Come la maggior parte degli utilizzatori di Windows XP,
ho avuto la "fortuna" di imbattermi nel virus MSBLASTER",
ma dopo le opportune procedure l'ho eleiminato, o almeno credo!

Adesso ho un dubbio... per l'occasione ho installato un
firewall, Zone Alarm Free, il quale mi segnala appena avvio il
PC un tentativo di connessione da parte del servizio SVCHOST.EXE,
Generic Host Process in genere è una cosa normale per questo servizio,
ma avendo installato il firewall DOPO aver preso il virus nn posso fare il confronto.

In genere SVCHOST.EXE si trova replicato 4 volte nel Task Manager...
...è normale, questo lo so... ma oggi ho provato a terminare uno
ad uno questi reply di SVCHOST.EXE fino a quando mi è comparsa
la stessa finestra tipica del contro alla rovescia dell'RPC ke
causava il virus ed in più il firewall mi segnalava dei tentativi
di accesso tra cui la porta 135!!!

PE 2003/08/15 11:51:38 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:5000 N/A
ACCESS 2003/08/15 11:51:50 +2:00 GMT Spooler SubSystem App was blocked from connecting to the Internet. N/A N/A
PE 2003/08/15 11:53:12 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:135 N/A
PE 2003/08/15 11:53:16 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:53 N/A
ACCESS 2003/08/15 11:53:18 +2:00 GMT Generic Host Process for Win32 Services was temporarily blocked from connecting to the Internet. N/A N/A
PE 2003/08/15 11:53:26 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:135 N/A
PE 2003/08/15 11:53:28 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:53 N/A
PE 2003/08/15 11:55:12 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:5000 N/A


E' normale (potrebbe essere l'update di XP) oppure è il virus ke è troppo bastardo????

Qualkuno con una installazione ankora pulita di XP puo' provare?

Spero ke il mio sia un falso allarme!

p.s.: okkio ke installando la patch con il virus ankora attivo ve lo ritrovate ankora conservato sul PC
in quanto la patch effettua un punto di ripristino e il file, trovandosi nella cartella del SO, viene backuppato
anke esso!!!

Domanda banale: per "opportune procedure" cosa intendi? Hai usato un tool apposito (come quello di Symantec)?
Te lo chiedo perché io avevo provato a rimuoverlo con l'antivirus ma non ci ero riuscito senza il programmino apposta.

Originariamente inviato da bizzu
Domanda banale: per "opportune procedure" cosa intendi? Hai usato un tool apposito (come quello di Symantec)?
Te lo chiedo perché io avevo provato a rimuoverlo con l'antivirus ma non ci ero riuscito senza il programmino apposta.

No, ho eliminato manualmente il virus.

Io non mi son beccato il virus , eppure il doppio processo Svhost mi lasciava a aperte 3 porte : la 135 , la 5000 e un'altra che non ricordo.
Ho bloccato i 2 processi con il Fw Sygate 5.1 e ora tutte le porte "basse" sonoi stealth!

;)




Ciaozzz

Originariamente inviato da CYRANO
Io non mi son beccato il virus , eppure il doppio processo Svhost mi lasciava a aperte 3 porte : la 135 , la 5000 e un'altra che non ricordo.
Ho bloccato i 2 processi con il Fw Sygate 5.1 e ora tutte le porte "basse" sonoi stealth!

;)




Ciaozzz


Daccordo, ma la cosa ke mi insospettisce è ke se li blokko nn riesco a visualizzare alcune pagine internet... forse è normale... ma...

Io non ho preso il virus, ma ho notato che anche io ho l'SVCHOST attivo, anche nel firewall c'è, e gli è permesso accedere alal rete. Se blocco questo programma dal firewall avrò problemi?

Azz. tornato dalle ferie mi sono accorto di averlo preso 'sto virus...Che debbo fare ????? AIUTTTTTTTTTTTTT:cry:

Originariamente inviato da gigihertz
Azz. tornato dalle ferie mi sono accorto di averlo preso 'sto virus...Che debbo fare ????? AIUTTTTTTTTTTTTT:cry:

Semplice tolgi il worm e metti la patch, dettagli sono in rilievo su OT o nel mio sito.

Ciao

Nelle mie reti ho avuto questo virus..

ma il dubbio mi sorge spontaneo.. se non viene trasferito via mail come cazzo si prende??

Che il mio firewall su linux lo blocchi??? Paura >_<


Funge la tecnica di bloccare tramite ip filtering di win2k le porte? una volta bloccate riusciro' a scaricare la patch???

