOM.exploit! Adres IP atakuj¹cego: 192.168.1.152. Protokó³/us³uga: TCP na lokalnym porcie 135. Czas: 2008-07-02 13:28:59


2008-07-02 14:50:50 Intrusion.Win.DCOM.exploit! Adres IP atakuj¹cego: 192.168.1.152. Protokó³/us³uga: TCP na lokalnym porcie 135. Czas: 2008-07-02 14:50:50


2008-07-02 15:22:15 Intrusion.Win.DCOM.exploit! Adres IP atakuj¹cego: 192.168.1.154. Protokó³/us³uga: TCP na lokalnym porcie 135. Czas: 2008-07-02 15:22:15
Mam KIV dla ochrony, a takie coś wyświetla mi się kilka razy na dzień.
_________________
Łódka płynie, Księżyc świeci, Trójgraniasty Groszek leci. Na Trapezie, Trapeziku, wisi Główka na Haczyku.

[Mati N.]

Administracja już to sprawdza.
_________________
Pozdrawiam Mati

Piszę poprawnie po polsku

[sERo]

Bardzo prosimy o informację jeśli ataki się ponowią. Mimo nasłuchu serwer nie został ani razu zaatakowany, ale być może wirus jakoś omija naszą maszynę.

Z tego co widać zainfekowane mogą być dwa komputery, ale znając życie jest więcej osób, które nie używają ani antywirusów, ani firewalli, ani aktualizacji systemu, więc to się może szybko roznieść. Pomyślcie - dziura w obsłudze D-Coma w Windows XP została załatana... ok. 4 lata temu, wystarczy mieć włączone aktualizacje i nic się nie stanie.
_________________
BOFH

To nie jest takie proste. Tak się tego nie robi. To nie działa w ten sposób.

[piter]

Ja po świeżej instalacji systemu pierwsze co zrobiłem to wyłączyłem kartę sieciową, zainstalowałem antyvirusa, aktualizacje z autopatchera październik 2007, potem włączyłem kartę zaktualizowałem antywirusa a i tak pojawiały mi się te komunikaty.
_________________
Łódka płynie, Księżyc świeci, Trójgraniasty Groszek leci. Na Trapezie, Trapeziku, wisi Główka na Haczyku.

[sERo]

Dobre i złe wiadomości.

Zła jest taka, że faktycznie w sieci grasuje wirus. Dobra, że zainfekował tylko dwa komputery - tylko te IP co podaliście: 192.168.1.152 i 192.168.1.154. Obie maszyny na razie zostały odłączone od internetu, jeśli nie będzie reakcji to zostaną kompletnie odłączone od sieci lokalnej. Z tego też powodu jeszcze przez kilka dni (do czasu wyczyszczenia maszyn lub ich odcięcia od sieci lokalnej) mogą pojawiać się informacje o próbach ataków na komputery pozostałych użytkowników.

Dzięki za informacje i pomoc!

ps. Przez jakiś czas nadal będziemy prowadzić nasłuch portu 135, by sprawdzić czy w międzyczasie inne maszyny nie zostaną zarażone.
_________________
BOFH

To nie jest takie proste. Tak się tego nie robi. To nie działa w ten sposób.

[piter]

Czy te komputery zostały na nowo podłączone bo:
2008-07-06 20:04:10 Intrusion.Win.DCOM.exploit! Adres IP atakuj¹cego: 192.168.1.154. Protokó³/us³uga: TCP na lokalnym porcie 135. Czas: 2008-07-06 20:04:10
_________________
Łódka płynie, Księżyc świeci, Trójgraniasty Groszek leci. Na Trapezie, Trapeziku, wisi Główka na Haczyku.

[sERo]

Zarażone komputery są nadal podłączone do sieci lokalnej, nie mają tylko dostępu do internetu. Jeśli użytkownicy tego nie poprawią to kompletnie je odłączymy.
_________________
BOFH

To nie jest takie proste. Tak się tego nie robi. To nie działa w ten sposób.

[piter]

Kolejny zarażony??
2008-07-09 22:52:15 Intrusion.Win.DCOM.exploit! Adres IP atakuj¹cego: 192.168.1.6. Protokó³/us³uga: TCP na lokalnym porcie 135. Czas: 2008-07-09 22:52:15
_________________
Łódka płynie, Księżyc świeci, Trójgraniasty Groszek leci. Na Trapezie, Trapeziku, wisi Główka na Haczyku.

[sERo]

Od dłuzszego czasu nie było objawów, zamykam.
_________________
BOFH

To nie jest takie proste. Tak się tego nie robi. To nie działa w ten sposób.