Originariamente inviato da LadyLag
Scusate ragazzi se non leggo tutte e 26 le pagine ma non c'ho proprio voglia.... cmq ho rovistato qui e la sul forum e ho scaricato la patch di windows piu' il prog della symantec e fino ad ora non ho riscrontrato piu' problemi (non e' detta ancora l'ultima parola cmq) :muro:

Ho fatto una ricerca su C di msblast ed ora non ho piu' l'eseguibile ma ho questo file :

MSBLAST.EXE-09FF84F2.pf

che si trova nella directory windows\prefetch



Mi devo ancora preoccupare? Qualcuno sa cos'e'? :confused:
Scusatemi se qualcuno ha gia' chiesto la stessa cosa..

L.

Divertiti pure e poi ecco le conseguenze.........:sofico:

Ciao

Originariamente inviato da Bilancino
Divertiti pure e poi ecco le conseguenze.........:sofico:


:D :D :D
quoto!


cmq puoi cancellare quel file, tranquilla...

Originariamente inviato da Bilancino
Divertiti pure e poi ecco le conseguenze.........:sofico:

Ciao



:rolleyes: Tutta invidia! :O :O

L.

Originariamente inviato da Oaichehai
:D :D :D
quoto!


cmq puoi cancellare quel file, tranquilla...


Che quoti!!! :mad: :mad:

Ragazzi ho letto buona parte del topic..e ho capito che bisogna quindi scaricare una patch e cambiare poi delle impostazioni...

qualcuno sarebbe cosi gentile da potermi mandare la patch alla mia e mail rp7381@tin.it ?? ve ne sarei davvero grato!

una volta installata la patch..cosa bisogna fare?


Grazie a tutti!

:(

Tanto per cambiare ci sono passato anche io!!!!
Non l'ho preso personalmente, il mio pc è una fortezza, ma circa 5 miei amici...

C'è un modo per installare la patch micro$oft su Win2000 senza service pack? Il virus l'ho eliminato, ma vorrei cmq dargli + sicurezza per il futuro!

E' indispensabile sto service pack o e' meglio di no???so che pesa un macigno nel pc:muro:

Il service pack nno fa altro che unire una serie di aggiornamenti di Windows Upadate che non fanno altro che tappare falle nei SO Microsozzz :muro:
Non è indispensabile ma è la base per avere una buona sicurezza nel vostro pc ancor prima di antivirus e firewall :O

Originariamente inviato da MButi
Il service pack nno fa altro che unire una serie di aggiornamenti di Windows Upadate che non fanno altro che tappare falle nei SO Microsozzz :muro:
Non è indispensabile ma è la base per avere una buona sicurezza nel vostro pc ancor prima di antivirus e firewall :O

Giustissimo se fosse il mio computer, ma in questo del mio amico, non appena installo il sp non funziona più nulla!!!!
Quindi ho bisogno di una patch che si installi senza il service pack!

Originariamente inviato da Darkman
Giustissimo se fosse il mio computer, ma in questo del mio amico, non appena installo il sp non funziona più nulla!!!!
Quindi ho bisogno di una patch che si installi senza il service pack!
Presumo che QUI (http://www.microsoft.com/italy/technet/solutions/security/ms03_026.asp) ci sia la risposta alle vostre domande

Una domanda per Bilanciano su Sygate...
Al momento sono collegato in GPRS e il firewall spesso mi blocca qualcosa come 5Kb su 6 che mi arrivano... ma non trovo traccia di questo nei log... come faccio a sapere cosa e perchè mi viene bloccato?

Originariamente inviato da gpc
Una domanda per Bilanciano su Sygate...
Al momento sono collegato in GPRS e il firewall spesso mi blocca qualcosa come 5Kb su 6 che mi arrivano... ma non trovo traccia di questo nei log... come faccio a sapere cosa e perchè mi viene bloccato?


Nel menù log fai file--->option e spunta la voce capture full packet

Ciao

MA PORCA MERDA....IMPAZZIVO PERCHE' NON CAPIVO COSA FOSSE STA ROBA...HO RIFORMATTATO TUTTO MA NIENTE...mi si ariavvia il pc da solo...che posso fare per toglierlo ?

al limite non ci si connette e basta ?

ok risolto con la pach ma...ho installato zone alarm...e mi ha bloccato gli accessi proprio alla porta 135...mi pare fosse quello...downlodate tutti zone alarm...


Ciao !

Originariamente inviato da Gohansupersaiyan4
MA PORCA MERDA....IMPAZZIVO PERCHE' NON CAPIVO COSA FOSSE STA ROBA...HO RIFORMATTATO TUTTO MA NIENTE...mi si ariavvia il pc da solo...che posso fare per toglierlo ?

al limite non ci si connette e basta ?

ok risolto con la pach ma...ho installato zone alarm...e mi ha bloccato gli accessi proprio alla porta 135...mi pare fosse quello...downlodate tutti zone alarm...


Ciao !

Ma perche' formattare non bastava per liberarsene ??? :eek:

Originariamente inviato da BonOVoxX81
Ma perche' formattare non bastava per liberarsene ??? :eek:


se poi non metti subito la patch sei daccapo... ;)

Originariamente inviato da dibe
se poi non metti subito la patch sei daccapo... ;)


Beh si....


Un mio amico ora e' in balia del virus...fa a tempo a scaricare la patch prima del riavvio??

Originariamente inviato da dibe
se poi non metti subito la patch sei daccapo... ;)

Il bello è che lo prendi da siti qualsiasi come libero.it ad esempio...


Ciao !

Originariamente inviato da BonOVoxX81
Beh si....


Un mio amico ora e' in balia del virus...fa a tempo a scaricare la patch prima del riavvio??

penso di si. Digli che modifichi le impostazioni del servizio RPC (percorso: pannello di controllo>strumenti di amministrazione>servizi>RPC (remote procedure call)>proprietà>ripristino da "riavvia" a "nessuna azione".

Poi può scaricare la patch, pulire il pc e ripristinare il servizio RPC

Originariamente inviato da Gohansupersaiyan4
Il bello è che lo prendi da siti qualsiasi come libero.it ad esempio...


Ciao !


io l'ho preso entrando su QUESTO forum... :( :)

Originariamente inviato da dibe
penso di si. Digli che modifichi le impostazioni del servizio RPC (percorso: pannello di controllo>strumenti di amministrazione>servizi>RPC (remote procedure call)>proprietà>ripristino da "riavvia" a "nessuna azione".

Poi può scaricare la patch, pulire il pc e ripristinare il servizio RPC


Ottimo questo ma se lo si lascia disattivato non è meglio ?


Ciao !

Originariamente inviato da Gohansupersaiyan4
Ottimo questo ma se lo si lascia disattivato non è meglio ?


Ciao !

con quella procedura eviti di riavviare il pc se il servizio RPC si blocca (come nel caso di questo worm). Il servizio si avvia cmq con winzozz...

Avete il link diretto alla patch ??? il link in prima pagina e' stato cambaito mi sa:O

io ho questo:

http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=it


(patch per Win XP Pro e Home ed.)


EDIT: non va... :(

Originariamente inviato da dibe
io ho questo:

http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=it


(patch per Win XP Pro e Home ed.)


EDIT: non va... :(


Esatto!!! Non va!!!:cry:

Avevo il norton aggiornato e non me l'ha beccato su win 2K


:cry: :cry: :cry:

l'indirizzo per la pacth è

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Originariamente inviato da mello
Avevo il norton aggiornato e non me l'ha beccato su win 2K


:cry: :cry: :cry:

l'indirizzo per la pacth è

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp


Ho cercato quella in italiano ma non l'ho trovata mi puoi dare una mano?? ho bisogno del link diretto perche' senno il mio amico non fa a tempo a scaricarla....non ricordo se ha NT o XP mi puoi mettere tutti e 2??? ti ringrazio;)

win xp

http://download.microsoft.com/download/a/2/f/a2fddb77-f81d-4fe5-a819-8787cba53a4b/WindowsXP-KB823980-x86-ITA.exe

win 2k

http://download.microsoft.com/download/9/8/b/98b404d3-849d-4e95-9928-a2a14c65862b/Windows2000-KB823980-x86-ITA.exe

Eh no....link sbagliati :(

a me funzionano... :confused:

prova qui:

win xp

http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

win 2k

http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

(metti IT al posto di en se hai l'OS in italiano...)

Originariamente inviato da dibe
a me funzionano... :confused:

prova qui:

win xp

http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

win 2k

http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

(metti IT al posto di en se hai l'OS in italiano...)


Ok apposto grazie mille;)

sono tornato oggi e anche io mi so trovato davanti sto affare! si è fortunatamente tolto con la patch!

sono tornato oggi stesso e anvedi che casino :D :D

era stato avvertito parecchio tempo fa che era fortemente possibile un'attacco di massa che avrebbe sfruttato il bug sul servizio RPC :rolleyes: ;)

mh...vedo che bilancino tiene in mano la situazione :) :D

ciao

Eraser :cool:

Questo virus becca anche con Zone alarm (per esempio) in azione?
l'ho disattivato 5 minuti e me lo sono beccato mezz'ora fa....
l'ho eliminato nel classico dei modi:
indivividio la variabile nel registro la cancello, riavvio e cancello il file msblast.exe
almeno sembra che abbia funzionato.......

Originariamente inviato da badedas
Ma poi si è arrestato davvero?


Guarda... stavo 3 giorni fa a casa di un amico che aveva questo problema... senza contare che ho sentito ultimamente che parecchie persone hanno problemi con pc impazziti.... Comunque stavo li e questo mia amico mi dice - Guarda ora compare... ed io per la prima volta vedo questo errore... Ti giuro che quando ho visto il conto alla rovescia mi sono messo a ridere pensando a qualche scherzo deficente... e poi tenendo anche in conto che questo mio amico non capisce una RAM di PC.... Quando il countdown e arrivato a zero ed o visto che l'XP si è riavviato davvero ho visto la faccia di questo tutto depresso.. e scusatemi ma mi e venuto ancora piu da ridere...:D :sofico: .

Comunque il problema è serio per quanto riguarda l'estensione ma è facilmente risolvibile appena sono tornato a casa sono andato diretto sul sito di microsoft convinto che avessero sfornato già qualche patch per quel colabrodo di OS ed infatti... Ora tutto a posto. Comunque con Windows le sorprese non sono mai finite... chissà cosa ci aspetta.... VAI BILL FACCI SOGNARE:p ;)

[B] VAI BILL FACCI SOGNARE:p ;)


Io direi VAI BILL FACCI INCAZZARE :mad:

Originariamente inviato da BonOVoxX81
Io direi VAI BILL FACCI INCAZZARE :mad:
Comunque perdere qualche minuto di p2p e fare un giro su Windows Update non fa male, la patch era disponibile da metà luglio.

Per risolvere tutti i problemi di windows bisogna passarci una vita di win update....:D

pero e vero gli aggiornamenti la microsoft li fa spesso... vuol dire che fanno molti errori... ma perche i prog non li provano prima di venderli.....:sofico:

Se si mettessero tutti i SP e i vari aggiornamenti il SO ci metterebbe 45 minuti a partire e ci vorrebbe un HD di 30 giga solo per l'installazione :D

Originariamente inviato da rattopazzo
Questo virus becca anche con Zone alarm (per esempio) in azione?
l'ho disattivato 5 minuti e me lo sono beccato mezz'ora fa....
l'ho eliminato nel classico dei modi:
indivividio la variabile nel registro la cancello, riavvio e cancello il file msblast.exe
almeno sembra che abbia funzionato.......


Non disattivarlo mai Zone ALarm!!! Se guardi il log degli attacchi ne noterai una marea sulle porte 135, 137 e 445 che sono proprio quelle da dove, detto in parole semplici, il worm tenta di entrare. Se poi lo vuoi disattivare fa pure, ma almeno prima installati la patch e aggiorna l'antivirus;)

Originariamente inviato da BonOVoxX81
Se si mettessero tutti i SP e i vari aggiornamenti il SO ci metterebbe 45 minuti a partire e ci vorrebbe un HD di 30 giga solo per l'installazione :D

Non è mica poi tanto vero... io vado spesso su win update e ho il sistema sempre aggiornato, per es. la patch per msblast l'ho scaricata e installata il 2 agosto appena tornato dalle ferie e non ho mai avuto il worm nel sistema, per il resto win ci mette 1 minutino ad avviarsi e non è poi nè così lento nè cosi ingombrante.

Diverso è il discorso delle migliaia di buchi che questo S.O. ha, e su questo sono d'accordo, non è possibile che un SO che usano MILIONI di persone sia così affetto da bachi e vulnerabilità, per di + lo paghiamo pure caro e consideriamo anche tutte le aziende di sicurezza informatica che spendono soldi per trovare i rimedi alle ca@@ate di zio Bill:mad:

Esistera' mai un SP perfetto???:(

a quanto pare iniziano i problemi anche con windows 2000.
oggi ho visto la mia ragazza che è appena tornata dalle vacanze e ha un problema guarda caso con svchost.exe dopo pochi minuti che è connessa. lei però ha appunto windows 2000 e non c'è nessun riavvio, solo che non le funziona più il drag&drop dei file e ci sono altri problemi con explorer.

Originariamente inviato da recoil
a quanto pare iniziano i problemi anche con windows 2000.
oggi ho visto la mia ragazza che è appena tornata dalle vacanze e ha un problema guarda caso con svchost.exe dopo pochi minuti che è connessa. lei però ha appunto windows 2000 e non c'è nessun riavvio, solo che non le funziona più il drag&drop dei file e ci sono altri problemi con explorer.

alla mia ragazza era partito messenger e ho dovuto toglierlo e riinstallarlo...........

Ciao

Originariamente inviato da mirage12345
Non disattivarlo mai Zone ALarm!!! Se guardi il log degli attacchi ne noterai una marea sulle porte 135, 137 e 445 che sono proprio quelle da dove, detto in parole semplici, il worm tenta di entrare. Se poi lo vuoi disattivare fa pure, ma almeno prima installati la patch e aggiorna l'antivirus;)

Lo tengo sempre attivato ZA
ieri, l'ho disattivato 3 minuti, perchè dovevo far partire un programma
Ma dico io, "3 MINUTI!!!" porcaccia la miseriaccia
sono bastati per beccarmi il virus
come infatti dici, nel log del Firewall ho un mare di attacchi alle porte 135, 137 e 445!!!
e la patch che dovrebbe risolvere questo punto debole di XP non me la vuole Installare :cry:

Originariamente inviato da recoil
a quanto pare iniziano i problemi anche con windows 2000.
oggi ho visto la mia ragazza che è appena tornata dalle vacanze e ha un problema guarda caso con svchost.exe dopo pochi minuti che è connessa. lei però ha appunto windows 2000 e non c'è nessun riavvio, solo che non le funziona più il drag&drop dei file e ci sono altri problemi con explorer.

Ho avuto lo stesso problema con WinMe!!
Per risolverlo ho usato le maniere forti :D

C:\format c:/q :D :sofico:

Originariamente inviato da WingTsun
Ho avuto lo stesso problema con WinMe!!
Per risolverlo ho usato le maniere forti :D

C:\format c:/q :D :sofico:

Questa è nuova.........:D

Vulnerabilità presente nei seguenti sistemi operativi:

Microsoft Windows NT® 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003

Ciao

Anche il Welchia usa la stessa vulnerabilità del blaster.

Leggete su Punto informatico:

WORM SEMPRE PIU' PERICOLOSO
---------------------------

Si chiama Welchia (o anche Nachi-a) e nonostante sia stato scoperto solo ieri gia' sta facendo tremare i computer e i server Internet non opportunamente patchati. Welchia, oltre ad attaccare la stessa vulnerabilita' di Blaster (DCOM RPC, oggetto dello scorso SalvaPC) sfrutta un ulteriore buco di sicurezza per il quale Microsoft aveva gia' rilasciato una patch nello scorso marzo.

CHI VIENE COLPITO
-----------------

I sistemi Windows e in particolare quelli che utilizzano i servizi RPC e WebDAV, tra loro quelli piu' a rischio sono Windows 2000 e XP. Windows 95/98/Me non utilizzano i servizi RPC e WebDAV e sono quindi immuni.
In particolare sono soggetti a Bluster i server web e i computer connessi a Internet che non hanno installato le patch Microsoft.

COME FUNZIONA
-------------

Come per Blaster il virus tenta di entrare nel computer dalla porta TCP 135 (per attaccare via RPC) nelle macchine con WindowsXP, mentre sfrutta la porta TCP 80 (quella comunemente utilizzata per il Web) per i sistemi dotati di Internet Information Server 5.0.

Questo worm e' capace di debellare Blaster ma potrebbe rendere instabile il sistema e arriva ad installare un TFTP server compromettendo la sicurezza della macchina. Automaticamente il worm prova quanti indirizzi IP possibili per tentare di insinuarsi in un sempre maggiore numero di computer connessi a Internet.

COME RICONOSCERLO
-----------------

Una volta entrato nel sistema Welchia crea due servizi ex novo che ne segnalano la presenza. Questi sono:
- "RpcTftpd", descritto come "Network Connections Sharing"
- "RpcPatch", descritto come "WINS Client"
Entrambi i servizi sono impostati per essere avviati automaticamente e di fatto avviano Welchia, che dopo la sua comparsa nel computer infettato subito lo riavvia per poter entrare in azione.

CHE DANNI PROVOCA
-----------------

Come si e' detto sopra potrebbero verificarsi problemi, anche dopo la rimozione del worm, con i servizi che sfruttano RPC. Inoltre, l'attivazione di un server TFTP consente teoricamente a chiunque di accedere al file system della macchina rimasta infetta, pregiudicandone notevolmente la privacy.

COME DIFENDERSI
---------------

Fondamentale e' installare le patch per le vulnerabilita' sfruttate da Welchia. Per farlo e' sufficiente collegarsi al sito Microsoft ai seguenti indirizzi:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp

Symantec ha reso disponibile un tool per rimuovere Welchia, disponibile da questo link:
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.removal.tool.html

Aggiornare il proprio sistema antivirus.

ULTERIORI INFORMAZIONI
----------------------

Per conoscere meglio Blaster e' possibile collegarsi al sito di Sophos al seguente indirizzo:
http://www.sophos.com/virusinfo/analyses/w32nachia.html

Oppure al Symantec Security Response:
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)
email: redazione@salvapc.com
Url: http://salvapc.com/

Originariamente inviato da Bilancino
Questa è nuova.........:D

Vulnerabilità presente nei seguenti sistemi operativi:

Microsoft Windows NT® 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server™ 2003

Ciao

non ho avuto problemi con svchost.exe!!

Il problema che avevo era che non fungeva + il drag&drop, nn ricordo perchè!! :(

ciao :D

Ragazzi cosa sono queste 3 applicazioni??so che sono normali ma vorrei sapere a cosa servono esattamente...

Generic host process (lo tengo sempre bloccato con sygate)

Sistema e kernel NT

LSA shell (lo tengo in ask e raramente vuole connettersi)

Grazie :)

Originariamente inviato da recoil
a quanto pare iniziano i problemi anche con windows 2000.
oggi ho visto la mia ragazza che è appena tornata dalle vacanze e ha un problema guarda caso con svchost.exe dopo pochi minuti che è connessa. lei però ha appunto windows 2000 e non c'è nessun riavvio, solo che non le funziona più il drag&drop dei file e ci sono altri problemi con explorer.


Ho avuto lo stesso broblema è sempre colpa del WORM malefico... scarica dal sito di Microsoft la patch per il win 2000

e aggiorna l'antivirus vedrai che non lo fa più....;) :O

Originariamente inviato da recoil
a quanto pare iniziano i problemi anche con windows 2000.
oggi ho visto la mia ragazza che è appena tornata dalle vacanze e ha un problema guarda caso con svchost.exe dopo pochi minuti che è connessa. lei però ha appunto windows 2000 e non c'è nessun riavvio, solo che non le funziona più il drag&drop dei file e ci sono altri problemi con explorer.


eccolo lì...lo pensavo anch'io ma volevo la conferma: qui al lavoro ho un pc con win2000 sp3 installato e dall'altro ieri ho anch'io un problema con uno dei processi svchost che si interrompe e mi impedisce di fare copia-incolla in internet explorer, e oggi excel non ne vuole sapere di partire e mi da un errore iniziale di "impossibile utilizzare le funzioni di collegamento e incorporamento oggetti".
Le cose strane sono che non ho problemi di riavvio del computer e soprattutto che dovrei essere blindatissimo perchè sono dietro un proxy e un firewall aziendale e col norton aggiornatissimo, e invece qualcosa forse è entrato:eek:
Ora vado su windows update per win2000 a vedere cosa trovo per rimediare

buondi'
me lo son beccato pure io, pero' forse grazie al firewall Blackice non ha rotto troppo le scatole infatti nn si riavviava il pc ma avevo dei problemi all' interno di Win2k risolvibili con un riavvio

con la patch si tranquilli anche senza firewall?
perche' con Blackice attivo nn mi va Winmx ed emule :(

Originariamente inviato da BonOVoxX81
Ragazzi cosa sono queste 3 applicazioni??so che sono normali ma vorrei sapere a cosa servono esattamente...

Generic host process (lo tengo sempre bloccato con sygate)

Sistema e kernel NT

LSA shell (lo tengo in ask e raramente vuole connettersi)

Grazie :)


Up

Originariamente inviato da BonOVoxX81
Esistera' mai un SP perfetto???:(

Linux??? Mai provato??? :D

La M$ insegna da sempre... installare tutti i service pack e le patch di sicurezza se si vuole limitare i danni su di un sistema afflitto da non pochi bachi..

Consolatevi.. io personalmente uso linux.. ma sono 5 giorni che in ufficio stiamo aggiornando 2000 client windows 2000 (non a manina... ) perchè chi 1 anno fa ha studiato la nuova rete, passando dalle stupende Sun Solaris a sti c#@#@ di pc win non ha pensato che sarebbe stato utilissimo una software distribution per gli aggiornamenti automatici di tutti i client...

e comunque.. grazie M$..

Certo che basta un worm per mettere in ginocchio un'intera rete.. complimenti..

byez

Gianluca

Originariamente inviato da gianlucalog
Linux??? Mai provato??? :D

La M$ insegna da sempre... installare tutti i service pack e le patch di sicurezza se si vuole limitare i danni su di un sistema afflitto da non pochi bachi..

Consolatevi.. io personalmente uso linux.. ma sono 5 giorni che in ufficio stiamo aggiornando 2000 client windows 2000 (non a manina... ) perchè chi 1 anno fa ha studiato la nuova rete, passando dalle stupende Sun Solaris a sti c#@#@ di pc win non ha pensato che sarebbe stato utilissimo una software distribution per gli aggiornamenti automatici di tutti i client...

e comunque.. grazie M$..

Certo che basta un worm per mettere in ginocchio un'intera rete.. complimenti..

byez

Gianluca

Userei volentieri linux ma con i giochi come la mettiamo??sono un gamers e i giochi su linux non girano bene in confronto a XP :(

Originariamente inviato da McTony
Anche il Welchia usa la stessa vulnerabilità del blaster.

Leggete su Punto informatico:

WORM SEMPRE PIU' PERICOLOSO
---------------------------

Si chiama Welchia (o anche Nachi-a) e nonostante sia stato scoperto solo ieri gia' sta facendo tremare i computer e i server Internet non opportunamente patchati. Welchia, oltre ad attaccare la stessa vulnerabilita' di Blaster (DCOM RPC, oggetto dello scorso SalvaPC) sfrutta un ulteriore buco di sicurezza per il quale Microsoft aveva gia' rilasciato una patch nello scorso marzo.

CHI VIENE COLPITO
-----------------

I sistemi Windows e in particolare quelli che utilizzano i servizi RPC e WebDAV, tra loro quelli piu' a rischio sono Windows 2000 e XP. Windows 95/98/Me non utilizzano i servizi RPC e WebDAV e sono quindi immuni.
In particolare sono soggetti a Bluster i server web e i computer connessi a Internet che non hanno installato le patch Microsoft.

COME FUNZIONA
-------------

Come per Blaster il virus tenta di entrare nel computer dalla porta TCP 135 (per attaccare via RPC) nelle macchine con WindowsXP, mentre sfrutta la porta TCP 80 (quella comunemente utilizzata per il Web) per i sistemi dotati di Internet Information Server 5.0.

Questo worm e' capace di debellare Blaster ma potrebbe rendere instabile il sistema e arriva ad installare un TFTP server compromettendo la sicurezza della macchina. Automaticamente il worm prova quanti indirizzi IP possibili per tentare di insinuarsi in un sempre maggiore numero di computer connessi a Internet.

COME RICONOSCERLO
-----------------

Una volta entrato nel sistema Welchia crea due servizi ex novo che ne segnalano la presenza. Questi sono:
- "RpcTftpd", descritto come "Network Connections Sharing"
- "RpcPatch", descritto come "WINS Client"
Entrambi i servizi sono impostati per essere avviati automaticamente e di fatto avviano Welchia, che dopo la sua comparsa nel computer infettato subito lo riavvia per poter entrare in azione.

CHE DANNI PROVOCA
-----------------

Come si e' detto sopra potrebbero verificarsi problemi, anche dopo la rimozione del worm, con i servizi che sfruttano RPC. Inoltre, l'attivazione di un server TFTP consente teoricamente a chiunque di accedere al file system della macchina rimasta infetta, pregiudicandone notevolmente la privacy.

COME DIFENDERSI
---------------

Fondamentale e' installare le patch per le vulnerabilita' sfruttate da Welchia. Per farlo e' sufficiente collegarsi al sito Microsoft ai seguenti indirizzi:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp

Symantec ha reso disponibile un tool per rimuovere Welchia, disponibile da questo link:
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.removal.tool.html

Aggiornare il proprio sistema antivirus.

ULTERIORI INFORMAZIONI
----------------------

Per conoscere meglio Blaster e' possibile collegarsi al sito di Sophos al seguente indirizzo:
http://www.sophos.com/virusinfo/analyses/w32nachia.html

Oppure al Symantec Security Response:
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)
email: redazione@salvapc.com
Url: http://salvapc.com/

ciao ragazzi... qui in azienda siamo stati su fino alle 2 di notte per aggiornare tutto dopo che l'infezione si era sparsa a macchia d'olio... 'sto welch è davvero bastardo!

"svchost.exe ha causato dei problemi e verrà chiuso". questo messaggio mi esce sempre quando non installo il firwall.
adesso che ho installato norton firewall 2001 non esce + ma nn riesco a scaricare neanche un file da internet e fare il live update dei virus definition. che cosa devo fare??

Io ho risolto in altro modo: sono passato a linux. E' stato un po' incasinato configurare il modem USB adsl ma alla fine ce l'ho fatta.

CIAO

Originariamente inviato da IlCarletto
"svchost.exe ha causato dei problemi e verrà chiuso". questo messaggio mi esce sempre quando non installo il firwall.
adesso che ho installato norton firewall 2001 non esce + ma nn riesco a scaricare neanche un file da internet e fare il live update dei virus definition. che cosa devo fare??


non hai letto nemmeno la prima pagina?!? c'è la patch nel link di bilancino...

..già fatto, ma il problem rimane... soprattutto con il firewall. nn mi fa scaricare le virus definitions, file generici (per scaricare la patch ho dovuto disabilitare il firewall...- 2 secondi dopo svchost:muro: - e scaricarla..)
ho già spulciato tutte le opzioni andando a modificarle una alla volta x vedere cosa cambiava... niente!!:cry: :cry: :cry:
ho norton personal firewall 2001

da quando ho aggiornato windows xp con la patch di microsoft, non riesco più a far funzionare il windows update.
che succede? :D

...è quello che penso io? la famosa "black list" :D

buonasera a tutti.......
vi spiego cosa mi e' successo......
mi hanno avvisato che in una mia e-mail vi era un virus........
allora ho fatto la scansione e ho trovato due file infetti.senza vedere di che si trattava (che idiozia che ho fatto............) li ho cancellati.......
il bello e' che prima mi era successo lo stesso vostro problema (ossia errore rpc) ma non ci avevo fatto caso....
ora scopro che era un worm....e che non ci si infetta tramite e-mail per cui il mio amico non era stato infettato da me, ma era accaduto stranamente solo quando stava leggendo la mia e-mail...
ora il probelma e' che ho fatto la scansione con il tool e poi instalalto la patch.....sono al sicuro????
il mio amico invece che si trova in germania ha avuto un problema diverso....si e' aperta una finestra che caricava un programma......e diceva che se si chiudeva si sarebbe spento il computer......e poi delle finestra che dicevano di avere il worm in questione e per toglirlo bisogna andare su www.antic.cc
possibile che lo stesso worm ma mandato in modo diverso con effetti diversi??????????
ciao e spero di essere stato chiaro anche se a quest'ora non lo sono..:D :D :D

AL tg hanno detto che per risolvere il problema basta andare nel sito della maicrosoft e scaricare GRATIS la patch.
Mmmmm! Sembra quasi che la maicrosoft sia generosa e ci faccia una bella figura da tutto ciò. :mad:

Non hanno minimamente accennato che gli utenti Linux non hanno nessun problema! :mad: :mad: :mad:

Originariamente inviato da Aiace
AL tg hanno detto che per risolvere il problema basta andare nel sito della maicrosoft e scaricare GRATIS la patch.
Mmmmm! Sembra quasi che la maicrosoft sia generosa e ci faccia una bella figura da tutto ciò. :mad:

Non hanno minimamente accennato che gli utenti Linux non hanno nessun problema! :mad: :mad: :mad:


E' normale...anzi normalissimo che microsoft ci faccia sempre bella figura :O

Hey ragazzi... ma stanotte non notate niente di strano?
A parte che il mio firewall mi rileva entrate dalla famosa porta 135.............
Comunque, un mio amico, proprio in questo momento, sta sperimentando degli (chiamiamoli così...) scherzetti...
Per esempio, ogni tanto gli compare internet explorer dal nulla, con una schermata di errore (impossibile visualizzare la pagina... il sito internet ha un problema bla bla bla)...
E poi quando chiude la pagina, dà un errore che non mi ricordo...

E poi ogni tanto gli compare una finestrella wiz patch mi pare.....
Insomma gli fa cose strane!
Infatti gli sto consigliando di mettersi un firewall.

Ne sapete nulla?

Ciaux :D ;)

anche al mio amico succedono cose strane......e in piu' la patch non ha risolto completamente il problema...
ciao

Formattate e mettete la patch tra le prime cose. E magari anche il SP4:)

continuano i tentativi sulla porta 135...ma con la patch non si doveva risolvare tutto????????
ciao

Originariamente inviato da 72andrea72
continuano i tentativi sulla porta 135...ma con la patch non si doveva risolvare tutto????????
ciao


I tentativi ci sono sempre ma la patch ora li riconoscera' e li blocca ;)

scusate ma per gli user di win2k rimane sempre il problema del svchost, voi utenti di win2k come avete fatto?

Originariamente inviato da BonOVoxX81
I tentativi ci sono sempre ma la patch ora li riconoscera' e li blocca ;)

Sicuro???? Ti fideresti a disattivare il firewall per vedere se la patch da sola blocca gli accessi alle porte 135, 137 e 445? Io mica tanto, il mio zone alarm mi segnala attacchi quasi continui a quelle porte, diciamo in media 1 al minuto :eek: tanto che il monitor di sistema di zone alarm lavora come un pazzo e mi porta l'occupazione della cpu al 50%.
Sono blindatissimo tra patch, firewall e antivirus aggiornatissimo ma qualcosa di strano succede ancora: ieri pur avendo alice 640 si navigava e soprattutto si scaricava con molta difficoltà da internet, come se l'ampiezza di banda fosse limitata:confused:
A voi vi capita ultimamente?

Originariamente inviato da BonOVoxX81
I tentativi ci sono sempre ma la patch ora li riconoscera' e li blocca ;)

speriamo bene.........:D

Originariamente inviato da mirage12345
Sicuro???? Ti fideresti a disattivare il firewall per vedere se la patch da sola blocca gli accessi alle porte 135, 137 e 445? Io mica tanto, il mio zone alarm mi segnala attacchi quasi continui a quelle porte, diciamo in media 1 al minuto :eek: tanto che il monitor di sistema di zone alarm lavora come un pazzo e mi porta l'occupazione della cpu al 50%.
Sono blindatissimo tra patch, firewall e antivirus aggiornatissimo ma qualcosa di strano succede ancora: ieri pur avendo alice 640 si navigava e soprattutto si scaricava con molta difficoltà da internet, come se l'ampiezza di banda fosse limitata:confused:
A voi vi capita ultimamente?

anch'io ricevo un atacco agni minuto (alcune volte anche meno.....), ma spero che la patch faccia il suo dovere.........
dopo tutto il firewaall ci informa solo che hanno tentato di entrare da quelle porte e in questo periodo in cui sanno che non tutti hanno la patch, si staranno dando da fare.......aspettiamo e vediamo........
ciao

Originariamente inviato da mirage12345
Sicuro???? Ti fideresti a disattivare il firewall per vedere se la patch da sola blocca gli accessi alle porte 135, 137 e 445? Io mica tanto, il mio zone alarm mi segnala attacchi quasi continui a quelle porte, diciamo in media 1 al minuto :eek: tanto che il monitor di sistema di zone alarm lavora come un pazzo e mi porta l'occupazione della cpu al 50%.
Sono blindatissimo tra patch, firewall e antivirus aggiornatissimo ma qualcosa di strano succede ancora: ieri pur avendo alice 640 si navigava e soprattutto si scaricava con molta difficoltà da internet, come se l'ampiezza di banda fosse limitata:confused:
A voi vi capita ultimamente?


No no non mi fiderei (stiamo parlando di microsoft :doh: fidarsi e' un suicidio) e dopo aver messo lka patch ho installato AVG 7 e Sygate 5.0 :D . Col cavolo che mi fiderei solo della patch ;)

Originariamente inviato da 72andrea72
anch'io ricevo un atacco agni minuto (alcune volte anche meno.....), ma spero che la patch faccia il suo dovere.........
dopo tutto il firewaall ci informa solo che hanno tentato di entrare da quelle porte e in questo periodo in cui sanno che non tutti hanno la patch, si staranno dando da fare.......aspettiamo e vediamo........
ciao

Il firewall oltre ad informarci blocca l'attacco soprattutto ;) cmq ho sentito di gente che dopo aver messo la patch ha ancora qualche problema :muro:

Originariamente inviato da BonOVoxX81
Il firewall oltre ad informarci blocca l'attacco soprattutto ;) cmq ho sentito di gente che dopo aver messo la patch ha ancora qualche problema :muro:

il problema è che ci risultano tutti questi attacchi, dovuti solo (secondo me ) all'intensa attivita' di chi vuole sfruttare la vulnerabilita' del xp prima ancora che tutti si installano la patch e non certo perche' tale patch non risolva il problema........comunque come dici tu....meglio non fidarsi.....
ciao

Originariamente inviato da aKemi
scusate ma per gli user di win2k rimane sempre il problema del svchost, voi utenti di win2k come avete fatto?

quoto xkè interessa anche a me!;)

Scusate nn ho letto tutto il Thread ...
Anche io sono stato "colpito" , mi e' preso un colpo la prima volta pensavo fosse la Mmmmicrosoft :D
Cmq sia ho eliminato il file,installato la patch , mi sfugge qualcosa devo fdare qualcos'altro ?
Tnk

Originariamente inviato da Keanu
Scusate nn ho letto tutto il Thread ...
Anche io sono stato "colpito" , mi e' preso un colpo la prima volta pensavo fosse la Mmmmicrosoft :D
Cmq sia ho eliminato il file,installato la patch , mi sfugge qualcosa devo fdare qualcos'altro ?
Tnk

scusa che file hai eliminato??????
ciao

MsBlast.exe
All'interno di system32

Giusto?

Originariamente inviato da Keanu
MsBlast.exe
All'interno di system32

Giusto?


Si giusto ma c'e una stringa nel tuo registro che ad ogni avvio del sistema lo ricrea...in teoria la patch dovrebbe sistemare:) . Io sono andato a controlare e questa stringa non c'era per fortuna. Non te la so dire ora non ricordo come si chiama

Originariamente inviato da BonOVoxX81
Si giusto ma c'e una stringa nel tuo registro che ad ogni avvio del sistema lo ricrea...in teoria la patch dovrebbe sistemare:) . Io sono andato a controlare e questa stringa non c'era per fortuna. Non te la so dire ora non ricordo come si chiama


Precisamente la chiave del registro è la

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

e va cancellato il valore

"windows auto update"

presente se il worm è il Blaster normale o il Blaster B, oppure

"Microsoft Inet Xp.."="teekids.exe"

se il worm è il Blaster C.

puo' essere che quella stringa e il file me li abbia gia' cancellati il caro norton????
mi ricordo che in una scnasione mi trovo due file infetti e li cancellai.......ma non ricordo se erno questi.........ciao.....

Può darsi... in ogni caso se sei stato infettato è meglio non fidarsi della sola installazione della patch microsoft e della scansione con l'antivirus. Ti conviene seguire la precedura completa di rimozione che trovi sul sito Symantec a questo indirizzo

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

Originariamente inviato da mirage12345
Precisamente la chiave del registro è la

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

e va cancellato il valore

"windows auto update"

presente se il worm è il Blaster normale o il Blaster B, oppure

"Microsoft Inet Xp.."="teekids.exe"

se il worm è il Blaster C.


Esatto ;)

Originariamente inviato da mirage12345
Precisamente la chiave del registro è la

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

e va cancellato il valore

"windows auto update"

presente se il worm è il Blaster normale o il Blaster B, oppure

"Microsoft Inet Xp.."="teekids.exe"

se il worm è il Blaster C.

ma "windows auto update" che sta sotto "windowsupdate"?
dentro "run" non c'è l'ho "windows auto update"... :confused:

Originariamente inviato da toshisdr5002a
ma "windows auto update" che sta sotto "windowsupdate"?
dentro "run" non c'è l'ho "windows auto update"... :confused:


E ti lamenti??lo vorresti??:D

Originariamente inviato da BonOVoxX81
E ti lamenti??lo vorresti??:D

mi accontenterei del:

"evaengheronlyforyou.exe" :oink:

Originariamente inviato da toshisdr5002a
mi accontenterei del:

"evaengheronlyforyou.exe" :oink:


Se se.....roccosiffrediINyou :oink: :D :D :D

questa mattina ho controllato il piccì e cosa ho visto? orrore almeno 20 messaggi dell'antivirus che ha individuato un worm "mimmo"??:eek: e un altro che però non sono quelli di cui si parla tanto in questo tempo, il blast e so??? ..

tantini per un sistema installato ieri sera con la patch ma senza firewall..:cry:, e con solo il mulo attaccato;)

lcome cazz hanno fatto ad entrare?

Mimmo :eek: :eek: :eek: ??Beh dai il nome e' simpatico:D :D

Cmq mai sentito :O

Originariamente inviato da BonOVoxX81
Il firewall oltre ad informarci blocca l'attacco soprattutto ;) cmq ho sentito di gente che dopo aver messo la patch ha ancora qualche problema :muro:

io sono uno di quelli....
ripulito il pc installata la patch abilitato il firewall di xp...
avg mi manda il msg di rintraccio virus worm.lovsan.a
e mi consiglia di eseguire la scansione con l'antivirus

la scansione non rileva nulla
:muro: :muro: :muro:

però non mi da + il msg nt autority di spegnimento

Originariamente inviato da picagetto
io sono uno di quelli....
ripulito il pc installata la patch abilitato il firewall di xp...
avg mi manda il msg di rintraccio virus worm.lovsan.a
e mi consiglia di eseguire la scansione con l'antivirus

la scansione non rileva nulla
:muro: :muro: :muro:

però non mi da + il msg nt autority di spegnimento

Usa il toolkit della symantec. Anche se lo togli ce la stringa sul regidtro di sistema che te lo ricrea...:O se leggi 3 post piu' sopra c'e scritta la procedura per rimuoverla:rolleyes: .
Cmq il firewall di XP....:rolleyes: :rolleyes: :rolleyes:

Originariamente inviato da BonOVoxX81
Usa il toolkit della symantec. Anche se lo togli ce la stringa sul regidtro di sistema che te lo ricrea...:O se leggi 3 post piu' sopra c'e scritta la procedura per rimuoverla:rolleyes: .
Cmq il firewall di XP....:rolleyes: :rolleyes: :rolleyes:

non c'è la voce nel registro :rolleyes:

Originariamente inviato da picagetto
non c'è la voce nel registro :rolleyes:


Caspita....allora non so come aiutarti! Si richiede l'intervento di gente piu' esperta!! MOD :D !!!!

Originariamente inviato da picagetto
non c'è la voce nel registro :rolleyes:


Segui passo passo la procedura descritta da Symantec:

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

e togli quel c@@@o di firewall di xp e mettine uno + serio e + sicuro: zonealarm, sygate, kerio.... ce ne sono tanti e le versioni free sono aggratis!

Originariamente inviato da mirage12345
Segui passo passo la procedura descritta da Symantec:

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

e togli quel c@@@o di firewall di xp e mettine uno + serio e + sicuro: zonealarm, sygate, kerio.... ce ne sono tanti e le versioni free sono aggratis!

ti spiego da quando ho messo fastweb mi hanno detto che zone alarm lo potevo disinstallare.... in effetti non mi segnalava più nulla...

putroppo la mia limitata conoscenza dell'inglese non mi dà la certezza di aver fatto tutto bene...

cmq quando non uso il pc per un po, xp torna alla pagina della scelta utenti in maniera regolare , però compare una finestra con scritto:

virus worm/lovsan.a
found in c:\system volume information\_restore-(26a2c..(tot numeri e lettere) .exe

ma sto file dov'è che non lo trovo????

Originariamente inviato da picagetto
putroppo la mia limitata conoscenza dell'inglese non mi dà la certezza di aver fatto tutto bene...

cmq quando non uso il pc per un po, xp torna alla pagina della scelta utenti in maniera regolare , però compare una finestra con scritto:

virus worm/lovsan.a
found in c:\system volume information\_restore-(26a2c..(tot numeri e lettere) .exe

ma sto file dov'è che non lo trovo????

l'ho trovato ma mi dà accesso negato....

Originariamente inviato da picagetto
l'ho trovato ma mi dà accesso negato....

bene devi disabilitare il system restore. I passi per farlo li trovi nel mio sito nella sezione tools Antivirus

Ciao

Originariamente inviato da Bilancino
bene devi disabilitare il system restore. I passi per farlo li trovi nel mio sito nella sezione tools Antivirus

Ciao

fatto ma sempre zcesso negato...

devo riavviare la tool di rimozione???

avg continua a non trovare il virus....

Originariamente inviato da picagetto
fatto ma sempre zcesso negato...

devo riavviare la tool di rimozione???

avg continua a non trovare il virus....

quando si disabilita tutto quello che c'è dentro si perde e anche il virus in quella zone viene tolto. Lancia il tool ma nel system restore non dovrebbe più esserci.

Ciao

sei un salvatore.....

allora poi lo devo rispuntare??
magari dopo un riavvio...

:ave:

Originariamente inviato da picagetto
sei un salvatore.....

allora poi lo devo rispuntare??
magari dopo un riavvio...

:ave:

Certo se ti serve il ripristino fallo.............

Ciao

ti do un mio modesto parere.......ovviamente bilancino e altri ti sapranno dare migliori consigli....
lascia disattivato system restore perche' dopo un po' diventa una cartella dalle dimensioni esagerate......
usa dei programmi che fanno questo lavoro meglio......
ciao.....

Originariamente inviato da 72andrea72
ti do un mio modesto parere.......ovviamente bilancino e altri ti sapranno dare migliori consigli....
lascia disattivato system restore perche' dopo un po' diventa una cartella dalle dimensioni esagerate......
usa dei programmi che fanno questo lavoro meglio......
ciao.....


Vero io la svuoto con costanza............

Ciao

virus sparito.... :sperem:

grazie

http://www.ansa.it/fdg01/200308291930117576/200308291930117576.html

allora...io non ho letto tutte e 300 pagine, ma sapevo del problema e cercando in rete credevo di aver risolto con patch e fix vari.....

ora pero si presenta un altro problemino...con il zone alarm attivatoil pc funziona alla grande se lo disattivo mi parte la schermata del norton aggiornato dicendomi che il file

c:\window\system32\tftp2626 e infettato dal virus blastwer.worm...ma non riesce ad eliminarlo "accesso negato"

vado a controllare ma io sto file non lo ho ho solo il file tftp.exe...che credo sia un file di sistema di win....(pero non ho provato ad eliminarlo)

il file "msblast"non lo ho + nel registro di sistema non ho + stringhe maledette, i vari fix non trovano + nulla, il norton se faccio una scansione non mi trova nulla....e allora CHE CASPITA E STO ERRORE???:muro: :muro: :muro:

Sentite questa
Ho formattato da poco
Non ho messo la patch contro msblast, ma ho messo il kerio!
E proprio poco fa, msblast ha fatto il colpaccio!
Meno male che ho fatto shutdown -a ...!!!

ma com'è possibile???
Io ho bloccato le porte locali dalla 135 alla 138!
La relativa regola è la seconda, poichè la prima è una che concede l'accesso ai seguenti IP (per la LAN):
dal 192.168.0.0 a 255.255.255.0
poi il 127.0.0.1
e il 0.0.0.0 (forse è questo l'ip che non avrei dovuto concedere... ma che significa 0.0.0.0???)

Aiutatemi, sono un principiante con le reti, ma so per certo che come per seconda regola, ho bloccato dalla 135 alla 138!!!

Ciaux :D ;)

Non vorrei dire una ca@@ata, ma mi sembra che ci siano di mezzo anche le porte 139 e 445.... bilancino può confermare

e un virus lo faceva anche a me ma dopo un bel formattone e tornato tutto a posto :D

mmmm :rolleyes:
Accidenti... comunque avevo letto che il creatore di questo worm doveva essere arrestato... mbà... :rolleyes:
Comunque, ieri dovevo essere fumato :D :sofico:
Oggi mi sono svegliato (con il PC connesso tutta la notte), ed ho trovato msblast di nuovo in azione!!! :eek:
Meno male che avevo creato una regola (la prima come priorità) che bloccava msblast.exe in tutte le porte, protocolli ecc...
E stamattina ho trovato un log di bel 24 MB!!! :eek: :D cess
Il worm sembra essere entrato da un IP che comincia con 195.xxx.xxx.xxx, quindi l'ho lasciato passare io permettendo gli IP dal 192.0.0.0 al 255.255.255.0 :muro: :muro: :oink: :oink:
Che idiota! :D
Ora ho concesso per la LAN gli IP dal 192.0.0.0 al 192.0.0.255!

Mi confermate che questo range di IP venga utilizzato solo in LAN???

Ciao e grazie per la risposta!
Ah, aggiungerò tra i blocchi anche la porta 139, e per la 445 vedrò come fare, perchè viene usata in LAN!

Ciaux :D ;)

ricordate di bloccare il ripristino automatico di windows prima di levarlo

Originariamente inviato da superblak
allora...io non ho letto tutte e 300 pagine, ma sapevo del problema e cercando in rete credevo di aver risolto con patch e fix vari.....

ora pero si presenta un altro problemino...con il zone alarm attivatoil pc funziona alla grande se lo disattivo mi parte la schermata del norton aggiornato dicendomi che il file

c:\window\system32\tftp2626 e infettato dal virus blastwer.worm...ma non riesce ad eliminarlo "accesso negato"

vado a controllare ma io sto file non lo ho ho solo il file tftp.exe...che credo sia un file di sistema di win....(pero non ho provato ad eliminarlo)

il file "msblast"non lo ho + nel registro di sistema non ho + stringhe maledette, i vari fix non trovano + nulla, il norton se faccio una scansione non mi trova nulla....e allora CHE CASPITA E STO ERRORE???:muro: :muro: :muro:


qualc' uno mi sa aiutare??:( :(

Originariamente inviato da superblak
qualc' uno mi sa aiutare??:( :(

prova a disabilitare il system restore se usi win xp e ricontrolla con una scansione del sistema.

Ciao

Ragazzi, mi e' successa una cosa stranissima!! :eek:


Quando mi collego a Internet, mi viene fuoti un msg di NT authority e un errore RCP e mi dice che il computer si spegnera' tra 30 secondi!!

Di che si tratta??????? :eek: :eek:







































:eheh:

Originariamente inviato da LadyLag
Ragazzi, mi e' successa una cosa stranissima!! :eek:


Quando mi collego a Internet, mi viene fuoti un msg di NT authority e un errore RCP e mi dice che il computer si spegnera' tra 30 secondi!!

Di che si tratta??????? :eek: :eek:



Abbiamo bevuto......:D

Ciao

Originariamente inviato da Bilancino
Abbiamo bevuto......:D

Ciao

:mbe:


Che avevi scritto prima di modificare il post?? :mbe:

Originariamente inviato da LadyLag
:mbe:


Che avevi scritto prima di modificare il post?? :mbe:


niente.....:sofico:

Ciao

Originariamente inviato da Bilancino
niente.....:sofico:


:mbe:



Ti tengo d'occhio! :mbe:

Originariamente inviato da aKemi
scusate ma per gli user di win2k rimane sempre il problema del svchost, voi utenti di win2k come avete fatto?

Sono interessatissimo pur io!!! Pensavo che fosse un problema di driver o robe simili... Ho fatto pure lo screen e stavo per aprire un thread (ovviamente prima avrei fatto una ricerca - quanto sono bravo :D :D :D ). In pratica 20 min fa ho riavviato e oltre a svchost (che è l'errore che mi tortura da quando ho installato win2000, cioé ieri) ora ad ogni accensione/riavvio del pc, appena caricato il desktop mi appare un altro errore - "msblast.exe ha provocato un errore e verrà chiuso. Sarà necessario riavviare il programma."
Ora, l'errore di svchost continua ad apparire (mi è sembrato che appaia solo quando si è connessi a internet) e a rincoglionirmi il pc (la metà delle funzioni più utili non funzionano più...). Cosa bisogna fare? Scusate se lo chiedo ma le pagine da leggere sono veramente moltissime, e poi nelle ultime ho trovato la richiesta d'aiuto di aKemi, quindi significa che non è stato ancora spiegato il procedimento per risolvere il problema... (oppure è un pigrone pure lui e non ha letto tutto il thread :D :D :D ) Mamma mia quanto ho scritto :eek: :D
:eek:

sto notando che sono terminati gli attacchi alla porta 135......e' un'impressione?????
ciao.......

me lo son zuzzato pure io sto **stardo!!! mo provo a rimuoverlo se ho problemi chiedo!:D

E' successo anche a me, solo che per elimarlo è bastato eliminare il msBlaster32.exe dalla cartella system32 e eliminare da HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run il il valore "windows auto update"="msblast.exe".

E il fido norton lo ha ultimato tramite una scansione.

Originariamente inviato da [][][][]
E' successo anche a me, solo che per elimarlo è bastato eliminare il msBlaster32.exe dalla cartella system32 e eliminare da HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run il il valore "windows auto update"="msblast.exe".

E il fido norton lo ha ultimato tramite una scansione.

ebbravo il signor norton!!
:D

ciao anche a me è apparsa la finestra con scritto" Il sistema sta per essere arrestato" . ho scaricato il tool di norton e non ha trovato nulla.successivamente ho installato un firewall.
Son tranquillo cosi'? ma la finestra descritta non è causata dal virus? grazie per le risposte !:)

Originariamente inviato da Caddish
ciao anche a me è apparsa la finestra con scritto" Il sistema sta per essere arrestato" . ho scaricato il tool di norton e non ha trovato nulla.successivamente ho installato un firewall.
Son tranquillo cosi'? ma la finestra descritta non è causata dal virus? grazie per le risposte !:)


ehm...
gia'...


cmq sei un bel po' pigro:sofico:

umh? dove è scritto?

Originariamente inviato da Caddish
umh? dove è scritto?


parli della finestra di errore RPC????:confused:

si voglio solo sapere se dopo che appare questa finestra con la scritta... Il sistema sta per essere arrestato .... il mio sistema avra qualche problema! e poi vorrei saper da cosa questo è stato creato, o meglio è creato dal virus blaster? e in tal caso io non avendolo vorrei saper da cosa dipende! Grasie.

Originariamente inviato da Caddish
si voglio solo sapere se dopo che appare questa finestra con la scritta... Il sistema sta per essere arrestato .... il mio sistema avra qualche problema! e poi vorrei saper da cosa questo è stato creato, o meglio è creato dal virus blaster? e in tal caso io non avendolo vorrei saper da cosa dipende! Grasie.

chiedo scusa, allora, per aver aperto bocca senza cognizione di causa...

Non ho le carte in regola per risponderti (di firewall ci capisco poco e nulla... uso il sygate, ma per configurarlo ad hoc sono diventato pazzo), pero' posso dirti di provare a vedere i processi attivi, e controllare msblast!
se trovi quella voce il tuo computer dovrebbe essere ancora infetto...
:)

sorry per averti dato del pigro...
il pigro sono stato io a leggere troppo frettololasente il tuo reply;)

Devi instalalre la patch microsoft, perchè anche rimosso il virus la finestra di spegnimento rimane, installali la patch e se il virus non c'è più sei ok.

Ciao

Originariamente inviato da Mr. Framerate
Devi instalalre la patch microsoft, perchè anche rimosso il virus la finestra di spegnimento rimane, installali la patch e se il virus non c'è più sei ok.

Ciao

non è un virus!

dunque ho installato il firewall e poi ho fatto una scansione con il tool di norton e... non ho il worm.Ma allora da cosa era creata la finestra .... il sistema sta per esser arrestato ..o mi pare che dicesse cosi':) . Comunque non ho piu' questo problema. pero davvero non capisco da cosa sia stato creato visto che non ho msblast.exe!

non è che per caso il tuo antivirus aveva già in precedenza messo il worm in quarantena??

umh... no no. la finestra appare solo se c'è il worm?

non sono stato a leggere tutto ma se ancora qualcuno non la detto questo problema e' sucesso anche a me e' un virus che se reistalli lo riprendi di nuovo non perche sia annidato nel computer ma perche lo riprendi quando ti collegi a internet, l'unico metodo per liberarsene e' reistallare il sistema andare subito su internet senza aprire nessuna pagina e andare direttamente su il sito della maicrosoft e scaricare tutti gli aggornamenti cosi la falla che c'e' nel sistema viene colmata e non lo riprendete piu' per il mumento funziona solo su nt ma ne sta' uscendo una versione per 98 me

quindi attenti

ha se lo prendete prima di scaricare gli aggiornamenti dovete reistallare windows perche senno non potete scaricarli che si disconnette

ciao

Originariamente inviato da alex.sera
non sono stato a leggere tutto ma se ancora qualcuno non la detto questo problema e' sucesso anche a me e' un virus che se reistalli lo riprendi di nuovo non perche sia annidato nel computer ma perche lo riprendi quando ti collegi a internet, l'unico metodo per liberarsene e' reistallare il sistema andare subito su internet senza aprire nessuna pagina e andare direttamente su il sito della maicrosoft e scaricare tutti gli aggornamenti cosi la falla che c'e' nel sistema viene colmata e non lo riprendete piu' per il mumento funziona solo su nt ma ne sta' uscendo una versione per 98 me

quindi attenti

ha se lo prendete prima di scaricare gli aggiornamenti dovete reistallare windows perche senno non potete scaricarli che si disconnette

ciao

non serve reinstallare windows. basta bloccare il servizio RPC come descritto qualche pagina indietro. ;) :)

Originariamente inviato da alex.sera
non sono stato a leggere tutto ma se ancora qualcuno non la detto questo problema e' sucesso anche a me e' un virus che se reistalli lo riprendi di nuovo non perche sia annidato nel computer ma perche lo riprendi quando ti collegi a internet, l'unico metodo per liberarsene e' reistallare il sistema andare subito su internet senza aprire nessuna pagina e andare direttamente su il sito della maicrosoft e scaricare tutti gli aggornamenti cosi la falla che c'e' nel sistema viene colmata e non lo riprendete piu' per il mumento funziona solo su nt ma ne sta' uscendo una versione per 98 me

quindi attenti

ha se lo prendete prima di scaricare gli aggiornamenti dovete reistallare windows perche senno non potete scaricarli che si disconnette

ciao

e poi non è un virus!!!!
cmq la soluzione è spiegata pagine addietro per una corretta eliminazione senza formattoni inutili!!

scusate ma come gia detto non sono stato a leggere

Originariamente inviato da alex.sera
scusate ma come gia detto non sono stato a leggere

figurati!
ciaoo
:)

Attenzione! In questi giorni sta cirolando un temibile virus che si spaccia per una comunicazione Microsoft, con tanto di grafica, testo altamente plausibile e link funzionanti al sito Microsoft. Indica come mittente “MS Technical Support”, “Microsoft” “Microsoft Service” (o altri soggetti simili) ed invita ad installare al più presto gli allegati. In relatà si tratta di un messaggio fasullo che contiene il worm Swen...

Il nuovo worm si distingue dagli altri per un utilizzo estremamente astuto della comunicazione: il messaggio è confezionato davvero bene, tanto da sembrare un'informativa autentica proveniente da Microsoft e riguardante una fantomatica patch da installare al più presto. E' quindi molto probabile che moltissimi utenti verranno ingannati, credendo che si tratti davvero di un comunicato proveniente da Microsoft.

Swen non e' intenzionalmente distruttivo, ma e' in grado di disattivare alcuni programmi antivirus e soprattutto e' capace di ricavare dal sistema infettato altri indirizzi di posta elettronica a cui spedirsi. Il worm si sta diffondendo velocemente oltre che via e-mail, anche attraverso le reti locali e sistemi di condivisione (reti IRC, reti Kazaa). Il nostro consiglio è quello di aggiornare subito il vostro antivirus: in queste ore tutti i principali produttori stanno aggiornando i propri sistemi di difesa ed e' dunque bene scaricare le ultime definizioni. In ogni caso, se usate Windows ma non eseguite l'allegato, non dovreste correre rischi: cancellate subito il messaggio e basta.

Da Interfree.it

PS: a me ha intasato la casella di posta :mad:

Originariamente inviato da alex10
Attenzione! In questi giorni sta cirolando un temibile virus che si spaccia per una comunicazione Microsoft, con tanto di grafica, testo altamente plausibile e link funzionanti al sito Microsoft. Indica come mittente “MS Technical Support”, “Microsoft” “Microsoft Service” (o altri soggetti simili) ed invita ad installare al più presto gli allegati. In relatà si tratta di un messaggio fasullo che contiene il worm Swen...

Il nuovo worm si distingue dagli altri per un utilizzo estremamente astuto della comunicazione: il messaggio è confezionato davvero bene, tanto da sembrare un'informativa autentica proveniente da Microsoft e riguardante una fantomatica patch da installare al più presto. E' quindi molto probabile che moltissimi utenti verranno ingannati, credendo che si tratti davvero di un comunicato proveniente da Microsoft.

Swen non e' intenzionalmente distruttivo, ma e' in grado di disattivare alcuni programmi antivirus e soprattutto e' capace di ricavare dal sistema infettato altri indirizzi di posta elettronica a cui spedirsi. Il worm si sta diffondendo velocemente oltre che via e-mail, anche attraverso le reti locali e sistemi di condivisione (reti IRC, reti Kazaa). Il nostro consiglio è quello di aggiornare subito il vostro antivirus: in queste ore tutti i principali produttori stanno aggiornando i propri sistemi di difesa ed e' dunque bene scaricare le ultime definizioni. In ogni caso, se usate Windows ma non eseguite l'allegato, non dovreste correre rischi: cancellate subito il messaggio e basta.

Da Interfree.it

PS: a me ha intasato la casella di posta :mad:


Mi spiace arrivi tardi............:sofico:

Ciao

Originariamente inviato da Bilancino
Mi spiace arrivi tardi............:sofico:

Ciao

Meglio risegnalare e tenere vivo il 3d con nuovi messaggi sennò sembra un 3d vecchio e nessuno lo legge più.
;)

PS: anche perchè il nome è diverso da quello nel titolo.

Originariamente inviato da alex10
Meglio risegnalare e tenere vivo il 3d con nuovi messaggi sennò sembra un 3d vecchio e nessuno lo legge più.
;)

PS: anche perchè il nome è diverso da quello nel titolo.


ci sono state molte discussioni aperte in proposito sia nella mia sezione che in altre.........

Ciao

Sono andato da un amico (s.o. win xp home edition) x togliergli l'msblast e sentite cosa mi succede.
Prima di tutto blocco lo shutdown tramite il prompt e poi uso il tool della symantec, dopo di che mi connetto ad internet x scaricare la patch e mi riparte lo shutdown perchè visto che il worm l'avevo rimosso?

660a risposta... ma quanto starà su ancora questo thread? :O

Originariamente inviato da GioFX
660a risposta... ma quanto starà su ancora questo thread? :O

ancora per molto.............:sofico:

Ciao

Sono andato da un amico (s.o. win xp home edition) x togliergli l'msblast e sentite cosa mi succede.
Prima di tutto blocco lo shutdown tramite il prompt e poi uso il tool della symantec, dopo di che mi connetto ad internet x scaricare la patch e mi riparte lo shutdown perchè visto che il worm l'avevo rimosso?

Allora nessuno puo aiutarmi?:confused: :confused: :confused:

Originariamente inviato da Snake156
Allora nessuno puo aiutarmi?:confused: :confused: :confused:

e chiaro che se ti colleghi senza aver messo un firewall che blocca la porta 135 riprendi il worm. Senza firewall configurato bene non scaricherai mai la patch. Installa Sygate 5.1 e alla prima richiesta del processo Scvhost.exe che vuole accedere a internet lo blocchi così la porta 135 è chiusa.

Ciao

Originariamente inviato da Bilancino
e chiaro che se ti colleghi senza aver messo un firewall che blocca la porta 135 riprendi il worm. Senza firewall configurato bene non scaricherai mai la patch. Installa Sygate 5.1 e alla prima richiesta del processo Scvhost.exe che vuole accedere a internet lo blocchi così la porta 135 è chiusa.

Ciao


Azz.... mi ha preceduto di qualche minuto..:O :O .. altrimenti anche io avrei detto proprio la stessa cosa uguale...:O
Poi il fatto del processo scvhost.exe era talmente scontato :O :mc:




:D


P.S. e' chiaro.. si scrive con l'accento :D

Originariamente inviato da LadyLag
Azz.... mi ha preceduto di qualche minuto..:O :O .. altrimenti anche io avrei detto proprio la stessa cosa uguale...:O
Poi il fatto del processo scvhost.exe era talmente scontato :O :mc:




:D


P.S. e' chiaro.. si scrive con l'accento :D

Io arrivo sempre prima........:D

Ciao

Originariamente inviato da Bilancino
Io arrivo sempre prima........:D

Ciao

bada che non sempre è una buona cosa
:D
:sofico:

Originariamente inviato da smeg47
bada che non sempre è una buona cosa
:D
:sofico:


:rotfl: :rotfl:

Originariamente inviato da LadyLag
:rotfl: :rotfl:

qui c'è poco da ridere...........:O, mi sembra che lei dovrebbe lavorare.........:D invece di postare.......:D

Ciao

Originariamente inviato da Bilancino
qui c'è poco da ridere...........:O, mi sembra che lei dovrebbe lavorare.........:D invece di postare.......:D

Ciao


:D :D

Lei, invece si studi le benedette "distorsioni degli amplificatori".... che e' gia' abbastanza in ritardo.. va :D :D

Originariamente inviato da LadyLag
:D :D

Lei, invece si studi le benedette "distorsioni degli amplificatori".... che e' gia' abbastanza in ritardo.. va :D :D

Dovrebbe fare la segretaria........:sofico:

Ciao

Originariamente inviato da Bilancino
Dovrebbe fare la segretaria........:sofico:

Ciao


Anche quando.. certamente non la Sua :D :D

Risolto.

Originariamente inviato da filippom
Io ho Win ME e zonealarm, ma la 135 è aperta... che faccio?


In ogni caso Win ME non ha il problema della vulnerabilità comunque, io in Sygate 5.1 ho bloccato il processo Svchost.exe quando mi ha il permesso alla prima connessione. Fai delle prove poichè zonealarm è strano perchè capita che se blocchi questo processo non navighi quindi nelle impostazioni avvanzate se possibile devi creare una regola apposita.

Ciao