Newbie rulez

Questo virus si prende perchè attraverso la vulnerabilità è possibile contringere il pc a scaricare il worm........se si blocca la porta 135 non è possibile scaricare il worm e quindi è possibile installare la patch tranquillamente.

Ciao

Come si fa a bloccare una porta con il norton firewall?

Originariamente inviato da Besk
Come si fa a bloccare una porta con il norton firewall?

non ricordo, ma nelle impostazioni avanzate c'è forse la possibilità di creare una regola manuale...........

Ciao

Originariamente inviato da Besk
Io non ho preso il virus, ma ho notato che anche io ho l'SVCHOST attivo, anche nel firewall c'è, e gli è permesso accedere alal rete. Se blocco questo programma dal firewall avrò problemi?

Se non sbaglio, e Bilancino lo può confermare, dei 4 svchost bisogna bloccare quello che gestisce i servizi di rete per non avere attacchi sulle porte. In pratica una volta attivato il firewall e avviata la connessione bisogna col firewall negare l'accesso all'svchost che si apre in quel momento e che il firewall segnala. Spero di non sbagliarmi.

Originariamente inviato da mirage12345
Se non sbaglio, e Bilancino lo può confermare, dei 4 svchost bisogna bloccare quello che gestisce i servizi di rete per non avere attacchi sulle porte. In pratica una volta attivato il firewall e avviata la connessione bisogna col firewall negare l'accesso all'svchost che si apre in quel momento e che il firewall segnala. Spero di non sbagliarmi.

Az bel casino, provo a cancellare dal firewall tutti e 4 i SVCHOST e appena lo richiede lo nego al primo

Originariamente inviato da mirage12345
Se non sbaglio, e Bilancino lo può confermare, dei 4 svchost bisogna bloccare quello che gestisce i servizi di rete per non avere attacchi sulle porte. In pratica una volta attivato il firewall e avviata la connessione bisogna col firewall negare l'accesso all'svchost che si apre in quel momento e che il firewall segnala. Spero di non sbagliarmi.

Si è così bisogna bloccare svchost.exe che gestisce la rete, ed è il primo che chiede subito di uscire.

Ciao

Ho tolto, ma quando si è collegato non mi ha chiesto niente, ha dato automaticamente il permesso..

Cosa faccio lo blocco?

Originariamente inviato da Besk
Ho tolto, ma quando si è collegato non mi ha chiesto niente, ha dato automaticamente il permesso..

Cosa faccio lo blocco?

fai il test di pcflank se la porta 135 è aperta allora devi bloccare questo processo...........comunque con la patch non si corrono più rischi.

Ciao

ciao raga tornando dalle vacanze bella sorpresa, mia sorella aveva usato il pc e quindi preso il virus nonostante il sygate ben settato, quindi mi sono messo subito all'opera e non appena lo beccavo con l'antivirus mi usciva la finestra bastarda in questione, inoltre mi sono trovato al 18 agosto ad essere al febbraio 5125; aggiusto l'orario dal bios e poi con una scansione becco il virus e lo cancello normalmente, da allora nessun problema, ora mi chiedo:possibile sia stato così facile eliminare un virus che tante ne sta combinando? faccio un altra passata con avg o mi consigliate qualche altro tool + potente? ciao grz!!!


porca si stava meglio a Corfù !!!!!!!!!! :cry: :cry:

Messa la patch e continua il problema,il mio firewall mi da attacchi continui e come programma mi dice svchost.exe,ho messo la patch ho fatto il controllo con rpceck,ma non capisco come mai,ho controllato nel registro e non ci sono ne msblaster e nemmeno penis2 cosa debbo fare?
Ho letto molti post ma nessuno mi è stato di aiuto vermanete.

La patch serve per togliere la vulnerabilità ma non per bloccare gli attacchi..........

Ciao

Originariamente inviato da Bilancino
La patch serve per togliere la vulnerabilità ma non per bloccare gli attacchi..........

Ciao


Ho bloccato la porta 135 ed ora non ho più problemi,grazie di tutto.

Io con il norton firewall non so come si fa :(

Originariamente inviato da Besk
Io con il norton firewall non so come si fa :(

Nella sezione avanzate puoi creare una regola mettendo la porta o porte, il blocco e il protocollo.

Ciao

Quale sezione avanzate? Non trovo il pannellino dove poterle inserire

Ok ho trovato, ma mi chiede molte cose

Io ho settato così dimmi se è giusto

Azione: Blocca
Connessioni: Connections to other computers
Computer: Tutti i Computers
Comunicazioni: TCP e UDP - solo remot epmap (porta 135)

Ho fatto giusto? :D

Ho guardato le varie voci e c'è già un opzione per la porta 135. si chiama DEFAULT BLOCK EPMAP e guardando le opzioni blocca la porta 135. Deve averlo messo il norton con un aggiornamento :D

Originariamente inviato da Besk
Ho guardato le varie voci e c'è già un opzione per la porta 135. si chiama DEFAULT BLOCK EPMAP e guardando le opzioni blocca la porta 135. Deve averlo messo il norton con un aggiornamento :D

Può essere, fai un test e vedi.........

Ciao

Gli attacchi avvengono da coloro che hanno il pc infetto dal worm blaster.. Il porblema per cui svchst crea problemi è proprio dovuto al fatto che le macchine vulnerabili vengono messe sotto stress da continui accessi sulla porta 135.. (che se non erro è la porta che viene utilizzata nelle lan per condividere file o cartelle.. non ricordo esattamente), infatti molti dei pc che lamentano i problemi sopracitati non sono affetti da nulla se non da un terribile virus della famiglia win32/64 di M$ :D

con amore

W LINUX

Originariamente inviato da gianlucalog
Gli attacchi avvengono da coloro che hanno il pc infetto dal worm blaster.. Il porblema per cui svchst crea problemi è proprio dovuto al fatto che le macchine vulnerabili vengono messe sotto stress da continui accessi sulla porta 135.. (che se non erro è la porta che viene utilizzata nelle lan per condividere file o cartelle.. non ricordo esattamente), infatti molti dei pc che lamentano i problemi sopracitati non sono affetti da nulla se non da un terribile virus della famiglia win32/64 di M$ :D

con amore

W LINUX

Se non ricordo male la condivisione è la 137

ciao

Originariamente inviato da Bilancino
Se non ricordo male la condivisione è la 137

ciao

Abbiamo sbagliato entrambi la condivisione è la 139, la 137 è la Netbios Name Service.. :D

ciao

domanda:

io avevo problemi con svchost su 2 pc, tutti dallo stesso giorno in avanti.

ora ho installato la patch.

però di msblast nemmeno l'ombra, nè prima nè dopo. cosa vuol dire?

Che hai avuto culo :D

non credo di aver avuto culo: se svchost mi faceva casini, vuol dire che era stato infettato, e se msblast non c'è, da qualcosa deve pur essere stato infettato!

inoltre chiedo ai più esperti: pensate che zonealarm FREE possa bastare?

ciao raga anche io ho provato a chiudere dal taskmanager svchost e anche a me capita che chiudendo una delle 4o5 applicazioni mi da la finestra tipica del virus in questione,cioè mi si riavvia dopo 40o50sec; mi pare d'aver capito(e correggetemi se sbaglio)che tale finestra appariva solo sui pc il cui firewall bloccava l'infezione, però ora mi chiedo sta cosa rientra nella normalità o no? in pratica anche su un s.o. pulito chiudendo svchost si verifica tale cosa oppure sono in qualke modo infetto senza che io noti grossi problemi? ciao grz, confido in una vostra esauriente risp visto che non ci sto capendo + nulla!:D ancora ciao.

raga come posso togliere il virus Mblaster senza avere antivirus?

saranno 3 settimane che mi rompe in XP e per questo stò usando win98 per navigare in rete :mad:

tnx

Originariamente inviato da Keffo
raga come posso togliere il virus Mblaster senza avere antivirus?

saranno 3 settimane che mi rompe in XP e per questo stò usando win98 per navigare in rete :mad:

tnx

Nel mio sito c'è la rimozione manuale e il link per un tool di rimozione. Dopo averlo tolto installa la patch

Ciao

E' appena successo l'incredibile:dopo il colpo del virus sull'hd di un mio amico abbiamo formattato il tutto e reinstallato win xp...subito la prima schermata dopo l'installazione è stata quella tipica del virus Blaster......
sconcertati abbiamo preso il tool e non ha trovato il virus su nessuna delle partizioni dell'hd.....com'è possibile??????

può essere che avendo fastweb sempre connesso ( anche se nn era ancora configurato) neanche il tempo di formattare e avviare la prima schermata di windows il virus era appena entrato???e se si, perchè il tool di rimozione non lo ha trovato????

HELP!:(

Originariamente inviato da DavidTwister
E' appena successo l'incredibile:dopo il colpo del virus sull'hd di un mio amico abbiamo formattato il tutto e reinstallato win xp...subito la prima schermata dopo l'installazione è stata quella tipica del virus Blaster......
sconcertati abbiamo preso il tool e non ha trovato il virus su nessuna delle partizioni dell'hd.....com'è possibile??????

può essere che avendo fastweb sempre connesso ( anche se nn era ancora configurato) neanche il tempo di formattare e avviare la prima schermata di windows il virus era appena entrato???e se si, perchè il tool di rimozione non lo ha trovato????

HELP!:(

Il virus si prende appena ti colleghi su internet e non hai il firewall o se questo non blocca la porta 135. Il fatto che non ci sia forse dipende da un bug nel virus stesso perchè anche nel pc della mia ragazza dopo che il pc si è arrestato del worm non vi era più traccia. Dopo la patch e il blocco della porta 135 (per preservare da future vulnerabilità) non ha avuto nessun problema.

Attenzione che del virus ci sono varianti quindi bisogna vedere se il tool vale per tutte le varianti. io ho fatto un controllo manuale sui processi e le chiavi di avvio nel registro..........

Ciao

novità: ho scaricato da symantec l'ultima versione del tool di rimozione (la 1.0.4) e anche questa non ha rilevato nulla.
l'antivirus aggiornato ad oggi (antivir personal con vdf del 25/08/03) non rileva nulla.

x ora nessun altro problema...il tool 1.0.4 è per le varianti A B e C.

ora la domanda è:dove stà questo virus?come ha fatto a spariri come da te confermato Bilancino????HELPPPPPP!!!:cry:

Originariamente inviato da DavidTwister
novità: ho scaricato da symantec l'ultima versione del tool di rimozione (la 1.0.4) e anche questa non ha rilevato nulla.
l'antivirus aggiornato ad oggi (antivir personal con vdf del 25/08/03) non rileva nulla.

x ora nessun altro problema...il tool 1.0.4 è per le varianti A B e C.

ora la domanda è:dove stà questo virus?come ha fatto a spariri come da te confermato Bilancino????HELPPPPPP!!!:cry:

Può essere che il virus non è stato scaricato (per qualche ragione) ma chi ti ha attaccato ha fatto arrestare solo il pc..........

Ciao

...la stessa cosa sembra essere successa anche a me: per un paio di giorni svchost mi ha fatto dannare, poi ho installato la patch.
msblast non l'ho mai visto da nessuna parte.

ps: ho installato zone alarm: è allucinante come una volta ogni 15 secondi più o meno avviene un attacco alla porta 135. è lui che bussa?

Originariamente inviato da Reeno
è lui che bussa?

Si......:D

Ciao

....e la stessa cosa è accaduta su 2 pc differenti...bah!

Se il funzionamento della vulnerabilità è questo succede così:

E' possibile eseguire codice in memoria attraverso un buffer overrun quindi:

<1 Io posso far scaricare il worm per far lanciare un attacco ad altri pc con lo stesso sistema in modo da diffondere l'attacco.

<2 Arresto il pc dopo x secondi

Se il server in cui è presente il worm è down il virus non c'è ma il pc si ferma comunque e succede tutte le volte che ci si collega..........

Ciao

mmm...a questo proposito mi viene una domandina:appena formattato,la prima schermata,noi non avevamo ancora configurato l'accesso a fastweb mega internet (ossia la navigazione col browser)....quindi in teoria nn avrebbe dovuto prendere nulla da internet....ma secondo me un pc con fastweb 24h,se nn sbaglio,è sempre connesso ad internet,anche se il browser non è configurato,giusto???:confused:

Originariamente inviato da DavidTwister
mmm...a questo proposito mi viene una domandina:appena formattato,la prima schermata,noi non avevamo ancora configurato l'accesso a fastweb mega internet (ossia la navigazione col browser)....quindi in teoria nn avrebbe dovuto prendere nulla da internet....ma secondo me un pc con fastweb 24h,se nn sbaglio,è sempre connesso ad internet,anche se il browser non è configurato,giusto???:confused:

Non so come funziona fastweb ma se la connessione è attiva indifferentemente dal browser è possibile essere attaccati.

Ciao

Originariamente inviato da Bilancino
Non so come funziona fastweb ma se la connessione è attiva indifferentemente dal browser è possibile essere attaccati.

Ciao


se fosse come dico io (cioè che cmq la connessione internet di fastweb era attiva anche se sul pc ancora non era stato configurato assolutamente nulla) , puoi spiegare meglio come può avvenire ciò che avevi accennato, ossia che il virus "sparisca"subito dopo il riavvio da lui causato?

Originariamente inviato da DavidTwister
puoi spiegare meglio come può avvenire ciò che avevi accennato, ossia che il virus "sparisca"subito dopo il riavvio da lui causato?

Non è che propriamente sparisce, non viene proprio scaricato forse perchè il server in cui è postato è down in quel momento. A mio avviso avere il virus e l'arresto del pc sono cose separate.
il virus serve per far in modo che il tuo pc attacchi altri pc per difforndere l'infezione...........E' una mia teoria

Ciao

ma è giusto bloccare con zone alarm l'svchost?

Originariamente inviato da Reeno
ma è giusto bloccare con zone alarm l'svchost?

Io l'ho fatto con il sygate ed è stato l'unico modo per bloccare i continui attacchi alla porta 135.

...aspetta... sei sicuro di quello che dici?

gli attacchi comunque ti arrivano e tu puoi bloccarli comunque prima che arrivino al svchost!

ma se tu non permetti a svchost di accedere alla rete... allora sicuramente qualcosa smette di funzionare, non trovi?:confused:

...e i figli di puttana che continuamente ti pingano chi cavolo sono? come comportarsi?

Originariamente inviato da Reeno
...aspetta... sei sicuro di quello che dici?

gli attacchi comunque ti arrivano e tu puoi bloccarli comunque prima che arrivino al svchost!

ma se tu non permetti a svchost di accedere alla rete... allora sicuramente qualcosa smette di funzionare, non trovi?:confused:


Allora io in sygate ho scritto questo c:/windows/system32/svchost.exe - Block
Il blocco l'ho messo alla prima richiesta effettuatami,ora non so',cmq gli attacchi sono fatti da persone ignare di cio',figurati che a me arrivavano attacchi da Telecom.

Originariamente inviato da Bilancino
Non so come funziona fastweb ma se la connessione è attiva indifferentemente dal browser è possibile essere attaccati.

Ciao

Si, la connessione a fastweb avviene tramite dhcp. ti viene assegnato un ip dal router che sta in cantina all'avvio..
meno male che a casa uso linux.. :D

Originariamente inviato da Bilancino
Nel mio sito c'è la rimozione manuale e il link per un tool di rimozione. Dopo averlo tolto installa la patch

Ciao

graxie 1ooo
;)

ciao raga ma sto virus possibile che non vada + via dalla rete?
dopo aver formattato sono dovuto entrare in internet senza firewall, la prima cosa che ho fatto è stata scaricare e installare la patch ma dopo il riavvio appena entro in internet il norton mi segnala di aver rilevato un virus e che era impossibile accedere a tale file x ripararlo, ho riavviato e ora del virus manco l'ombra, ce l'ho ancora o no?

beh grazie, mi pare un paio di interventi miei in questo topic ed entrambi ampiamente snobbati, grz mille!

Originariamente inviato da red_ka.it
ciao raga ma sto virus possibile che non vada + via dalla rete?
dopo aver formattato sono dovuto entrare in internet senza firewall, la prima cosa che ho fatto è stata scaricare e installare la patch ma dopo il riavvio appena entro in internet il norton mi segnala di aver rilevato un virus e che era impossibile accedere a tale file x ripararlo, ho riavviato e ora del virus manco l'ombra, ce l'ho ancora o no?

Purtroppo appena ti connetti ad internet sei a riskio infezione.
Ti conviene scaricare la patch da un altro PC non infetto e installarla... mi raccomando, scegli la lingua italiana o nn si installa!!!!!

Ciaoooo

Originariamente inviato da red_ka.it
ciao raga ma sto virus possibile che non vada + via dalla rete?
dopo aver formattato sono dovuto entrare in internet senza firewall, la prima cosa che ho fatto è stata scaricare e installare la patch ma dopo il riavvio appena entro in internet il norton mi segnala di aver rilevato un virus e che era impossibile accedere a tale file x ripararlo, ho riavviato e ora del virus manco l'ombra, ce l'ho ancora o no?


Forse è nel System restore ma non è detto.........

Ciao

pare che il norton me lo abbia trovato dopo aver installato la patch e prima di metter su il firewall! ho letto dappertutto ma un modo sicuro x beccarlo?

Quando si installa la patch si crea un punto di ripristino e forse in quel momento norton vedendo dei cambiamenti si accorge del virus.

Ciao

scusa la mia ignoranza ma in parole povere????:D
c'è ancora?

Originariamente inviato da red_ka.it
scusa la mia ignoranza ma in parole povere????:D
c'è ancora?

Svuota il system restore e hai la sicurezza al 100% di non avere il virus. Ovviamente dopo aver svuotato il sistem restore fai una scansione.

Ciao

porca.....non ci capisco + nulla, solo ora con l'RPCCHECK mi accorgo che la patch non è installata ma cosa strana dall'installazione applicazione l'aggiornamento risulta e come!?! eppure l'ho installata e ricordo bene di aver preso la versione italiana,boh!:confused: