Originariamente inviato da V|RuS[X]
Resolved 62.211.1.1 to host1-1.pool62211.interbusiness.it


è l'adsl telecom appunto ;)

se è una falla che colpisce WIN XP...

è normale CHE COLPISCE ME CON WIN 2000 SERVICE PACK 4???

:eek: :eek: :eek:



PS: ora tanto per cominciare ho reinstallato il firewall Sygate e vaff... :D

PPS: e sto facendo il windows update :D (con un 56k :muro: )

Originariamente inviato da Kudram
ma come caxxo è, ho installato la patch, nn ho più prob, ma il test mi segna k ho la porta 135 aperta!!!! l'unica soluzione è un firewall?

Non so se è l'unica soluzione, ma io con Zone Alarm c'è l'ho sthealted (si scrive così?) :D

Originariamente inviato da dibe
nella voce Security cosa imposto?? "block all" "normal" o "allow all"??? :confused:

block all ti blocca TUTTO quindi non puoi più fare nulla
allow all autorizza tutto: io lo uso se per pochi secondi/minuti devo eseguire un'applicazione che non fa parte delle regole.
tienilo sempre su normal

Originariamente inviato da NightStalker
se è una falla che colpisce WIN XP...

è normale CHE COLPISCE ME CON WIN 2000 SERVICE PACK 4???


veramente il bollettino per la sicurezza che parla di questo problema chiama in causa tutti i sistemi operativi di famiglia NT, c'è anche il vecchio NT 4 :eek:

Originariamente inviato da NightStalker
se è una falla che colpisce WIN XP...

è normale CHE COLPISCE ME CON WIN 2000 SERVICE PACK 4???

:eek: :eek: :eek:


Si è normale, la falla riguarda W2000, NT & XP

Originariamente inviato da recoil
block all ti blocca TUTTO quindi non puoi più fare nulla
allow all autorizza tutto: io lo uso se per pochi secondi/minuti devo eseguire un'applicazione che non fa parte delle regole.
tienilo sempre su normal


gli svchost li tengo bloccati?? :confused:

nella schermata dove visualizza il traffico di rete mi segna "blocked" ... :confused:

Originariamente inviato da dibe
gli svchost li tengo bloccati?? :confused:


svchost è quello che fa partire tutti i servizi. se li dentro hai roba che ti serve allora devi attivarlo, magari facendo in modo che funzioni solo su determinate porte ecc.
io ad esempio se lo disattivo non riesco a condividere la connessione internet quindi ho una regola apposta che lo fa passare.

Originariamente inviato da monkey72
mcAfee mi ha rilevato il virus lovsan.worm
qui (http://vil.nai.com/vil/content/v_100547.htm) dicono che con l'update 4284 si elimina invece nulla!!!! impossibile accedere... ora provo le alternative, stinger compreso
Nella scheda del virus in questione di Symantec (http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.cirebot.html) c'è scritto Disable System Restore (Windows XP) , quindi o disattivate la funzione restore system o non rimuovete il virus ne manualmente ne tramite antivirus.

Originariamente inviato da MButi
Nella scheda del virus in questione di Symantec (http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.cirebot.html) c'è scritto Disable System Restore (Windows XP) , quindi o disattivate la funzione restore system o non rimuovete il virus ne manualmente ne tramite antivirus.

Strano, io l'ho eliminato manualmente senza toccare il system restore...

Non si prende tramite P2P
Non si prende tramite IRC
Entra da solo tramite il protocollo tftp
Leggete qui!
http://www.repubblica.it/2003/g/sezioni/scienza_e_tecnologia/windows/lovesan/lovesan.html

Originariamente inviato da walternet
Non si prende tramite P2P
Non si prende tramite IRC
Entra da solo tramite il protocollo tftp
Leggete qui!
http://www.repubblica.it/2003/g/sezioni/scienza_e_tecnologia/windows/lovesan/lovesan.html

Allora io sono a posto. Se la patch è stata rilasciata il 16 luglio l'ho sicuramente già installata da un pezzo!!
:D

Originariamente inviato da walternet
Non si prende tramite P2P
Non si prende tramite IRC
Entra da solo tramite il protocollo tftp
Leggete qui!
http://www.repubblica.it/2003/g/sezioni/scienza_e_tecnologia/windows/lovesan/lovesan.html

Appunto..........se il firewall è settato bene come nel mio caso anche senza patch non succede nulla, così è stato a me ieri con sygate 5

Ciao

ho eliminato il virus dal computer!!
il problema era solo nel fatto che winxp si dovesse sempre riavviare; infatti il virus in se non faceva danni poichè lo bloccavo con il firewall

Infatti, mi ricordo di aver letto qulacosa sul problema legato al servizio RPC il mese scorso, ma, anche se avevo scaricato la patch, non l'avevo mai installata (diciamo che me ne ero completamente dimenticato...). Credo che dopo il casino di ieri sera, starò più attento alle patch sulla sicurezza. Ho messo anche il firewall...

Originariamente inviato da gpc
Strano, io l'ho eliminato manualmente senza toccare il system restore...

Ok ma il tool di rimozione fa la scansione anche li e se c'è la copia non può rimuoverlo. Togliendo la chiave di avvio il virus è inattivivo ma rimane nel sistema disattivato.

Ciao

Aiutoooo... dopo che ho fatto un port scan, Sygate ha rilevato un attacco e mi blocca tutto, ho dovuto disabilitarlo per poter navigare... aiuttooooo...

Originariamente inviato da Bilancino
Ok ma il tool di rimozione fa la scansione anche li e se c'è la copia non può rimuoverlo. Togliendo la chiave di avvio il virus è inattivivo ma rimane nel sistema disattivato.

Ciao


Ah ho capito, ecco...
Quindi se faccio il restore tra un po' del sistema c'è rischio che mi si riattivi?

Originariamente inviato da gpc
Ah ho capito, ecco...
Quindi se faccio il restore tra un po' del sistema c'è rischio che mi si riattivi?

E si quanto si trova un virus, bisogna disabilitare sempre il system restore...........

Ciao

Originariamente inviato da Bilancino
E si quanto si trova un virus, bisogna disabilitare sempre il system restore...........

Ciao


Hmm... questo è il guaio di non aver mai avuto problemi... 'ste cose non per impari... :D

Adesso il firewall pare essersi ripigliato... :confused:

Originariamente inviato da gpc
Aiutoooo... dopo che ho fatto un port scan, Sygate ha rilevato un attacco e mi blocca tutto, ho dovuto disabilitarlo per poter navigare... aiuttooooo...

Ovvio che se fati il test Sygate ti segnala l'attaco ma alla fine io non ho mai avuto problemi.....non ho pc in rete e i processi di win xp sono tutti bloccati e navigo tranquillamente, infatti io non ho preso il virus e la mia ragaza con kerio (porta 135 aperta) l'ha preso subito....:D

Ciao

una domanda,ma questo trojan come si attiva?
solo navigando mediante qualche script o anche per posta?

Originariamente inviato da Oaichehai
una domanda,ma questo trojan come si attiva?
solo navigando mediante qualche script o anche per posta?

utilizza una falla nel systema operativo, non serve clic vari.........

Ciao

quindi indipendentemente da ogni mail o sito infettato o roba del genere?
fammi capire, praticamente c'e' una scansione su larga scala di ip (generata non si sa da chi) che una volta beccatoti prova a sfruttare questo baco?


per fortuna io dietro Nat sono immune :D

Originariamente inviato da MButi
Nella scheda del virus in questione di Symantec (http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.cirebot.html) c'è scritto Disable System Restore (Windows XP) , quindi o disattivate la funzione restore system o non rimuovete il virus ne manualmente ne tramite antivirus.
ma io ho win2k :)
cmq ho risolto con lo stinger e ho rimosso manualmente le chiavi del registro... ora tutto funge alla perfezione...
la patch l'ho installata quindi dovrei essere al sicuro da altri attacchi... no?

Originariamente inviato da monkey72
ma io ho win2k :)
cmq ho risolto con lo stinger e ho rimosso manualmente le chiavi del registro... ora tutto funge alla perfezione...
la patch l'ho installata quindi dovrei essere al sicuro da altri attacchi... no?

Per quest ovirus si, ma se in futuro altri useranno la porta 135 si ripresenterà il problema. Bisogna settare bene il firewall facendo test.

Ciao

Quando la porta è segnata come nascosta (stealth mi pare che dica il test) va bene lo stesso? O dovrebbe essere messa come chiusa?

Originariamente inviato da Bilancino
Per quest ovirus si, ma se in futuro altri useranno la porta 135 si ripresenterà il problema. Bisogna settare bene il firewall facendo test.

Ciao
ti prego... :( non mi parlare di firewall che mi sono antipatici a pelle... cmq poi mi dò un'occhiata a quello che s'è scritto su sygate e vedo di metterlo... :(
la 135 cmq da netstat mi risulta chiusa

Originariamente inviato da gpc
Quando la porta è segnata come nascosta (stealth mi pare che dica il test) va bene lo stesso? O dovrebbe essere messa come chiusa?

stealth è la situazione migliore.

ciao

Originariamente inviato da Oaichehai
quindi indipendentemente da ogni mail o sito infettato o roba del genere?
fammi capire, praticamente c'e' una scansione su larga scala di ip (generata non si sa da chi) che una volta beccatoti prova a sfruttare questo baco?


mi quoto....Bilancino sai se è cosi?

Originariamente inviato da majin mixxi
mi chiedo se noi di Fastweb siamo coperti da questo problema o no ( a scanso di equivoci comunque la patch l'ho scaricata)

Io ho fastweb dsl, ma niente, siamo vittime anche noi......

Con la procedure, si risolve...!!!
:)

Originariamente inviato da Oaichehai
mi quoto....Bilancino sai se è cosi?


niente e-mail il vostro pc viene invitato a scaricare il virus grazie a questa falla e il vostro pc ubbidisce.........:D

Se c'è il firewall ed è settato bene il pc non risponde perchè la porta 135 o altra usata per sincronizzare la connessione è nascosta...........infatti a me ieri nulla pur non avendo la patch.

Ciao

Originariamente inviato da Bilancino
stealth è la situazione migliore.

ciao

Come mai è migliore rispetto a closed?

(adesso comunque tutte le porte sono stealth... non riuscirò più a giocare in rete!! :cry: )

Originariamente inviato da Bilancino
niente e-mail il vostro pc viene invitato a scaricare il virus grazie a questa falla e il vostro pc ubbidisce.........:D

Se c'è il firewall ed è settato bene il pc non risponde perchè la porta 135 o altra usata per sincronizzare la connessione è nascosta...........infatti a me ieri nulla pur non avendo la patch.

Ciao

tnx :)

Originariamente inviato da gpc
Come mai è migliore rispetto a closed?

(adesso comunque tutte le porte sono stealth... non riuscirò più a giocare in rete!! :cry: )

Se io ti attacco e sono nascoste allora per me a quell'ip nessun pc è presente (io penso che non c'è nessun pc presente a quell'ip). Se il firewall mi risponde con cloded io dico "ah gpc c'è ma ha chiuso le porte" quindi posso provare altri attacchi per entrare, se ritengo importante la cosa..........

Ciao

Stiamo facendo lavorare parecchio Bilancino da ieri sera, eh... :D

Direi che un grazie collettivo per tutte le info che ci sta dando sia d'obbligo! :O ;)

ho controllato il file con hexworkshop e guardate cosa ho trovato all'interno

msblast.exe.I ju. wan.....to say LOVE YOU SAN!!.bill...m.gates&h.d%you make..~.1hi.possiQ.?1[{..Bp.ing.one-Wd.... fix2r]oftireU..=

Originariamente inviato da Oaichehai
quindi indipendentemente da ogni mail o sito infettato o roba del genere?
fammi capire, praticamente c'e' una scansione su larga scala di ip (generata non si sa da chi) che una volta beccatoti prova a sfruttare questo baco?
Pare che sia proprio così.
Ogni PC infettato fa una scansione di indirizzi casuali e infetta altri PC. E ogni PC infettato dal primo farà a sua volta la scansione, ecc... all'infinito.

Originariamente inviato da Bilancino
Se io ti attacco e sono nascoste allora per me a quell'ip nessun pc è presente (io penso che non c'è nessun pc presente a quell'ip). Se il firewall mi risponde con cloded io dico "ah gpc c'è ma ha chiuso le porte" quindi posso provare altri attacchi per entrare, se ritengo importante la cosa..........

Ciao

Ah ho capito!
Non avevo pensato a 'sta cosa.
L'unico mio limite è che il router risponde al ping dall'esterno... bah, dovrò leggermi quel benedetto manuale per settare bene i filtri... :rolleyes:

azz... ho fatto la scansione cn il software indicato da Bilancino qui (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A) e mi ha trovato 91 files infetti!!!!! ma li ha cancellati, vero?!! :eek:

Originariamente inviato da pais10
E' stato Norton a salvarti (il firewall),altrimenti Win Xp Sp1 era già gambe all'aria! :D
Bye!

quello che volevo dire era che non ho fatto nessun aggionamento tranne che avere la sp1 e che il mio nortonino fa il suo dovere.
Io lo consiglio perchè è affidabile e semplice da configurare
:D ... quindi lo consiglio x tutti quelli che non vogliono passare 1 giorno a configurarlo


pS: gli esperti si possono divertire nelle mille funzioni di questo programma.

Originariamente inviato da Minotauro
No, uso la procedura manuale...e devo dire che è già più di una settimana che non procedo a un upgrade. Possibile che da allora non siano state più rilasciate patch?
la patch è datata metà luglio!!!! ;)

la cosa che mi fa incavolare sono questi attacchi, il nortino mi da tutte le informazioni ... io che ci devo fare??


OrgName: Road Runner
OrgID: RRMA
Address: 13241 Woodland Park Road
City: Herndon
StateProv: VA
PostalCode: 20171
Country: US

NetRange: 65.24.0.0 - 65.27.255.255
CIDR: 65.24.0.0/14
NetName: ROADRUNNER-CENTRAL
NetHandle: NET-65-24-0-0-1
Parent: NET-65-0-0-0-0
NetType: Direct Allocation
NameServer: DNS1.RR.COM
NameServer: DNS2.RR.COM
NameServer: DNS3.RR.COM
NameServer: DNS4.RR.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2000-08-22
Updated: 2002-08-14

TechHandle: ZS30-ARIN
TechName: ServiceCo LLC
TechPhone: +1-703-345-3416
TechEmail: abuse@rr.com

OrgAbuseHandle: ABUSE10-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-703-345-3416
OrgAbuseEmail: abuse@rr.com

OrgTechHandle: IPTEC-ARIN
OrgTechName: IP Tech
OrgTechPhone: +1-703-345-3416
OrgTechEmail: abuse@rr.com

# ARIN WHOIS database, last updated 2003-07-25 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.

OrgName: Road Runner
OrgID: RRMA
Address: 13241 Woodland Park Road
City: Herndon
StateProv: VA
PostalCode: 20171
Country: US
Comment:
RegDate:
Updated: 2003-03-24

AbuseHandle: ABUSE10-ARIN
AbuseName: Abuse
AbusePhone: +1-703-345-3416
AbuseEmail: abuse@rr.com

AdminHandle: IPADD-ARIN
AdminName: IPADDREG
AdminPhone: +1-703-345-3151
AdminEmail: ipaddreg@rr.com

TechHandle: IPTEC-ARIN
TechName: IP Tech
TechPhone: +1-703-345-3416
TechEmail: abuse@rr.com

# ARIN WHOIS database, last updated 2003-07-25 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.

Originariamente inviato da Kudram
azz... ho fatto la scansione cn il software indicato da Bilancino qui (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A) e mi ha trovato 91 files infetti!!!!! ma li ha cancellati, vero?!! :eek:

che programma è?!
:confused:

Originariamente inviato da Er Paulus
che programma è?!
:confused:
t scariki 2 file e praticamente hai un antivirus fatto (quasi)apposta x bloccare (solo)stò WORM! ;)

è 1 soluzione x ki, come me, nn ha un antivirus installato! ;)

:)

Originariamente inviato da Oaichehai
quindi indipendentemente da ogni mail o sito infettato o roba del genere?
fammi capire, praticamente c'e' una scansione su larga scala di ip (generata non si sa da chi) che una volta beccatoti prova a sfruttare questo baco?


per fortuna io dietro Nat sono immune :D

Sì funziona così e pensa che è un programmino di 200k che in 2 sec apre una shell nel tuo pc e ti permette di fare quello che vuoi.
Il problema è che puoi venire usato come ponte x scan o hack a tua insaputa e se hai una connessione veloce puoi essere usato come dump..ti installano un server ftp e sei friccato.
In effettti sotto NAT hai il culo parato.

NapalM

nessuno sa dirmi che ci devo fare con quei dati??

Originariamente inviato da Fenomeno85
nessuno sa dirmi che ci devo fare con quei dati??

Bisogna vedere se sono tentativi di intrusione o solo port-scan, in pratica ti scannano x vedere se hai eventuali trojan attivi o se hai porte aperte quindi il vero attacco avverrà successivamente.
Che dire, mettiti un buon firewall che blocca tutto, altre cose (denuncie ecc..) sarebbe un inutile perdita di tempo.

NapalM

....non riesco a scaricare la patch......me la spedite? abrygio@tin.it :)

leggete qua: "Bill Gates, perché rendi possibile tutto questo?", si legge nel codice di Blaster. "Smettila di fare soldi e aggiusta i tuoi software". :D:D:D Inoltre, il worm dà istruzioni alle macchine infette affinché il 16 agosto indirizzino tutte insieme il loro traffico dati verso un sito dell'azienda di Redmond, mettendolo ko.

azz... a saperlo nn mettevo la patch, nè cancellavo il virus, ma aspettavo il 16 agosto x godermi lo spettacolo!!! :D:D:D


:)

Originariamente inviato da ally
....non riesco a scaricare la patch......me la spedite? abrygio@tin.it :)


ma tu nn eri quello immune!?!!! :confused: :D:D:D:D ;)


:)

Originariamente inviato da Kudram
ma tu nn eri quello immune!?!!! :confused: :D:D:D:D ;)


:)


...io si ma mio fratello no.....:cool:

...nei vari link che avete postato non rieso a scaricare la patch :muro: :)

....se vuoi dialoghiamo per altre mille ore....:D

Originariamente inviato da Kudram
leggete qua: "Bill Gates, perché rendi possibile tutto questo?", si legge nel codice di Blaster. "Smettila di fare soldi e aggiusta i tuoi software". :D:D:D Inoltre, il worm dà istruzioni alle macchine infette affinché il 16 agosto indirizzino tutte insieme il loro traffico dati verso un sito dell'azienda di Redmond, mettendolo ko.

azz... a saperlo nn mettevo la patch, nè cancellavo il virus, ma aspettavo il 16 agosto x godermi lo spettacolo!!! :D:D:D


:)


ritorno sulla questione che è sempre la solita, più un sistema si testa e più gli errori vengono fuori ... ritorno sul fatto che niente è esente da bug ... nemmeno i programmini mongoli fatti in c composti da 10 istruzioni :D

....nessuno ha questa dannata patch o almeno un link funzionante? :muro: ;)

Quindi x risolvere, cosa devo fare? anche a me sta succedendo, ogni volta che mi collego ad internet!:sofico: :oink:

Originariamente inviato da ally
....non riesco a scaricare la patch......me la spedite? abrygio@tin.it :)
Sto inviando con il mio 56 k, fra qualche minuto arriva :D

Originariamente inviato da MButi
Sto inviando con il mio 56 k, fra qualche minuto arriva :D


....grazie da rieducational channel:D :D :D

.....e da tutti i subbaqui o chiunque pratichi subbaquerismo :p ;)

Originariamente inviato da Orbital
Quindi x risolvere, cosa devo fare? anche a me sta succedendo, ogni volta che mi collego ad internet!:sofico: :oink:


Nel mio sito c'è la spiegazione, installi la patch e fai la rimozione manuale. Aggiorni poi l'antivirus e vedi se ha creato danni.

Ciao

Originariamente inviato da Bilancino
Nel mio sito c'è la spiegazione, installi la patch e fai la rimozione manuale. Aggiorni poi l'antivirus e vedi se ha creato danni.

Ciao


....ma come mai non sempre si riesce a scaricare la patch :muro: :)

Originariamente inviato da ally
....ma come mai non sempre si riesce a scaricare la patch :muro: :)

Forse sovraccarico.....tutti a correre quando basta filtrare la porta 135 e rimuoverlo manualmente......poi la patch si scarica dopo con calma....:D

Però a me va il donwload:

http://microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074



Ciao

Originariamente inviato da pippicalzelunghe
Io ho fastweb dsl, ma niente, siamo vittime anche noi......

Con la procedure, si risolve...!!!
:)
io ho fastweb fibra ma non ho avuto problemi! sara' per merito di fastweb?

...bah vallo a sapere.....comunque ho già eliminato manualmente.....Bilancino ottimo sito ;)....e mi hanno inviato anche la patch.......Mbuti grazie mille ;)

Originariamente inviato da gpc
Stiamo facendo lavorare parecchio Bilancino da ieri sera, eh... :D

Direi che un grazie collettivo per tutte le info che ci sta dando sia d'obbligo! :O ;)
ma che grazie! e' il suo lavoro! anzi ancora mi deve dare le dritte a me! :mad:




















:D

che buffo, incredibile ma vero sto virus o quello che e mi e comparso ripristinando un'immagine quind in teoria come diavolo me lo son preso? Ma grazie al forum ho risolto subito tutto senza dover formattare (n lo voglio piu fareeee)..voi avete risolto?

Originariamente inviato da Jedi82
ccome diavolo me lo son preso?


Attraverso la porta 135 lasciata aperta anche dal firewall viene stabilita una connessione con il pc dell'utente ignaro, così utilizzando la vulnerabilità viene fatto scaricare il worm e messo in esecuzione.

Ciao

Ma colpisce solo XP o anche Win2K?
Non l'ho mica capita sta cosa.

Originariamente inviato da Jedi82
che buffo, incredibile ma vero sto virus o quello che e mi e comparso ripristinando un'immagine quind in teoria come diavolo me lo son preso? Ma grazie al forum ho risolto subito tutto senza dover formattare (n lo voglio piu fareeee)..voi avete risolto?

Te lo sei preso con il P2P... a me è capitato così. :cry:

ieri faceva troppo caldo quando ho preso il worm "msblast" verso le 19:30...
ho spento tutto e mi sono andato a fare un gelato! ;)
questa mattina sono rimasto sorpreso nel leggere che anche altri si sono ritrovati nelle mie stesse condizioni :eek:
ho pulito nel "regedit", ho eliminato i 2 file "msblast" uno in "prefetch" ed uno in "system32", ho installato la patch critica per xp.
devo dire che per la prima volta è caduto un mio mito, l' F-Prot antivirus, seppur aggiornato all'08/08/03 nulla ha potuto fare, non ha rilevato niente e si è beccato sto worm cicciotto cicciotto...
questa mattina per curiosità ho rifatto l'update dell'antivirus ed infatti F-Prot ha rilasciato un aggiornamento proprio ieri alle 23.00 :rolleyes:
...meglio tardi che mai... :O

Originariamente inviato da Grem
Ma colpisce solo XP o anche Win2K?
Non l'ho mica capita sta cosa.

XP, NT, 2000, 2003 server

Ciao

Ok, thx.
Procedo al download.

Originariamente inviato da toshisdr5002a
F-Prot ha rilasciato un aggiornamento proprio ieri alle 23.00 :rolleyes:
...meglio tardi che mai... :O

infatti, io sono arrivato prima di loro, bastava bloccare la porta 135 ed si era immnuni anche senza patch. Infatti a me nulla è successo poi ho aggiornato F-prot

Ciao

ma a me un'avviso di errore RPC con seguente riavvio, mi è capitato l'altra settimana....coincidenza?!:confused:

Originariamente inviato da Bilancino
infatti, io sono arrivato prima di loro, bastava bloccare la porta 135 ed si era immnuni anche senza patch. Infatti a me nulla è successo poi ho aggiornato F-prot


mitico f-prot! ma lo usavo anni fa, ormai temevo che fosse sparito.

quanto al problema io oggi ho bloccato la porta 135 ma ho notato che qualche accesso c'è stato leggendo il log del firewall.
non so che cosa può essere successo perché nelle opzioni di default di RPC in windows 2000 non c'è nessuna azione quindi quando gli altri avevano il riavvio forse io non avevo nemmeno un messaggio di errore.
in ogni caso ora c'è la patch e c'è pure sygate che fa buona guardia quindi sono tranquillo.
ah dimenticavo: nonostante ieri fossi "vulnerabile" mblast non l'ho trovato nei programmi in esecuzione e tantomeno nel registro

ovviamente con il mio firewall Hardware non è successo niente... :D

cmq sto sperimentando l'exploit su mio fratello (senza che lui lo sappia)... probabilmente entro stasera riesco a creare un account da admin sul suo pc direttamente dalla stanza accanto :D :D

Originariamente inviato da Bilancino
infatti, io sono arrivato prima di loro, bastava bloccare la porta 135 ed si era immnuni anche senza patch. Infatti a me nulla è successo poi ho aggiornato F-prot

Ciao

emmm..... dimenticavo...
ho finito ora lo scan con l'antivirus aggiornato...

D:\System Volume Information\_restore{EE5FC6E7-C7E9-4C04-990F-AC7AB7FF7FDF}\RP36\A0005452.exe Infezione: W95/Msblast.A Eliminato.

avevo dimenticato la cartella di restore! :rolleyes: :O ;)

Originariamente inviato da Bilancino
infatti, io sono arrivato prima di loro, bastava bloccare la porta 135 ed si era immnuni anche senza patch. Infatti a me nulla è successo poi ho aggiornato F-prot

Ciao

scusa bilancino fammi capire bene questa cosa...
col sistema ripulito e l'antivirus aggiornato e xp patchato, la porta 135 però continua a restare aperta?
quindi è sempre a disposizione per nuovi virus? :confused:

Originariamente inviato da toshisdr5002a
scusa bilancino fammi capire bene questa cosa...
col sistema ripulito e l'antivirus aggiornato e xp patchato, la porta 135 però continua a restare aperta?
quindi è sempre a disposizione per nuovi virus? :confused:

Si la 135 deve essere chiusa, anche i test dei firewall lo dicono.

Ciao

grazie per le spiegazioni! fino a ieri ho avuto la morosa in casa, è gelosa del pc e non ho potuto capire che succedeva...

comunque!
ho pensato che sarebbe una buona idea cercare dei link o realizzare una piccola guida per impostare il pc in maniera relativamente sicura (magari prendendo un firewall come esempio)..sarebbe una cattiva idea?vedo che tante persone (me compreso) non si sono mai preoccupate troppo di questo problema..

Originariamente inviato da Drago
grazie per le spiegazioni! fino a ieri ho avuto la morosa in casa, è gelosa del pc e non ho potuto capire che succedeva...

comunque!
ho pensato che sarebbe una buona idea cercare dei link o realizzare una piccola guida per impostare il pc in maniera relativamente sicura (magari prendendo un firewall come esempio)..sarebbe una cattiva idea?vedo che tante persone (me compreso) non si sono mai preoccupate troppo di questo problema..


Basta poco, perchè fai un test di un firewall e vedi di seguire i consigli. il problema è che molti per giocare in rete chiudono il firewall ed proprio li se capita sono vulnerabili.

Ciao

Scusate il mio intervento.. trovo utilissimi i consigli che ho letto in questo thred e che mi hanno consentito di risolvere definitivamente il problema.. .mi chiedo solo perchè non si è pensato di mettere questo thred in rilievo anche su DISCUSSIONI GENERICHE visto che non mi sembra propriamente un tema da OFF-TOPIC..... e comunque vista la portata epidemica della cosa credo sarebbe stata utile una informazione ben più massiccia di quella data... Chi è affetto da questo problema riesce a stare collegato si e no 50 secondi ed è molto difficile usare la funzione ricerca in un tempo così breve e districarsi tra i vari forum...

grazie

Originariamente inviato da Aes Sedai
Scusate il mio intervento.. trovo utilissimi i consigli che ho letto in questo thred e che mi hanno consentito di risolvere definitivamente il problema.. .mi chiedo solo perchè non si è pensato di mettere questo thred in rilievo anche su DISCUSSIONI GENERICHE visto che non mi sembra propriamente un tema da OFF-TOPIC..... e comunque vista la portata epidemica della cosa credo sarebbe stata utile una informazione ben più massiccia di quella data... Chi è affetto da questo problema riesce a stare collegato si e no 50 secondi ed è molto difficile usare la funzione ricerca in un tempo così breve e districarsi tra i vari forum...

grazie

Il problema che molti utenti(utonti....:D) non vengono nella mia sezione e se la discussione la mettevo lì dove è la sezione più giusta pochi avrebbero risolto la cosa perchè non avrebbero saputo della discussione presente. Come successe con il bugbear.b la sezione OT è la migliore perchè raccoglie più utenti, praticamente il 90%

Ciao

Edit

Originariamente inviato da Bilancino
Si la 135 deve essere chiusa, anche i test dei firewall lo dicono.

Ciao

ma cosa comporta esattamente la chiusura di questa porta!?
:confused:

Originariamente inviato da Er Paulus
ma cosa comporta esattamente la chiusura di questa porta!?
:confused:


Che non è possibile stabilire una connessione con te..........i sistemi operativi come xp hanno la possibilità dell'asistenza remota e cose simili, per loro (chi le ha progettati) utili per me pericolosi..........

Ciao

Originariamente inviato da Bilancino
Che non è possibile stabilire una connessione con te..........i sistemi operativi come xp hanno la possibilità dell'asistenza remota e cose simili, per loro (chi le ha progettati) utili per me pericolosi..........

Ciao

quindi non preclude la possibilità di usare al meglio programmi p2p, oppure delle partite multiplayer!?
:)

Originariamente inviato da Bilancino
Il problema che molti utenti(utonti....:D) non vengono nella mia sezione e se la discussione la mettevo lì dove è la sezione più giusta pochi avrebbero risolto la cosa perchè non avrebbero saputo della discussione presente. Come successe con il bugbear.b la sezione OT è la migliore perchè raccoglie più utenti, praticamente il 90%

Ciao

Mah, se non l'avessi visto sotto Windows e DirctX e in altri thread chusi in dicussioni generiche non mi sarebbe mai venuto in mente di cercare in OT. Anche a me non è sembrato il posto più logico.
Comunque l'importante è che, alla fine, grazie all'aiuto di tutti, siamo riusciti a risolvere il problema :)

Originariamente inviato da Er Paulus
quindi non preclude la possibilità di usare al meglio programmi p2p, oppure delle partite multiplayer!?
:)

no il mio pc ha tutto chiuso ma uso il p2p tranquillamente...........

Ciao

Originariamente inviato da Bilancino
Il problema che molti utenti(utonti....:D) non vengono nella mia sezione e se la discussione la mettevo lì dove è la sezione più giusta pochi avrebbero risolto la cosa perchè non avrebbero saputo della discussione presente. Come successe con il bugbear.b la sezione OT è la migliore perchè raccoglie più utenti, praticamente il 90%

Ciao
allora chiudiamo la tua sez :D

Originariamente inviato da fabius00
allora chiudiamo la tua sez :D

può essere.......mi trasferisco su OT così non apri più discussioni............:D

(Scherzo)

Ciao

ehi raga, io ho eliminato il worm manualmente, dal registro e fatto tutti i consigli, ma continua a farlo, perché??

La patch è stata messa? Inoltre hai svuotato il system restore?

Ciao

Originariamente inviato da Bilancino
La patch è stata messa? Inoltre hai svuotato il system restore?

Ciao


come si svuota???

antivir mi segnala il virus, però non trova file infetti... :confused:

Originariamente inviato da dibe
come si svuota???

antivir mi segnala il virus, però non trova file infetti... :confused:

http://digilander.libero.it/andreaing/tools_antivirus.htm

Ciao

Originariamente inviato da Bilancino
http://digilander.libero.it/andreaing/tools_antivirus.htm

Ciao


ok grazie 1000 bilancino!! :)

è importante installare un firewall che permetta la creazione di regole specifiche . firewall come zone alarm etc nn permettono di avere un adeguato controllo

Io uso kerio e per quanto mi riguarda ho creato un paio di regole ke mi permettano una buona sicurezza ovvero:

nego qualsiasi traffico sconosciuto

permetti ICMP in&out (di tipo 8 e 0)

permetti in uscita programmi tipo explorer, outlook verso le apposite porte e solo quelle

permetti DNS in uscita

e poke altre

per giocare in rete basta dare il permesso al relativo exe del gioco in in/out ovviamente abilitando il controllo MD5 degli exe

ovviamente disattivare i servizi nn indispensabili (condivisione desktop, registro remoto etc), installare un programma anti-spyware e un buon antivirus con cui fare scansioni periodiche

grazie anche da parte mia per i consigli.
vorrei provare sygate5, appena avrò un pò di tempo perchè mi sembra di aver capito che non sia semplicissimo e velocissimo configurare tutti i parametri... :(

Originariamente inviato da toshisdr5002a
grazie anche da parte mia per i consigli.
vorrei provare sygate5, appena avrò un pò di tempo perchè mi sembra di aver capito che non sia semplicissimo e velocissimo configurare tutti i parametri... :(

no, non è complicato!
l'unica cosa che non capito è come salvare le impostazioni: ogni volta che lo installo da capo mi tocca rifare le regole :mad:

è da un pezzo che ho sygate e non ho ancora trovato di meglio, almeno per le mie esigenze

Regola "Blocco predefinito EPMAP" nascosta (62.98.56.154,epmap(135))
Connessione TCP in entrata
Indirizzo locale, servizio: (fsv9g298tmg35sv(62.98.43.94),epmap(135))
Indirizzo remoto, servizio: (62.98.56.154,1416)
Nome processo: "C:\WINDOWS\system32\svchost.exe"


Controllando nel registro del mio firewall ho visto che solo oggi ha eseguito questo blocco centinaia di volte:eek: , a che fare con questo virus ? Mi devo preoccupare ?

scusate se nn m sono letto tutto (avete fatto su un topic da record a tempo di record :D ) ma sentitemi: provate ad andare in pannello di controllo --> connessioni di rete --> proprietà della vostra connessione (tasto destro) --> Scheda "avanzate" --> spuntate (ovvero virgoletta nel quadrattino) "proteggi il computer e la rete....

byez

Originariamente inviato da Bilancino
La patch è stata messa? Inoltre hai svuotato il system restore?

Ciao
la patch non l'ho messa perché non mi dà il tempo di scaricarla, mi ci vogliono due minuti e mi inizia subito il problema!
:cry:

sono proprio cavoli!!
Questo worm pare che rompe le scatole ma non fa danni, a parte riavviare il pc automaticamente.
Ma da quello che ho capito mi sa che questo worm è solo una prova generale.
Con il baco scoperto in windows, responsabile della facilità con cui sono riusciti a creare il worm blaster, penso che presto qualche hacker creerà presto il vero virus che fa i danni!

Originariamente inviato da tron
Con il baco scoperto in windows, responsabile della facilità con cui sono riusciti a creare il worm blaster, penso che presto qualche hacker creerà presto il vero virus che fa i danni!

in quel caso saranno volatili per diabetici :D
il problema è che se sono stati così ingenui su questo RPC potrebbero aver fatto lo stesso errore anche da altre parti.
credo che non sfrutteranno QUESTO bug per fare dei danni ma il timore è che appunto ne sfrutteranno altri...

raga, ma non c'è piu mblast.exe né nel sistema, nè in task manager, perché l'ho tolto anche senza aver messo la patch...la installo lo stesso???
è una cosa complicata, o si tratta di pigiare "avanti!?:)

io nn ce l'ho più xkè ho reinstallato tutto stamattina, xò è meglio installarlo lo stesso....

Originariamente inviato da Verro
è una cosa complicata, o si tratta di pigiare "avanti!?:)

eh insomma, devi anche fare doppio click sul file eseguibile per lanciarla...
non so se riesci... :p :D

cmq io direi di metterla, a maggior ragione se l'hai già scaricata

Vorrei porvi delle domande Perche' il pc della mia compagna ha questo problema
Se uso il ripristino di configurazione con Windows Xp andando indietro di un mese e installo il Norton e lo aggiorno e installo un firewell credete che la cosa funziona?
Visto che non posso scaricare niente perche' 30 secondi dopo il collegamento il compiuter si riavvia.
Il computer della mia compagna non aveva ne il norton ne sygate
non ha mai voluto che glieli installassi.
usando il Ripristino di configurazione ci si riesce a collegarsi o il virus resta sempre li?

io ho installato la patch e ho cancellato la stringa CON regedit solo che mi rimane nella cartella di win allora voglio cancellarlo ma nn me lo fa cancellare perchè è in uso...in teoria dovrei fare ctrl alt can hiudere il file e poi delete solo che quando voglio attivare il taskmanager mi viene fuori solo l icona della sulla barra e basta ..che devo faree???


ps

ma devo mettre il segnetto su:
disattiva ripristino di configurazione di sistema su tutte le unità
????????

edit2..sono riuscito a cancellarli ora dovrei essere ok???:confused:

Originariamente inviato da Verro
la patch non l'ho messa perché non mi dà il tempo di scaricarla, mi ci vogliono due minuti e mi inizia subito il problema!
:cry:


eheheh rimuovi manualmente il virus e blocca con il firewall la porta 135 poi potresti stare sicuro scaricando la patch.

Ciao

scusate ma windows XP non ha un suo firewall?
ok farà schifo ma non permette di bloccare una particolare porta?


OT: bello il nuovo avatar Bilancino, anche io sono fan di saint seiya ;)

Originariamente inviato da recoil
scusate ma windows XP non ha un suo firewall?
ok farà schifo ma non permette di bloccare una particolare porta?

Sinceramente non mi fido troppo e poi se il sistema operativo è fallato non penso che il firewall sia di meno..........:D

Ciao

Originariamente inviato da Bilancino
Sinceramente non mi fido troppo e poi se il sistema operativo è fallato non penso che il firewall sia di meno..........:D

Ciao

certo per carità, era una soluzione temporanea per avere il tempo di scaricare la patch, gli aggiornamenti dell'antivirus o meglio ancora un firewall decente :)

xchè questo tipo di cose nn mi meravigliano +? :O

che dire, tanto è normale...... :zzz:

winz, il buco con il sistema intorno!:D

ALLARME GENERALEEEEEE

.... da qualche parte si dice che non sia solo la porta 135....

ALLARME CONCLUSO

meglio metter la patch di winzozz velocememente :)

Originariamente inviato da Fradetti
ALLARME GENERALEEEEEE

.... da qualche parte si dice che non sia solo la porta 135....

ALLARME CONCLUSO

meglio metter la patch di winzozz velocememente :)

c'è anche la 69 ma se la 135 è bloccata non si può stabilire la connessione..........Sta di fatto che io ieri senza patch avendo la 135 chiusa non ho avuto problemi.

Ciao

Originariamente inviato da Bilancino
c'è anche la 69 ma se la 135 è bloccata non si può stabilire la connessione..........Sta di fatto che io ieri senza patch avendo la 135 chiusa non ho avuto problemi.

Ciao

solo per specificare... cmq è vero senza la 135 non succede niente (e io che sto aspettando che mio fratello riavii il pc perchè gli ho fatto involontariamente crashare il servizio che sta sulla 135 ma senza fargli alcun danno :O ) se non riavvia entro due ore gli faccio saltare la corrente :D

Ultimamente è capitato spesso anche a me...ma ricordo che mi era già capitato un mesetto fa. Cmq per annulare l'operazione di arresto andavo in:

START > ESEGUI: shutdown -a

C:\DOCUME~1\FEDE>netstat -a -n

Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5679 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1026 *:*
UDP 0.0.0.0:1035 *:*
UDP 80.117.207.145:123 *:*
UDP 80.117.207.145:1900 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1457 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:2051 *:*

Originariamente inviato da Fede
C:\DOCUME~1\FEDE>netstat -a -n

Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5679 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1026 *:*
UDP 0.0.0.0:1035 *:*
UDP 80.117.207.145:123 *:*
UDP 80.117.207.145:1900 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1457 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:2051 *:*

Si escono anche a me questi IP: 0.0.0.0:xxxx
Ma che roba è?
Non esiste 0.0.0.0!!!!
uso poco netstat, ma dalle volte che lo usato, non mi ricordo di aver mai visto questi IP! E poi da me sono molti d più!!!
(cmq ho la patch, mi sto per installare un buon firewall, forse opterò per sygate..., e non mi è più successo :cool: :) )
Ciaux :D ;)

asdasdasdasd..... ho trovato l'exploit perfetto :)

si può avere la sua shell in 10 sec :)

Originariamente inviato da 4en!!!
c'è qualcuno ke vede il pannello di controllo in questo modo?

http://forum.hwupgrade.it/attachment.php?s=&postid=1891013




Se ti può consolare io così ci vedo pure il cestino!:muro:

Originariamente inviato da Bilancino
c'è anche la 69 ma se la 135 è bloccata non si può stabilire la connessione..........Sta di fatto che io ieri senza patch avendo la 135 chiusa non ho avuto problemi.


hmm, di questo possiamo star sicuri?

io ho installato al patch e rifacendo il test x la vulnerabilità sul sito grc.com effettivamnte mi da le porte 135 e 445 come stealthate ma la porta 139 come aperta... sicuri che un'attacco non possa venire anche da lì?

nel'incertezza avrei già installato un firewall ma temo interferisca con i client p2p, in particolare edonkey... ho sentito che zonealarm da problemi, ad esempio... :(

Mi rimane un dubbio,fino all'installazione della patch ho avuto problemi con il file svchost,comunque nessun riavvio solo l'impossibilità di aprire la maggior parte dei link.
Ora con la patch tutto ok,però sia prima che ora non mi trova nessun file msblast.exe.
Che faccio sto tranquillo cosi?

Originariamente inviato da DooM1
Si escono anche a me questi IP: 0.0.0.0:xxxx
Ma che roba è?
Non esiste 0.0.0.0!!!!
uso poco netstat, ma dalle volte che lo usato, non mi ricordo di aver mai visto questi IP! E poi da me sono molti d più!!!
(cmq ho la patch, mi sto per installare un buon firewall, forse opterò per sygate..., e non mi è più successo :cool: :) )
Ciaux :D ;)

le prime sono le porte...:eek:

Spero possa essere utile come riassuntino:)


UN WORM DA ALLARME ROSSO
------------------------

Il suo nome e' Blaster e in queste ore sta infettando una quantita' di server Internet e computer con sistema operativo Windows. Per diffondersi sfrutta una falla di sicurezza scoperta recentemente e chiamata DCOM RPC, meglio descritta nell'apposita pagina messa a punto da Microsoft:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Blaster contiene un messaggio rivolto a Bill Gates, che tradotto e': "Bill Gates, perche' rendi questo possibile? Smetti di fare soldi e sistema i tuoi software!!".

CHI VIENE COLPITO
-----------------

Molti i computer windows vulnerabili a questo worm: Windows NT, 2000, XP e Server 2003. Windows 95/98/Me non utilizzano il servizio RPC e sono quindi immuni.
In particolare sono soggetti a Bluster i server web e i computer connessi a Internet che non hanno installato la patch Microsoft.

COME FUNZIONA
-------------

Sfruttando la falla di cui sopra, il worm si insinua nel computer attraverso la porta TCP numero 135 uploadando un file (msblast.exe) e tenta di generare un attacco Denial of Service (DoS) al sito windowsupdate.com, per impedire che gli utenti infetti possano scaricare la patch che impedisce al worm di entrare nel sistema.

COME RICONOSCERLO
-----------------

Blaster crea un "Mutex" dal nome Billy. In piu', come molti worm, una delle prime operazioni che compie e' quella di inserire una chiave nel registro di Windows (in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) in modo da assicurarsi in caso di riavvio di essere eseguito.

CHE DANNI PROVOCA
-----------------

Oltre all'attacco DoS, Blaster tenta di eseguire alcuni comandi attraverso la shell cmd.exe, aprendo la porta 4444. Ancora, e' pronto a spedire il file msblas.exe attraverso la porta UDP 69 non appena un altro sistema lo richiede, in modo da poterlo infettare.

L'attacco DoS avviene solo se la data di sistema e' impostata sul mese di agosto con un giorno superiore al 15. E' lecito pensare quindi che Blaster attacchera' dal 16 agosto prossimo il sito di windowsupdate.com, fino alla fine dell'anno.

COME DIFENDERSI
---------------

Fondamentale e' installare la patch per la vulnerabilita' sfruttata da Blaster. Per farlo e' sufficiente collegarsi al sito Microsoft all'indirizzo citato in cima a questo messaggio.

Symantec ha reso disponibile un tool per rimuovere Blaster. per scaricare il programma collegarsi al seguente URL e seguire le istruzioni:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Se non utilizzati chiudere i servizi FTP, Telnet e Web che possono essere attivati di default in alcune versioni di Windows.

Aggiornare il proprio sistema antivirus.

ULTERIORI INFORMAZIONI

Attenzione perchè attraverso la stessa vulnerabilita' si puo' prendere il trojan 'autorooter', che tuttora non viene rilevato da molti antivirus, compreso il Norton.

Vi consiglio di fare di fare una scansione con il The Cleaner aggiornato all'ultima definizione.

Avuto anche io lo stesso problema e con la patch ho risolto tutto!!!:D :)

tutto e bene quel che finisce bene!!

Originariamente inviato da @Crikkkk-19
Avuto anche io lo stesso problema e con la patch ho risolto tutto!!!:D :)

tutto e bene quel che finisce bene!!

mica tanto....ringrazia chi ha inventato sto virus a non averne fatto un virus "deleterio".

Originariamente inviato da Er Paulus
mica tanto....ringrazia chi ha inventato sto virus a non averne fatto un virus "deleterio".


già... avrebbe potuto essere un vero disastro...

ma porc..!
ho lasciato il pc incostudito x 3 gg e mi sono ritrovata sto errore svchost.exe

ok... devo aggiornare la pach ma come faccio se mi blocca il link a windows update?

help!

A questo punto, non rimane che mettere sul server di Hardware Upgrade questa patch per tutti i sistemi operativi, e magari anche un download manager (il più "snello") nel caso non si abbia il tempo di scaricare in una sola volta la patch.
O qualcuno che ha spazio web può uploadarsi almeno la patch per un OS!!!
Io possiedo la patch, ma con il 56K non credo che la possa inviare facilmente a molti utenti via email... e poi quanto ci si mette a scaricarla... viene molto scomodo!
Io faccio questa proposta... la metterei in allegato a questo post, ma giustamente c'è il limite di grandezza...!
Che dite moderatori?
Ciaux :D ;)

credo che non servirebbe a molto...
credo che adesso abbia deciso di bloccare anche questo forum!!!
ho dovuto riavviare per vederlo di nuovo...

eccolo di nuovo... puntuale come la morte! :muro:

chissa se adesso invia il msg...:rolleyes:

Originariamente inviato da ella
credo che non servirebbe a molto...
credo che adesso abbia deciso di bloccare anche questo forum!!!
ho dovuto riavviare per vederlo di nuovo...

eccolo di nuovo... puntuale come la morte! :muro:

chissa se adesso invia il msg...:rolleyes:
Beh ma scusa con un download manager, riusciresti penso con un bel po' di riavvii a scaricartelo! 2 minuti bastano per scaricare un po' di K!
Lo so che è stressante cacchio... io stranamente ho scaricato la patch facilmente.
Ma scusatemi tutti un momenti però...
mi rivolgo a chi non riesce a scaricare la patch:

ma voi usate WindowsUpdate?
Se si, scusate non utilizzatelo, andate nel sito microsoft... anzi scaricate direttamente da QUI (http://download.microsoft.com/download/a/2/f/a2fddb77-f81d-4fe5-a819-8787cba53a4b/WindowsXP-KB823980-x86-ITA.exe) !! È un link diretto! A me ha funzionato subito!
Ma scusate, se si termina msblast.exe prima di connettersi, non si viene attaccati... o si?

Ciaux :D ;)

hai ragione:scaricato dal link della microsoft.
mi è venuto in mente 1 attimo dopo aver postato!

clap clap cmq

che bello: adesso mi funzia tutto... pure il norton...

a volte penso che microsoft o non dovrebbe diffondere notizie su bachi della protezione dei suoi OS o dovrebbe pubblicizzare subito molto la cosa per far fare a tutti l'update!!

sembra che gli Hacker si accorgano dei bug solo se glielo dice Bill!!

Originariamente inviato da Er Paulus
mica tanto....ringrazia chi ha inventato sto virus a non averne fatto un virus "deleterio".

E' stata la prima cosa che ho pensato pure io. Sai che caos?

Originariamente inviato da ella
hai ragione:scaricato dal link della microsoft.
mi è venuto in mente 1 attimo dopo aver postato!

clap clap cmq

che bello: adesso mi funzia tutto... pure il norton...

a volte penso che microsoft o non dovrebbe diffondere notizie su bachi della protezione dei suoi OS o dovrebbe pubblicizzare subito molto la cosa per far fare a tutti l'update!!

sembra che gli Hacker si accorgano dei bug solo se glielo dice Bill!!


di solito è il contrario... è la microsoft che impiega settimane per rilasciare le patch che risolvono problemi di sicurezza...

e l'aggiornamento c'era... solo che al solito nessuno si preoccupa di installarli... utonto per primo

Originariamente inviato da Fradetti
asdasdasdasd..... ho trovato l'exploit perfetto :)

si può avere la sua shell in 10 sec :)

fatto tu o trovato in giro?

Impanicato come tutti e prima di scoprire la patch ho cercato di arginare il problema di collegamento a internet andando nei servizi e selezionand quello di RPC ho cambiato le opzioni Da : riavvia in caso di crash a : non fare nulla. Questo con XP Professional Sp1 e nonostante internet funzionasse non al 100% comunque riuscivo a navigare o downloadare lo stesso. Poi scoperta la patch reinstallato e aggiornato l'antivirus (PCCILLIN 2003 , che guarda a caso non riusciva ad aggiornarsi automaticamente!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!) mi ha subito sgamato msblaster.exe ... 7k di maledizioni.

Saluti

MArco

Originariamente inviato da recoil
fatto tu o trovato in giro?

trovato in giro.... su un sito argentino :)

Originariamente inviato da kaioh
Xp, Xp, sempre Xp........
Quindi il mio fido Win98SE ne è immune pure questa volta a queste cose ,è gia passato indenne sotto Nicole con la sua messaggistica istantanea e passa indenne pure questa volta.
:winner: :winner:


E' soggetto cmq allla vulnerabilità delle porte 135 139 e 445 che viene risolta dalla MS03-026, l'unica cosa è che forse non ti sei ancora preso il worm....

ragazzi non ho letto tutto (solo fino a pagina 12 mi sembra) e cmq ha me questo bug non mi ha colpito :cool: perkè avevo (ed ho ancora) zoneallarm, ora mi è arrivata un email dove è spiegato il motivo della creazione di questo virus :Bombardare saturando la banda il sito windows update (è un attacco ddos giusto?)

cmq ecco la notizia:

Allarme virus: arriva Lovsan

«I just want to say LOVE YOU SAN» questo il simpatico
messaggio che compare sui computer infettati da Lovsan
(appunto) o Blaster. In qualsiasi modo lo si chiami,
questo virus creerà non pochi problemi agli utenti ma
in particolare alla Microsoft. Il worm non arriva tramite
la posta elettronica, bensì sfrutta una falla presente
in quasi tutte le versioni di Windows, entra nel pc
attraverso la porta Rpc (Remote Procedure Call) e lo
costringe a scaricare l’eseguibile msblast.exe da un
computer remoto. In realtà le macchine infette non sono
il vero obiettivo, esse servono da tramite per un
progetto che vuole colpire direttamente Bill Gates e la
Microsoft. Ogni volta che si riaccende il pc che Blaster
ha già “visitato” – modificandone il registro di Windows
- il programma installato con l’eseguibile va alla ricerca
di nuovi pc da attaccare, e il worm li “istruisce” in modo
che il 16 di agosto in viino il loro traffico dati verso il
sito windowsupdate.com. Danno e beffa! Ecco cosa si legge
nel codice di Blaster: “Bill Gates perché rendi possibile
tutto ciò? Smettila di fare soldi e aggiusta i tuoi
software!”. Chiaramente non c’è giustificazione valida per
un attacco che va a danneggiare la “proprietà altrui” e che
potrebbe, col diffondersi del virus, creare disagi al
traffico Internet, in ogni caso è vero che la falla di
windows è un problema che riguarda anche il singolo utente.
In effetti il computer diventa vulnerabile e chiunque può
entrarvi e prenderne possesso, insomma è come lasciare le
chiavi di casa in mano ad un ladro! Ma la Microsoft, una
volta accortasi della falla, è corsa subito ai ripari: il
16 luglio infatti è comparsa la patch che permette di
salvaguardare la propria macchina. Ma mettere una pezza non è molto più semplice che sforzarsi di fare software sicuri? Nel frattempo, visto che il virus, partito dagli Usa, ha
ormai raggiunto anche l’Italia, si consiglia agli utenti di
mettersi al riparo scaricando la sopraccitata patch, sempre
che il ladro non si sia già servito!

Fonte The Net di Buongiorno

quindi con zone alarm sono al sicuro o no???

Originariamente inviato da electric_g
quindi con zone alarm sono al sicuro o no???

Metti la patch e stai ancora meglio..........

Ciao

Originariamente inviato da Bilancino
Metti la patch e stai ancora meglio..........

Ciao
e se la patch avesse problemi come hai detto tu in qualke post all'inizio del 3d?

Originariamente inviato da francescox87
e se la patch avesse problemi come hai detto tu in qualke post all'inizio del 3d?

Io l'ho messa e mi va tutto bene poi è passato un mese dall'uscita.......comunque se fai un test e la porta 135 è chiusa stai al sicuro.

Ciao

Originariamente inviato da Bilancino
Io l'ho messa e mi va tutto bene poi è passato un mese dall'uscita.......comunque se fai un test e la porta 135 è chiusa stai al sicuro.

Ciao
ho fatto il quick test (il giorno dopo il boom di riavvi di windows)
e mi diede tutti safe tranne la privacy di explorer, e le porte erano chiuse(penso).

Originariamente inviato da francescox87
ho fatto il quick test (il giorno dopo il boom di riavvi di windows)
e mi diede tutti safe tranne la privacy di explorer, e le porte erano chiuse(penso).


Ok come a me con Sygate, infatti non mi è successo nulla.

Ciao

http://www.tgcom.it/ArticoloTgCom/articoli/articolo139025.shtml

Internet, super virus è anomalo
E' più resistente del previsto
E' ancora alto in tutto il mondo informatico l'allarme per Lovesan, o MSBlast il super virus che riesce a bloccare Windows anche quando è installato il programma che risolve le debolezze del sistema sfruttate dal virus. Lovesan riesce inoltre ad attaccare 20 sistemi alla volta, con un intervallo di soli 1,8 secondi fra un attacco e l'altro. Lo ha rivelato un esperto di sicurezza informatico dopo aver effettuato le prime analisi.
Come spiega Fulvio Berghella, responsabile di Securitynet e vicedirettore generale della Euros Consulting, avere installato la patch, come si chiama in gergo il programma che ripara le falle create da un virus, non dà la sicurezza di poter evitare gli effetti di Lovesan. Per chi riaccende il computer dopo un periodo di assenza il consiglio degli esperti è di non connettersi in rete. "Sono molte le segnalazioni giunte da utenti che hanno avuto problemi nonostante avessero installato la patch" dice Berghella, che aggiunge: "Il consiglio è di accendere il pc senza collegarsi in rete e andare subito a controllare nella directory di Windows se è presente il file MSBlast".

Se c'è vuol dire che si è diventati una nuova vittima di Lovesan. Bisogna cancellare il file MSBlast, quindi provare a connettersi per caricare l'antivirus e installare la patch. Va inoltre chiusa con una fire-wall (ovvero uno "sbarramento") la porta 135, che è quella utilizzata dal virus per entrare nel sistema operativo. Lovesan è un virus "estivo", che cerca di diffondersi sfruttando la settimana di Ferragosto in cui, in molti paesi del mondo, le aziende sono chiuse o funzionano a ranghi ridotti. Dai primi test condotti finora Lovesan sarebbe già riuscito a infettare molti siti italiani, anche se le prime stime numeriche saranno possibili soltanto dopo questo periodo di ferie.

Sono molti gli aspetti ancora misteriosi di questo super-virus. Ad esempio, osserva Berghella, "non era mai successo finora che un virus riuscisse ad agire su patch così recenti e a trovare, per esse, ulteriori meccanismi di inganno". Una novità che suggerisce l'ipotesi di una possibile azione comune degli hacker, dopo il congresso mondiale di Las Vegas che si è concluso pochi giorni fa. Un altro punto oscuro, infine, è la parola "San" contenuta nel messaggio che accompagna il virus. E' un termine giapponese che significa "signore" o "signora" e viene usato normalmente dopo i nomi come forma di cortesia. Questa particolarità potrebbe suggerire una provenienza orientale di questo virus e confermerebbe quindi i timori, diffusi nelle ultime settimane, di un possibile attacco informatico dall'oriente.

:rolleyes: :muro: :D :D :D

Originariamente inviato da dibe
http://www.tgcom.it/ArticoloTgCom/articoli/articolo139025.shtml

Internet, super virus è anomalo
E' più resistente del previsto
E' ancora alto in tutto il mondo informatico l'allarme per Lovesan, o MSBlast il super virus che riesce a bloccare Windows anche quando è installato il programma che risolve le debolezze del sistema sfruttate dal virus. Lovesan riesce inoltre ad attaccare 20 sistemi alla volta, con un intervallo di soli 1,8 secondi fra un attacco e l'altro. Lo ha rivelato un esperto di sicurezza informatico dopo aver effettuato le prime analisi.
Come spiega Fulvio Berghella, responsabile di Securitynet e vicedirettore generale della Euros Consulting, avere installato la patch, come si chiama in gergo il programma che ripara le falle create da un virus, non dà la sicurezza di poter evitare gli effetti di Lovesan. Per chi riaccende il computer dopo un periodo di assenza il consiglio degli esperti è di non connettersi in rete. "Sono molte le segnalazioni giunte da utenti che hanno avuto problemi nonostante avessero installato la patch" dice Berghella, che aggiunge: "Il consiglio è di accendere il pc senza collegarsi in rete e andare subito a controllare nella directory di Windows se è presente il file MSBlast".

Se c'è vuol dire che si è diventati una nuova vittima di Lovesan. Bisogna cancellare il file MSBlast, quindi provare a connettersi per caricare l'antivirus e installare la patch. Va inoltre chiusa con una fire-wall (ovvero uno "sbarramento") la porta 135, che è quella utilizzata dal virus per entrare nel sistema operativo. Lovesan è un virus "estivo", che cerca di diffondersi sfruttando la settimana di Ferragosto in cui, in molti paesi del mondo, le aziende sono chiuse o funzionano a ranghi ridotti. Dai primi test condotti finora Lovesan sarebbe già riuscito a infettare molti siti italiani, anche se le prime stime numeriche saranno possibili soltanto dopo questo periodo di ferie.

Sono molti gli aspetti ancora misteriosi di questo super-virus. Ad esempio, osserva Berghella, "non era mai successo finora che un virus riuscisse ad agire su patch così recenti e a trovare, per esse, ulteriori meccanismi di inganno". Una novità che suggerisce l'ipotesi di una possibile azione comune degli hacker, dopo il congresso mondiale di Las Vegas che si è concluso pochi giorni fa. Un altro punto oscuro, infine, è la parola "San" contenuta nel messaggio che accompagna il virus. E' un termine giapponese che significa "signore" o "signora" e viene usato normalmente dopo i nomi come forma di cortesia. Questa particolarità potrebbe suggerire una provenienza orientale di questo virus e confermerebbe quindi i timori, diffusi nelle ultime settimane, di un possibile attacco informatico dall'oriente.

:rolleyes: :muro: :D :D :D

la patch serve per non prenderlo ma se lo hai installato e poi metti la patch non serve............Se si è infetti bisogna rimuoverlo e mi sembra ovvio........:D

Quando sento parlare di esperti di sicurezza mi viene freddo......:D

Ciao

Originariamente inviato da dibe
http://www.tgcom.it/ArticoloTgCom/articoli/articolo139025.shtml

Fulvio Berghella, responsabile di Securitynet e vicedirettore generale della Euros Consulting,

[..]

Un altro punto oscuro, infine, è la parola "San" contenuta nel messaggio che accompagna il virus. E' un termine giapponese che significa "signore" o "signora" e viene usato normalmente dopo i nomi come forma di cortesia. Questa particolarità potrebbe suggerire una provenienza orientale di questo virus e confermerebbe quindi i timori, diffusi nelle ultime settimane, di un possibile attacco informatico dall'oriente.



:D :D :D

SAN=SUN no???

allora ho messo patch e zone alarm

e mi da sto risultato

Check for vulnerabilities of your computer system to remote attacks
We have scanned your system for open ports and for ports visible to others on the Internet. As a rule an open port means your computer is vulnerable to attacks by crackers. They gain access to your computer and its files through these open ports.

Safe!




Trojan horse check
The test scanned your system to find signs of a Trojan. If a Trojan horse is on your computer a cracker can access your system's files and your personal data.

Safe!
There is no evidence of a Trojan horse on your system.


Recommendation:
The absence of a Trojan horse on your system does not mean this problem cannot happen, of course. Anti-virus and/or anti-Trojan software should be installed and used on your system. If you already use this type of software on your system, its virus definitions (virus database) should regularly be updated.

Browser privacy check
The test checked if your web browser reveals any private information while you visit Web sites. Usually such information is: the last site visited, your locale and who your Internet Service Provider is.

Danger!
While visiting web sites your browser reveals private information about you and your computer. It sends information about previous sites you have visited. It may also save special cookies on your hard drive that have the purpose of directing advertising or finding out your habits while web surfing.


Recommendation:
We advise you to get personal firewall software. If you already have a firewall program adjust it to block the distribution of such information.



però mi blocca sempre le connessioni a icq e msn e winmx! come se setta?

beh per chi ancora ne ha bisogno...

ricordatevi che da prompt (start -> esegui -> cmd)

si puo' usare il comando shutdown -a per impedire il reboot della macchina e quindi cercare di patchare il patchabile

vi butto anche questo link se non e' gia' stato postato

http://www.sophos.com/support/disinfection/blastera.html

istruzioni per la disinfezione manuale o automatica di Blaster

Raga e' urgente....la patch lo messa ma pultroppo ero gia' stato inchiappettato dal worm...non mi riavvia piu' il pc ma il norton giustamente mi avvisa spesso della presenza del nostro amichetto....come faccio a eliminarlo dal sistema in poche parole??? (l'ingese non lo so) grazie;)

Originariamente inviato da BonOVoxX81
Raga e' urgente....la patch lo messa ma pultroppo ero gia' stato inchiappettato dal worm...non mi riavvia piu' il pc ma il norton giustamente mi avvisa spesso della presenza del nostro amichetto....come faccio a eliminarlo dal sistema in poche parole??? (l'ingese non lo so) grazie;)

Disattiva il restore system e poi lancia l'antivirus.

http://paolorusso.interfree.it/virus.htm

Dimenticavo al posto dell'antivirus puoi utilizzare il FixTool messo a disposizione d Symantec..
http://www.symantec.it/techsupp/ssi/virus_alerts/it/it_w32_blaster_worm.html

Ovviamente lancialo dopo aver disattivato il restore system.

Ora provo:)

Originariamente inviato da MButi
Disattiva il restore system e poi lancia l'antivirus.

http://paolorusso.interfree.it/virus.htm


Qui' ce un'errore pultroppo....il system restore remove funziona solo su millenium a differenza di quello che c'e scritto qui'.... come fare???:(

Beh vedo che posso fare a meno di usare quel programma...basta seguire le istruzioni giusto??tu sei riuscito ad eliminarlo ???tnx;)

Usi XP ?

Originariamente inviato da MButi
Usi XP ?


si...scusa e' che e' la prima volta che mi tocca questa operazione e non vorrei fare qualche baggianata:D

1. Andate in Pannello di controllo e cliccate l' icona Sistema.
2. Cliccate su Prestazioni.
3. Cliccate su File system.
4. Cliccate su Risoluzione problemi.
5. Spuntate la casella "Disabilità Ripristino di sistema".
6. Cliccate Applica.
7. Chiudete tutto e riavviate.
8. Riavviate in Modalità provvisoria (Safe Mode, premendo il tasto F8 prima del caricamento di Windows).
9. Avviate la scansione dell' antivirus.
10. Al termine togliete il segno di spunta alla casella "Disabilità Ripristino di sistema".
11. Riavviate normalmente il computer.

Le istruzioni del sito sono esatte ho provato, l'importante dopo aver eliminato il virus ripristinare il Ripristino di sistema come spiegato nel punto 10, altrimenti non potrai usare questa funzione in caso di necessità.

Originariamente inviato da MButi
1. Andate in Pannello di controllo e cliccate l' icona Sistema.
2. Cliccate su Prestazioni.
3. Cliccate su File system.
4. Cliccate su Risoluzione problemi.
5. Spuntate la casella "Disabilità Ripristino di sistema".
6. Cliccate Applica.
7. Chiudete tutto e riavviate.
8. Riavviate in Modalità provvisoria (Safe Mode, premendo il tasto F8 prima del caricamento di Windows).
9. Avviate la scansione dell' antivirus.
10. Al termine togliete il segno di spunta alla casella "Disabilità Ripristino di sistema".
11. Riavviate normalmente il computer.

Le istruzioni del sito sono esatte ho provato, l'importante dopo aver eliminato il virus ripristinare il Ripristino di sistema come spiegato nel punto 10, altrimenti non potrai usare questa funzione in caso di necessità.

Vado....
Se va tutto bene ti rigrazio altrimenti:mad: :mad: :mad:

Scherzo;)

Ah basta il norton per eliminarlo???l'unico problema e' che con il sistema NON in safe mode non puo' eliminarlo giusto?

Cmq questi punti non ci sono: 2. Cliccate su Prestazioni.
3. Cliccate su File system.
penso che abbiano un'altro nome....quale sarebbe??? Forse stai parlando del millenium te

Nel sito symantec non ne parlano, Safa Mode non è necessaria, Windows lascialo in modalità normale...

Beh tu come hai fatto??hai xp?hai fatto con norton te?

Originariamente inviato da BonOVoxX81
Beh tu come hai fatto??hai xp?hai fatto con norton te?
Non me lo sono beccato :D nonostante non avessi ne la patch ne l'antivirus aggiornato :eek:
Mi ha salvato il firewall di Norton :p

Originariamente inviato da MButi
1. Andate in Pannello di controllo e cliccate l' icona Sistema.
2. Cliccate su Prestazioni.
3. Cliccate su File system.
4. Cliccate su Risoluzione problemi.
5. Spuntate la casella "Disabilità Ripristino di sistema".
6. Cliccate Applica.
7. Chiudete tutto e riavviate.
8. Riavviate in Modalità provvisoria (Safe Mode, premendo il tasto F8 prima del caricamento di Windows).
9. Avviate la scansione dell' antivirus.
10. Al termine togliete il segno di spunta alla casella "Disabilità Ripristino di sistema".
11. Riavviate normalmente il computer.

Le istruzioni del sito sono esatte ho provato, l'importante dopo aver eliminato il virus ripristinare il Ripristino di sistema come spiegato nel punto 10, altrimenti non potrai usare questa funzione in caso di necessità.

Ma se non l'hai preso come fai ad essere cosi' sicuro di quello che dici???
:confused: :confused:

Non per cattiveria

Originariamente inviato da BonOVoxX81
Ma se non l'hai preso come fai ad essere cosi' sicuro di quello che dici???
:confused: :confused:

Non per cattiveria

questo è il + grande buco per sistema operativi degli ultimi anni (l'ultimo così ben sfruttabile era unicode per i server)... eseguire comandi da root su un sistema sapendone ip e os (per l'os basta fare due prove una win2k e una XP)

ormai tutti i siti scrivono come fare e come risolvere (mettendoci in guardia dal pericolo orientale :D :p ).... avrà letto milioni di pagine e avrà scritto la milionesimae uno spiegando a te come risolvere :)

Scusa, ma la cosa è assai più semplice. Apri il task manager (CTRL+ALT+CANC) e termina il processo msblast.exe. Fatto ciò cancella il file msblast.exe nella cartella windows\system32
A questo punto, volendo, puoi usare il tool della Symantech per rimuovere anche le chiavi messe nel registro dal worm.
Per non ribeccarlo, installa la patch Microsoft, aggiorna l'antivirus e metti eventualmente un firewall che blocchi la porta 135.

X BILANCINO:

Originariamente inviato da BonOVoxX81
Beh va bene anche per chi come me usa internet,direct connect plusplus e overnet???

:O

Originariamente inviato da BonOVoxX81
X BILANCINO:

Originariamente inviato da BonOVoxX81
Beh va bene anche per chi come me usa internet,direct connect plusplus e overnet???

:O

Il firewall va bene comunque, basta settarlo bene. io uso kazaa e ieri con kazaa in funzione il worm non l'ho preso pur non avendo la patch.

Ciao

Originariamente inviato da Bilancino
Il firewall va bene comunque, basta settarlo bene. io uso kazaa e ieri con kazaa in funzione il worm non l'ho preso pur non avendo la patch.

Ciao


Si in effetti da quello che ho sentito bastava avere un firewall ben settato per difendersi da questo casino....sigh:( .
Tnx

Originariamente inviato da MarcoM
Scusa, ma la cosa è assai più semplice. Apri il task manager (CTRL+ALT+CANC) e termina il processo msblast.exe. Fatto ciò cancella il file msblast.exe nella cartella windows\system32
A questo punto, volendo, puoi usare il tool della Symantech per rimuovere anche le chiavi messe nel registro dal worm.
Per non ribeccarlo, installa la patch Microsoft, aggiorna l'antivirus e metti eventualmente un firewall che blocchi la porta 135.


Mmm sicuro che sia cosi' semplice??tu ne eri affetto e ora non c'e piu' traccia?

Originariamente inviato da BonOVoxX81
Mmm sicuro che sia cosi' semplice??tu ne eri affetto e ora non c'e piu' traccia?

E' semplice, inoltre chi ha fatto il worm per utilizzare la vulnerabilità è stato buono perchè si è limitato ad arrestare il pc. Si poteva anche far cancellare i dati, quindi è stata una dimostrazione come dimostrato dal messaggio rivolto a Bill Gates

Ciao

Originariamente inviato da Bilancino
E' semplice, inoltre chi ha fatto il worm per utilizzare la vulnerabilità è stato buono perchè si è limitato ad arrestare il pc. Si poteva anche far cancellare i dati, quindi è stata una dimostrazione come dimostrato dal messaggio rivolto a Bill Gates

Ciao


Chissa' che abbiano eliminato il database della microsoft:p

Originariamente inviato da MarcoM
Scusa, ma la cosa è assai più semplice. Apri il task manager (CTRL+ALT+CANC) e termina il processo msblast.exe. Fatto ciò cancella il file msblast.exe nella cartella windows\system32
A questo punto, volendo, puoi usare il tool della Symantech per rimuovere anche le chiavi messe nel registro dal worm.
Per non ribeccarlo, installa la patch Microsoft, aggiorna l'antivirus e metti eventualmente un firewall che blocchi la porta 135.


questo mi pare il metodo migliore, anche perchè eliinare la funzione di ripristino mi pare un azzardo...il ripristino di sistema è una "mano santa".:)

Se vi interessa (spero non sia stata gia' messa in precedenza altrimenti mi scuso;) ) questo e' il messaggio di pace:D che il nostro vermetto si porta dentro

http://www.f-secure.com/virus-info/v-pics/lovsan1.jpg

Originariamente inviato da Bilancino
E' semplice, inoltre chi ha fatto il worm per utilizzare la vulnerabilità è stato buono perchè si è limitato ad arrestare il pc. Si poteva anche far cancellare i dati, quindi è stata una dimostrazione come dimostrato dal messaggio rivolto a Bill Gates

Ciao

scommetto cheentro pochi giorni uscira un altro blaster molto + dannoso.... e al ritorno dalle ferie ci sarà la sorpresina
:O

Originariamente inviato da Fradetti
scommetto cheentro pochi giorni uscira un altro blaster molto + dannoso.... e al ritorno dalle ferie ci sarà la sorpresina
:O

Ho aggiornato F-prot per la versione B e C che sta girando......

Ciao

Io la patch l'avevo già installata da tempo (grazie al windows update) ma la porta 135 mi risulta aperte e ho visto pure che una connessione stabilta con un determinato indirizzo ip!
Ma è necessario avere chiusa questa porta avendo già la patch?? Poi io 2 pc collegati in rete e con la connessione condivisa, se la 135 viene bloccata la rete nn va più??

Originariamente inviato da Eschelon
Io la patch l'avevo già installata da tempo (grazie al windows update) ma la porta 135 mi risulta aperte e ho visto pure che una connessione stabilta con un determinato indirizzo ip!
Ma è necessario avere chiusa questa porta avendo già la patch?? Poi io 2 pc collegati in rete e con la connessione condivisa, se la 135 viene bloccata la rete nn va più??

per la condivisione pernso che servi la 137, al limite fai una prova........

Ciao

E come la chiudo la 135? E anche la 445...pure aperta.

Originariamente inviato da Eschelon
E come la chiudo la 135? E anche la 445...pure aperta.

crei una regola manualmente.........di solito i firewall lo permettono.

Ciao

Quindi al norton internet security gli devo dire di bloccare le entrate da queste porte, vedo di trovare sto settaggio..grazie

Ah ma ora che ci penso, ogni volta che mi connetto all'altro pc prima devo disattivare il firewall altrimenti nn mi fa entrare, quindi nn posso vedere se si tratta veramente della 135, e che cavolo...

Originariamente inviato da Bilancino
crei una regola manualmente.........di solito i firewall lo permettono.

infatti, io sotto kerio ho aggiunto una regole che chiude dalla 135 alla 139 + la 445, sia sotto TCP che sotto UDP... e ho notato che in media ogni minuto c'è almeno uno o più tentativi da parte di qualche address remoto di connettersi in locale (0.0.0.0) alla mia porta 135, controllata dal processo SVCHOST.EXE ovviamente... nel log in pratica mi appaiono decine di messaggi così:

Blocked: in TCP, 212.170.142,192:1807->localhost:135, Owner: C:\WINNT\SYSTEM32\SVCHOST.EXE

ovviamente gli indirizzi remoti che tentano la connessione cambiano selvaggiamente ogni volta, a volte lo stesso ci prova in sequenza una o due volte cambiando la sua porta, però rimane strano...

è normale tutto ciò? sono tutti tentativi di intrusione, magari un'effetto momentaneo della diffusione di w32/lovsan, oppure è tutto regolare e sono io che ho sbagliato a creare questa regola?

di sicurezza onlie mi intendo poco ma non riesco a immaginare perchè tutti questi host remoti sentano la necessità di collegarsi proprio alla mia porta 135... ditemi voi... :rolleyes:

EDIT: chiedo scusa, doppio post... :p

Originariamente inviato da Santovasku
infatti, io sotto kerio ho aggiunto una regole che chiude dalla 135 alla 139 + la 445, sia sotto TCP che sotto UDP... e ho notato che in media ogni minuto c'è almeno uno o più tentativi da parte di qualche address remoto di connettersi in locale (0.0.0.0) alla mia porta 135, controllata dal processo SVCHOST.EXE ovviamente... nel log in pratica mi appaiono decine di messaggi così:

Blocked: in TCP, 212.170.142,192:1807->localhost:135, Owner: C:\WINNT\SYSTEM32\SVCHOST.EXE

ovviamente gli indirizzi remoti che tentano la connessione cambiano selvaggiamente ogni volta, a volte lo stesso ci prova in sequenza una o due volte cambiando la sua porta, però rimane strano...

è normale tutto ciò? sono tutti tentativi di intrusione, magari un'effetto momentaneo della diffusione di w32/lovsan, oppure è tutto regolare e sono io che ho sbagliato a creare questa regola...

di sicurezza onlie mi intendo poco ma non riesco a immaginare perchè tutti questi host remoti sentano la necessità di collegarsi proprio alla mia porta 135... ditemi voi... :rolleyes:


subire gli attacchi sulla 135 è normale in questi giorni...........

Ciao

Originariamente inviato da Bilancino
subire gli attacchi sulla 135 è normale in questi giorni...........

ti credo sulla parola, io non saprei dirlo perchè il firewall l'ho installato ieri dopo essermi beccato il lovsan... una salutare lezione, lo ammetto... :p :D

allora mi confermi che x nessuna ragione valida un host remoto dovrebbe desiderare di contattarmi sulle porte sensibili (135-139 / 445) e che chi ci prova è un impiccione?


cmq tutte le applicazioni online sembrano funzionare come prima, compresi client p2p (edonkey) e mIRC... la porta 135 e (ogni tanto) la 445 subiscono continui tentativi di connessione ma l'averle bloccate non smebra portare alcun problema, a parte la scocciatura di vedersi centinaia di voci nel log... apena mi stufo disabilito l'opzione x visualizzarle... :rolleyes: ;)

Originariamente inviato da Santovasku
allora mi confermi che x nessuna ragione valida un host remoto dovrebbe desiderare di contattarmi sulle porte sensibili (135-139 / 445) e che chi ci prova è un impiccione?


Si sono impiccioni........:D

Ciao

Originariamente inviato da Bilancino
Si sono impiccioni........:D

lol, consolante... :D

in 12 ore che sono connesso ci sono stati circa 933 'impiccioni' che hanno tentato di infilarsi sulla 135 tramite TCP... complimenti x la costanza e speriamo sta emergenza lovsan finisca in fretta... :rolleyes: ;)

Originariamente inviato da Santovasku
lol, consolante... :D

in 12 ore che sono connesso ci sono stati circa 933 'impiccioni' che hanno tentato di infilarsi sulla 135 tramite TCP... complimenti x la costanza e speriamo sta emergenza lovsan finisca in fretta... :rolleyes: ;)


Non so visto le ferie penso che il bello debba venire........:D

Ciao

Originariamente inviato da BonOVoxX81
Mmm sicuro che sia cosi' semplice??tu ne eri affetto e ora non c'e piu' traccia?

Assolutamente e definitivamente eliminato.
Comunque ora ho provveduto con Kerio a bloccare la porta 135 (arriva di tutto su quella porta in questi giorni...). Mi sono accorto che circa un paio di volte all'ora, con grande regolarità, arrivano anche tentativi di connessione sulla 445. Meglio fare attenzione...
Comunque è vero che abbiamo corso un bel rischio. Se il programmatore di LoveSan (o blaster) fosse stato più cattivo, avrebbe potuto fare grossi danni (questo ovviamente senza volerlo minimamente giustificare). Ci ha dato un grosso avvertimento che ci ha costretto ad aggiornare i nostri PC in termini di sicurezza ed ora, se non saremo colpiti da versioni più cattive del virus dopo le ferie, lo dobbiamo un po' anche a lui.

Originariamente inviato da BonOVoxX81
Ma se non l'hai preso come fai ad essere cosi' sicuro di quello che dici???
:confused: :confused:

Non per cattiveria
E' una procedura standard, in tutti i sistemi operativi windows che permettono il ripristino della configurazione del sistema se non si disattiva questa funzione è difficile rimuovere un virus sopratutto se è uno recente.

Originariamente inviato da Eschelon
Quindi al norton internet security gli devo dire di bloccare le entrate da queste porte, vedo di trovare sto settaggio..grazie

Io ho le impostazione di default di Norton (...tranne gli avvisi quando trova un active x) e mi ha bloccato il virus. Però lo fa in maniera silenziosa e non ti appare l'avviso ne il punto esclamativo sull'icona in basso a destra.

Ciao Bilancino.

Io il virus l'ho beccato 4-5 giorni fa credo scaricando con p2p... poi ho fatto la pulizia come detto sul sito della Symantech, quindi ho applicato la Patch.

ZA ce l'avevo già aggiornato all'ultima ver.

Ma mi piacerebbe capire come fare con ZA a controllare che la 135 sia chiusa? Nel senso, prima parlavi di impostare delle regole per le porte, in ZA si può?

per info... lovsan.B http://www.f-secure.com/v-descs/lovsanb.shtml

e lovsan.C http://www.f-secure.com/v-descs/lovsanc.shtml

il B droppa nei pc una backdoor mentre il C cambia il nome del file incriminato in "penis32.exe" :rolleyes:

e cmq alla riapertura degli uffici ci sarà da divertirsi ;)

Originariamente inviato da McTony
Ma mi piacerebbe capire come fare con ZA a controllare che la 135 sia chiusa? Nel senso, prima parlavi di impostare delle regole per le porte, in ZA si può?

credo si possa solo con zone alarm pro
ora non ti so dire come, non lo uso da troppo tempo.

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

L'allarme è diventato rosso.......:eek: :D

Ciao

Originariamente inviato da Fradetti
e cmq alla riapertura degli uffici ci sarà da divertirsi ;)

Molto mi sa :mc:
Questo virus come metodo di diffusione ricorda molto Nimda

Originariamente inviato da MButi
Molto mi sa :mc:
Questo virus come metodo di diffusione ricorda molto Nimda

lol.... comincio a dire in giro che so come togliere il virus e divento ricco :)

scusate ma è lecito parlare di virus? mi pare di no, oppure si comporta proprio come un virus una volta eseguito?

Originariamente inviato da recoil
scusate ma è lecito parlare di virus? mi pare di no, oppure si comporta proprio come un virus una volta eseguito?
Si è un virus vero e proprio.

Originariamente inviato da Fradetti
lol.... comincio a dire in giro che so come togliere il virus e divento ricco :)

Parentesi...........

Tenpo fa andai da un carroziere e in ufficio la segretaria aveva due pc in rete e quando accendeva compariva la finestra di connessione e lei con non curanza disse " Uffa sempre questo virus che rompe". Cavolo vedo che in molti uffici i virus creano molta paura e non si preoccupano se dei dati possano uscire in rete............

Ciao

Originariamente inviato da Bilancino
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

L'allarme è diventato rosso.......:eek: :D

Ciao

che firewall mi consigli di installare?

che non mi rallenti molto i p2p magari
:D :D

Originariamente inviato da 4en!!!
che firewall mi consigli di installare?

che non mi rallenti molto i p2p magari
:D :D

Io uso Sygate 5.1 e scarico al massimo da kazaa........

Paura? :D

Ciao

Originariamente inviato da 4en!!!
che firewall mi consigli di installare?

che non mi rallenti molto i p2p magari
:D :D

io ho kaspersky anti-hacker..
c'è da dire che non da nessuno problema con i p2p...però non ce l'ha nessuno! nel senso che per qualche consiglio non so che fare.

però fin'ora non mi ha mai dato nessun problema.

Originariamente inviato da Bilancino
Io uso Sygate 5.1 e scarico al massimo da kazaa........

Paura? :D

Ciao

ma se lascio tutte le porte aperte, e mi becco il virus..

che mi puo' succedere?

Originariamente inviato da 4en!!!
ma se lascio tutte le porte aperte, e mi becco il virus..

che mi puo' succedere?

beh se non cambia il codice (tipo di virus) ti arresta il pc, però non toglie che essendo in rete il codice della vulnerabilità possa arrivare una variante che cancelli i dati dal pc...........

Ciao

dipende dalla variante.... A e Cti riavviano il pc quando ti conneti e dopo il 16 attaccano il sito windowsupdate in automatico... il B in + ti potrebbe installare un Backdoor (col quale poi ti potrebbero entrare nel pc - come ho fatto io a mio fratello pirla )... :)

:eek:

ho capito, mi installo Sygate. :D

il worm sembra avermi abbandonato dopo aver installato la patch, speriamo di si...per ora va tutto bene!:)

Originariamente inviato da Verro
il worm sembra avermi abbandonato.......

Anche i worm ti abbandonano, quindi non solo le donne.......
:sofico: :D

ti prego..non infierire!:rolleyes:




























:sofico: :D :D e hai pure ragione!:eek: :D

Strafiga però sta cosa.. a tutti contemporaneamente! :eek:

Originariamente inviato da Ufobobo
Strafiga però sta cosa.. a tutti contemporaneamente! :eek:

è questo il bello.... dopo le prime attivazioni fa portscan e si riproduce in pochissimo tempo attraverso il server tftp interno :)

abbastanza geniale :D

Fidandomi dell'esperienza di bilancino in materia di sicurezza:D ho installato sygate 5.1 e dopo aver configurato l'accesso per overnet e DC++ mi sono accorto che ogni 10 minuti arriva questo: Application Generic Host Process for Win32 Services has been blocked, File name is svchost.exe
:eek: :eek: :eek: :muro: sto verme maledetto continua ad attaccarmi vero?!?!?!

Originariamente inviato da BonOVoxX81
Application Generic Host Process for Win32 Services has been blocked, File name is svchost.exe
:eek: :eek: :eek: :muro: sto verme maledetto continua ad attaccarmi vero?!?!?!

No, mi sa che non è un virus questo... è un applicazione di Win per internet. CMQ aspettiamo il Bilancione per chiarimenti.
:D

Originariamente inviato da McTony
No, mi sa che non è un virus questo... è un applicazione di Win per internet. CMQ aspettiamo il Bilancione per chiarimenti.
:D


Io penso invece che sia il worm...anche perche' la porta attaccata e' sempre la 135 :rolleyes: .

Cmq ci sono 4 svchost.exe attivi nel task maneger.E' normale vero??uno e' servizio locale,1 di rete e 2 system

Originariamente inviato da BonOVoxX81

Cmq ci sono 4 svchost.exe attivi nel task maneger.E' normale vero??uno e' servizio locale,1 di rete e 2 system
Si è normale :)

patch di xp installata, antivirus f-prot aggiornato.
ho installato sygate5.1 configurato alla buona... ancora non ci ho capito molto :mc:
comunque a rotazione queste sono le finestrelle che si aprono di ciò che viene bloccato:
ipnat.sys
svchost.exe
ntoskrnl.exe
uso xp sul muletto dove tengo il server ftp, e dove condivido la condivisione internet ad altri 2 pc... per ora mi basta che la connessione sia sicura poi mi preoccuperò che tutto il resto impostando correttamente sygate torni a funzionare...
anche a voi vi blocca le stesse cose? :confused:
ipnat.sys
svchost.exe
ntoskrnl.exe

ciao:)

Originariamente inviato da BonOVoxX81
Io penso invece che sia il worm...anche perche' la porta attaccata e' sempre la 135 :rolleyes: .

Cmq ci sono 4 svchost.exe attivi nel task maneger.E' normale vero??uno e' servizio locale,1 di rete e 2 system

anche io ho 4 svchost, e sembra sia normale per fortuna :)
per il resto vi sembra che abbia qualche impestamento nel task manager :confused: :eek: :mc:

Ma mi chiedevo...questo maledetto Generic Host Process serve solo a fare danni o a qualcosa di buono serve???:O

Originariamente inviato da Bilancino
Io uso Sygate 5.1 e scarico al massimo da kazaa........


anche io ho provato con sygate ma x qualche motivo non gli sta simpatico i mio pc, appena provavo a lanciare la connessione internet con sygate in attività mi crashva il pc, schermata blu di errore e reset obbligatorio... in due anni che uso win2000 non mi era mai successo, e ne ho installate di porcherie... :rolleyes:

adesso uso kerio, ho l'impressione sia un pò meno sofisticato di sygate (che pare pure più facile da usare) ma non avevo altra scelta, con sygate manco mi lasciava connettere in adsl...


riguardo i client p2p, io uso tuttora un banalissimo edoneky 0.61 dell'anno scorso e non ho problemi a uppare/downloadare... ovvio, ho dovuto concedere al client accesso completo a tutte le porte, mi sono limitato a bloccare quelle sensibili, cioè netbios (135-139) e sistema (445)... non so quanto la cosa sia sicura ma credo non si possa fare altro se si vuole usare le reti p2p... :(

Originariamente inviato da Santovasku
anche io ho provato con sygate ma x qualche motivo non gli sta simpatico i mio pc, appena provavo a lanciare la connessione internet con sygate in attività mi crashva il pc, schermata blu di errore e reset obbligatorio... in due anni che uso win2000 non mi era mai successo, e ne ho installate di porcherie... :rolleyes:

adesso uso kerio, ho l'impressione sia un pò meno sofisticato di sygate (che pare pure più facile da usare) ma non avevo altra scelta, con sygate manco mi lasciava connettere in adsl...


riguardo i client p2p, io uso tuttora un banalissimo edoneky 0.61 dell'anno scorso e non ho problemi a uppare/downloadare... ovvio, ho dovuto concedere al client accesso completo a tutte le porte, mi sono limitato a bloccare quelle sensibili, cioè netbios (135-139) e sistema (445)... non so quanto la cosa sia sicura ma credo non si possa fare altro se si vuole usare le reti p2p... :(


Guarda anche io uso a pieno regime overnet (stessa famiglia di edonkey:D ) e DC++ e scarico 1.2 GB al giorno...ma a meno che non ti metta di tuo proposito a scaricare un virus da altri utenti dovresti essere abbastanza al sicuro

Originariamente inviato da Santovasku
anche io ho provato con sygate ma x qualche motivo non gli sta simpatico i mio pc, appena provavo a lanciare la connessione internet con sygate in attività mi crashva il pc, schermata blu di errore e reset obbligatorio... in due anni che uso win2000 non mi era mai successo, e ne ho installate di porcherie... :rolleyes:

adesso uso kerio, ho l'impressione sia un pò meno sofisticato di sygate (che pare pure più facile da usare) ma non avevo altra scelta, con sygate manco mi lasciava connettere in adsl...


riguardo i client p2p, io uso tuttora un banalissimo edoneky 0.61 dell'anno scorso e non ho problemi a uppare/downloadare... ovvio, ho dovuto concedere al client accesso completo a tutte le porte, mi sono limitato a bloccare quelle sensibili, cioè netbios (135-139) e sistema (445)... non so quanto la cosa sia sicura ma credo non si possa fare altro se si vuole usare le reti p2p... :(

come faccio a bloccare solo quelle 3 porte (136,139,445)
:)

Originariamente inviato da 4en!!!
come faccio a bloccare solo quelle 3 porte (136,139,445)
:)

senza entrare nei dettagli (non sono abbastanza esperto ;)) con kerio vai sotto 'advanced' e ti crei una regola personalizzata che ti blocca quelle porte... una volta creatala, spostala in cima alla lista delle regole xchè sennò non serve a nulla...

Se lu pellox vede il tuo avatar si incazza dalla gelosia :p :p :D ;)

qualcuno sa come si fanno a bloccare le porte con Norton Personal Firewall??!:confused: :(

Originariamente inviato da BonOVoxX81
Se lu pellox vede il tuo avatar si incazza dalla gelosia :p :p :D ;)

Troppe faccine nella signature!

Ma è importante chiuderle ste porte anche se sia ha la patch?? mah.
Cmq io ho Norton Internet Security e nn so come bloccarle

da quando ho installato sygate5.1 non mi funziona + un cacchio!
sicuramente non l'ho configurato bene... ma sto caldo mi smazza... e poi con tutti questi martini come aperitivo :rolleyes: ...
spengo tutto e se ne riparla dopo ferragosto a quel paese i virus e buon ferragosto a tutti!!! :cool: ;) :D

Originariamente inviato da Raven
Troppe faccine nella signature!


Che fiscale ;)

Sabato 16 il virus in entrerà nella seconda fase ovvero utilizzera i pc infetti come server per lanciare attacchi in md-dos al sito di Windows Update :mad:
Io ho appena aggiornato il sistema si sa mai :O

vorrai dire DoS, Denial of Service che poco c'azzecca con md (ms?) dos....

Originariamente inviato da Genjo Sanzo
vorrai dire DoS, Denial of Service che poco c'azzecca con md (ms?) dos....
Ehm si :rolleyes:

ho installato sygate 5.1


devo bloccare qualcosa?

Originariamente inviato da 4en!!!
ho installato sygate 5.1


devo bloccare qualcosa?

Io in application dopo aver tolto lo spunto sulla voce che nasconde i processi, ho bloccato tutto visto che il mio pc non è in rete..........

Ciao

Originariamente inviato da Genjo Sanzo
vorrai dire DoS, Denial of Service che poco c'azzecca con md (ms?) dos....

[Pignolo mode ON]

DDoS che sta per Distributed Denial of Service: ovvero l'attacco è eseguito da + pc (in questo caso gli infetti dal virus) verso un'unico obbiettivo (windowsupdate.com) :)

[Pignolo mode OFF]

Hai ragione, solo che non avevo letto tutti i topic e vedendo associate la parola attacchi e md - dos le mie mani si sono mosse da sole sulla tastiera....;)

Originariamente inviato da francescox87
ragazzi non ho letto tutto (solo fino a pagina 12 mi sembra) e cmq ha me questo bug non mi ha colpito :cool: perkè avevo (ed ho ancora) zoneallarm, ora mi è arrivata un email dove è spiegato il motivo della creazione di questo virus :Bombardare saturando la banda il sito windows update (è un attacco ddos giusto?)

cmq ecco la notizia:

Allarme virus: arriva Lovsan

«I just want to say LOVE YOU SAN» questo il simpatico
messaggio che compare sui computer infettati da Lovsan
(appunto) o Blaster. In qualsiasi modo lo si chiami,
questo virus creerà non pochi problemi agli utenti ma
in particolare alla Microsoft. Il worm non arriva tramite
la posta elettronica, bensì sfrutta una falla presente
in quasi tutte le versioni di Windows, entra nel pc
attraverso la porta Rpc (Remote Procedure Call) e lo
costringe a scaricare l’eseguibile msblast.exe da un
computer remoto. In realtà le macchine infette non sono
il vero obiettivo, esse servono da tramite per un
progetto che vuole colpire direttamente Bill Gates e la
Microsoft. Ogni volta che si riaccende il pc che Blaster
ha già “visitato” – modificandone il registro di Windows
- il programma installato con l’eseguibile va alla ricerca
di nuovi pc da attaccare, e il worm li “istruisce” in modo
che il 16 di agosto in viino il loro traffico dati verso il
sito windowsupdate.com. Danno e beffa! Ecco cosa si legge
nel codice di Blaster: “Bill Gates perché rendi possibile
tutto ciò? Smettila di fare soldi e aggiusta i tuoi
software!”. cut....
per il pignolo
:D io lo avevo già detto + sopra :p

Originariamente inviato da francescox87
per il pignolo
:D io lo avevo già detto + sopra :p

sei ancora + pignolo di me :p

Originariamente inviato da Fradetti
sei ancora + pignolo di me :p
già :p
cmq io non ne ero sicuro al 100% che si scrivesse cosi :) quindi diciamo che hai vinto te :p

Scusate ragazzi se non leggo tutte e 26 le pagine ma non c'ho proprio voglia.... cmq ho rovistato qui e la sul forum e ho scaricato la patch di windows piu' il prog della symantec e fino ad ora non ho riscrontrato piu' problemi (non e' detta ancora l'ultima parola cmq) :muro:

Ho fatto una ricerca su C di msblast ed ora non ho piu' l'eseguibile ma ho questo file :

MSBLAST.EXE-09FF84F2.pf

che si trova nella directory windows\prefetch



Mi devo ancora preoccupare? Qualcuno sa cos'e'? :confused:
Scusatemi se qualcuno ha gia' chiesto la stessa cosa..

L.

Originariamente inviato da LadyLag
Scusate ragazzi se non leggo tutte e 26 le pagine ma non c'ho proprio voglia.... cmq ho rovistato qui e la sul forum e ho scaricato la patch di windows piu' il prog della symantec e fino ad ora non ho riscrontrato piu' problemi (non e' detta ancora l'ultima parola cmq) :muro:

Ho fatto una ricerca su C di msblast ed ora non ho piu' l'eseguibile ma ho questo file :

MSBLAST.EXE-09FF84F2.pf

che si trova nella directory windows\prefetch



Mi devo ancora preoccupare? Qualcuno sa cos'e'? :confused:
Scusatemi se qualcuno ha gia' chiesto la stessa cosa..

L.


ce l'avevo anch'io e, nel dubbio, l'ho cancellato..

ma che estensione e' *.pf??

credo siano informazioni che windows salva per velocizzare il caricamento dei programmi più usati (o qualcosa del genere)...

dopo un po' dovrebbe venir cancellato automaticamente

Originariamente inviato da GhePeU
credo siano informazioni che windows salva per velocizzare il caricamento dei programmi più usati (o qualcosa del genere)...

dopo un po' dovrebbe venir cancellato automaticamente


Hmm ok.. allora immagino che cancellarlo in effetti non dovrebbe causare nessun problema...

Originariamente inviato da LadyLag
Hmm ok.. allora immagino che cancellarlo in effetti non dovrebbe causare nessun problema...


Cancella,cancella....sono gli escrementi che ha lasciato il verme :D

Originariamente inviato da BonOVoxX81
Cancella,cancella....sono gli escrementi che ha lasciato il verme :D

Ok... nel caso succedesse qualcosa ne sarete tutti responsabili! :O :O :D

Originariamente inviato da LadyLag
Ok... nel caso succedesse qualcosa ne sarete tutti responsabili! :O :O :D


Responsabili????ah io non so niente:boh::angel::angel::fiufiu: