Questa mattina accendo il computer, apro un'email che parlava di un'associazione umanitaria (se ricordo bene). Dopo circa 5 minuti mi esce la classica mascherina che mi avvisa dell'imminente spegnimento del computer.

Credo che sia un worm, però ne ignoro il tipo ed il rimedio. I sintomi sono i seguenti:

- il riavvio della macchina è stato richiesto solo la prima volta
- i dns non funzionano
- windows è iperlento

Mi scuso con i moderatori per aver postato in questa sezione, peròè un problema assai grave, spero che mi capiate.

i sintomi sono quelli del blaster

Originariamente inviato da Rossy77
i sintomi sono quelli del blaster

strano, esegue in automatico Windows Update ogni giorno. Mi pare che blaster sia un po' vecchiotto.

Originariamente inviato da Rossy77
i sintomi sono quelli del blaster


quoto...aiaiaiiaiaiaiaiaai..+

cmq va nella sezione antivirus /sicurezza ecc del forum e lì troverai il modo di eliminare blaster&co

potrebbe essere msblast, provaa scaricare dal sito della microzozz il file KB823980-X86 e eseguilo

sta succedendo lo stesso a thotgor e la patch del blaster l'aveva su

che sia una variante?

Originariamente inviato da Rossy77
i sintomi sono quelli del blaster
in effetti ci sono tutti...

Originariamente inviato da dooka
sta succedendo lo stesso a thotgor e la patch del blaster l'aveva su

che sia una variante?

esistono diverse varianti di cui adesso nn ricordo il nome...

Originariamente inviato da dooka
sta succedendo lo stesso a thotgor e la patch del blaster l'aveva su

che sia una variante?

anche io l'avevo installata :muro:

ma i classici programmi non ti dicono nulla?

Originariamente inviato da Rossy77
ma i classici programmi non ti dicono nulla?

ho installato al volo McAfee e non ha rilevato nulla

io ad un mio amico l'avevo bloccato installando una firewall freeware (blackice) e dopo scaricando la patch di microzozz

spybot e adaware?

Originariamente inviato da Gig4hertz
io ad un mio amico l'avevo bloccato installando una firewall freeware (blackice) e dopo scaricando la patch di microzozz

sai anche che patch hai scaricato?

Originariamente inviato da Rossy77
spybot e adaware?

ho avviato adware adesso

l'hai scaricato quel file che ti ho detto?
prova, te lo consiglio vivamente

PS: ma te lo fa solo se sei connesso a internet o alla LAN o magari anche quando il pc è "isolato"?

Originariamente inviato da thefrog
l'hai scaricato quel file che ti ho detto?
prova, te lo consiglio vivamente

PS: ma te lo fa solo se sei connesso a internet o alla LAN o magari anche quando il pc è "isolato"?

KB823980-X86

l'ho scaricato... però mi sono accorto che lo avevo già fatto. Dunque l'ho già installato

installa subito sygate firewall...in questo modo puoi bloccare l'accesso alla porta colpita da blaster e&co....

ragazzi credo proprio che sia una variante perchè anch'io ho fatto gli aggiornamenti del caso per il "vecchio" blaster, ed ecco ripresentarsi lo stesso problema........poi proprio il 1 maggio...che strano

Originariamente inviato da xxxtommy
ragazzi credo proprio che sia una variante perchè anch'io ho fatto gli aggiornamenti del caso per il "vecchio" blaster, ed ecco ripresentarsi lo stesso problema........poi proprio il 1 maggio...che strano


mi ripeto..scaricate tutti il firewall sygate dopo aver eliminato il file...

non sapevo che la MS avesse una patch contro blaster...

Io uso norton e dopo ogni formattone, prima di connettermi installo proprio quella della symantec...

(che 2 pa@@e ma è possibile eliminarlo dopo esserselo preso? Se si riavvia il pc immediatamente come si dovrebbe fare? Manco si ha il tempo di intervenire...:muro:
Non so se capita di formattare un altro pc, si ha internet ma si è dimenticato di portarsi l'antiblaster da casa...)

come si fa a togliere sto blaster? ho formattato ,ma subito mi è ricomparso...

Originariamente inviato da TorpedoBlu
come si fa a togliere sto blaster? ho formattato ,ma subito mi è ricomparso...


formatti..a questo punto installi SUBITO sygate...

devo formattare nuovamente???? nooo! non posso eliminarlo e basta?

Originariamente inviato da TorpedoBlu
devo formattare nuovamente???? nooo! non posso eliminarlo e basta?


c'è il tool della symantec....cercalo con google..solo che se nn è proprio blaster...cmq tu fai una prova..

ho scaricato un tool dal sito simantec (ha l'icona di un martello, è quello?)

ripeto, ti spenge il pc anche se non sei su internet ma hai inserito un cavo di rete, staccate anche quello, altrimenti ve lo spenge subito, schede di rete wireless magari o qualunque altra cosa del genre....

Originariamente inviato da TorpedoBlu
ho scaricato un tool dal sito simantec (ha l'icona di un martello, è quello?)


sinceramente nn mi ricordo che icona abbia..provalo..di certo nn ti fa esplodre il pc

se usi il norton te lo do io

ah raga scusate ho detto una marea di scemenze...


quello che installo io l'ho preso dalla symantec ma in effetti è un aggiornamento di xp!

Che deficiente...


beh quindi va bene per tutti:p

Originariamente inviato da ciriccio
ah raga scusate ho detto una marea di scemenze...


quello che installo io l'ho preso dalla symantec ma in effetti è un aggiornamento di xp!

Che deficiente...


beh quindi va bene per tutti:p


a me piacerebbe sapere perchè il win updtade non mi funziona e mi dà errore quando mi ricerca i compionenti da installare sulla macchina.....tempo fa se non mi ricordo male credevo di averlo risolto questo prob, ma oggi torno per l'aggiornamento ( a causa di sto cazzo di nuovo virus ) e mi da lo stesso errore, che dice sia imputabile al fatto che l'orario delll'orologio del mio pc ( ??? ) sia errato

ma se installo la patch e lo elimino col tool della symantec poi sono apposto?

aiah la symantec mi dice che non ha trovato il blaster.... e ora che faccio?

la cpu mi sta sempre al 100% e non ho installato nulla, sistema appena formattato e installato la patch e il kit rimozione

Originariamente inviato da TorpedoBlu
ma se installo la patch e lo elimino col tool della symantec poi sono apposto?


si

Originariamente inviato da xxxtommy
a me piacerebbe sapere perchè il win updtade non mi funziona e mi dà errore quando mi ricerca i compionenti da installare sulla macchina.....tempo fa se non mi ricordo male credevo di averlo risolto questo prob, ma oggi torno per l'aggiornamento ( a causa di sto cazzo di nuovo virus ) e mi da lo stesso errore, che dice sia imputabile al fatto che l'orario delll'orologio del mio pc ( ??? ) sia errato


nn dovete scaricare da win update..blaster si prende proprio da lì...

Originariamente inviato da TorpedoBlu
aiah la symantec mi dice che non ha trovato il blaster.... e ora che faccio?


formattone-patch-sygate

ma cosa è sygate? mi dai un link?

Originariamente inviato da TorpedoBlu
ma cosa è sygate? mi dai un link?


guarda su hwfiles..se nn lo trovi fai una ricerca con google..si chiama sygate personal firewall..

sinceramente mi rifiuto di formattare... esisterà ben un altro metodo:muro:

bah....sto formattando il portatile, strano, mi ha preso solo quello, mentre il desktop no..

Te lo dico io, sto sclerando da stamattina, nn è il blaster, è uno skifo di worm (Sasser mi pare) ke ti crea degli exe (avserve.exe in WINDOWS) e altri in system32 (esempio 91238.exe), ti ciucciano la ram e RPC si arresta.

Sto cercando in tutti i modi di risolvere, dato ke n mi va di formattare. Se averte news, ditelo. :)

come prevenirlo??

Originariamente inviato da TorpedoBlu
come prevenirlo??


è l'ultima volta che lo ripeto...poi me ne vado..sygate firewall blocca l'acesso alla porta attaccata da questi worm...e quindi risolve il prob dell'rpc

ok ok, grazie, pensavo esistessero tecniche di prevenzione + specifiche


PS: scusa l'ignoranza, cos'è rpc?

Originariamente inviato da TorpedoBlu
ok ok, grazie, pensavo esistessero tecniche di prevenzione + specifiche


PS: scusa l'ignoranza, cos'è rpc?


una parte di win buggata a quanto pare visto che può essere attaccata così facilmente...nn mi ricordo esattamente che parte fosse..l'avevo letto da qualke parte

http://lagash.dft.unipa.it/AL/al125.htm

Ho risolto, o almeno l'ho sedato. Ho terminato il processo relativo ad avserve.exe e l'ho eliminato. Si trova nelle cartella di Windows.

Tutto sembra funzionare, le risorse di sistema sono stabili. Sono in attesa di una patch che, spero, non tarderà ad essere rilasciata.

prova a fare l update di win
stamattian alle ora 9 l ho fatto e il worm non ha avuto acceso
ciao

ciao a tutti ho un problema analogo.
non ho il file avserve.exe
però qwualcosa mi fra crashare il processo
lsass.exe quando lo zone allarm è staccato.
il crash provoca il riavvi del pc
l' antivirus non trova nulla che potrebbe essere?

Originariamente inviato da TorpedoBlu
come prevenirlo??
http://www.microsoft.com/italy/technet/solutions/security/04/ms04_011.asp

stesso problema...
se nn riavvi e lo fermi con il shutdown -a non puoi parlare su msn se sono impegnati, non puoi navigare sul sito della simantec...


e non puoi aprire il fixblast perche ti toglie i permessi di admin...

andate a kagare fottuti worm, dovrebbe essere W32. sasser.worm

riavviate a andate sul sito della simantec

Originariamente inviato da Postal85
stesso problema...
se nn riavvi e lo fermi con il shutdown -a non puoi parlare su msn se sono impegnati, non puoi navigare sul sito della simantec...


e non puoi aprire il fixblast perche ti toglie i permessi di admin...

andate a kagare fottuti worm, dovrebbe essere W32. sasser.worm

riavviate a andate sul sito della simantec

lo shutdown - a sotto win 2000 funziona?

raga!
1 mio amiko (utente Ste182) ha bisogno d'aiuto!
anke lui è infettato dal worm sasser , ha win98 e il SO si blokka tutto dopo poco ke sè avviato ... ke può fare?
tnz!

sembra ke solo norton sia capace di toglierlo... aggiornate le definizioni per prevenirlo

il mio errore è
"Si è verificato un errore in LSA Shell(Export Version) L'applicazione verra chiusa"

bla bla bla


ora provo a aggiornare cn il live update, a skannare cn norton, ma nn ho idea di come fare oltre a queste due opazioni

ke primo maggio di m*rda

a me esce lsa export session verrà chiusa


poi faccio nn inviare......mi parte il blaster con il conto alla rovescia e nn posso fare nulls............ho tuti gli agg il removal tool.patch ecc.....ma niente......quelloo rimane li..cosa posso fare???

qui c'è la descrizione del worm e come rimuoverlo manualmente http://forum.gladiator-antivirus.com/index.php?showtopic=14082&st=0&#entry47461

Nella mia sign trovate le patch microsoft x eliminare alcune vulnerabilità di windows.

http://www.tombraiders.it/public/Immag_170.JPG

Il bastardone ha colpito anche me,credo di averlo sconfitto reinstallando la famosa patch anti blaster di microsoft.
PS:anche a me ciucciava il 100% di sistema per tornare normali andate in task manager processi e chiudete il processo/i con uno strano numero e alto assorbimento di risorse processore :muro:

http://www.hwinit.net/modules/news/article.php?storyid=435

fatto scaricato l'aag di microzozz................riavviato.....ora vedo se funzika.................spero........:D

funziona.......nn ho + avuto problemi:D :eek: :D :D :D ......grazie millllllllleeeeeeeeee:D

scusate non ho ben capito come rimuovere questo odioso blast.dopo che ho scaricato la patch della microsoft che devo fare?

Io credo di aver risolto facendo msconfig dal menu "Esegui" e disabilitando il famoso avserve...
X ora è dieci minuti ke il pc funzia....prima non durava neanke due...
Se avete altri metodi postate....Spero di essere di aiuto...
Ciauz

Originariamente inviato da fabiom85
scusate non ho ben capito come rimuovere questo odioso blast.dopo che ho scaricato la patch della microsoft che devo fare?

installi riavvi e sei a posto.....(io ho fatto osì e nn mi da + problemi)

Originariamente inviato da fabiom85
scusate non ho ben capito come rimuovere questo odioso blast.dopo che ho scaricato la patch della microsoft che devo fare?

c'è scritto anche sul link che ho messo qualche post prima ;)

Originariamente inviato da eraser
c'è scritto anche sul link che ho messo qualche post prima ;)

ops, scusa per i messaggi nella sezione sbagliata, avevo risposto e non avevo fatto caso all'area in cui postavo -_-"
Ad ogni modo sto sasser è un problema molto diffuso a quanto pare ed ha effetti poco simpatici sui pc in cui si "installa". Per fortuna la rimozione è stata una passeggiata, speriamo che non si diffonda troppo, alla fine bastava un windows update fatto al momento giusto.

Originariamente inviato da seb87
installi riavvi e sei a posto.....(io ho fatto osì e nn mi da + problemi)
grazie,anche per l'assistenza online:D

raga, stesso problema vosto, la patch è questa?
http://www.microsoft.com/italy/technet/solutions/security/04/ms04_011.asp

?:confused:

è da stamattina che questo bastardo mi faceva impazzire ora colal patch microzzoz gli alzo volentieri tutti e due i medi :D

Queste cose mi fanno venir voglia di mettere linux :muro: (se non fosse per i giochi :rolleyes: )

Ciao a tutti e buna fortuna :)

Cia raga...
Ieri è successo anche a me...
Mi faceva andare la cpu al 100, e risucchiava tutte le risorse del pc, con conseguenza spegnimento del pc...poi non mi faceva connettere più ad internet.... ho dovuto formattare, ora che pach devo scaricare prima che lo ribecco?
Cq non è il worm solito, questo ti rovina anche il pc, anche la scheda madre mi dava 2 bip e 1 più piccolo appena accendevo il pc..
Che pallll:muro:

Scusate l’ignoranza, ma dopo ke ho aperto la pagina http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ke devo fare? Cioè, dove devo cliccare per applicare la patch?

a lato a destra scegli la lingua italiana...fai go e scarichi il file di installazione della patch;)

ciao a tutti,io ho installato la patch e ho fatto scansione con avast (antivirus),ma come mai con l'antivirus non trova nulla di infetto?


thx :)

anche con norton nn trova nulla;)

Originariamente inviato da seb87
a lato a destra scegli la lingua italiana...fai go e scarichi il file di installazione della patch;)
mi daresti il link x piacere?

http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3

Originariamente inviato da seb87
http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3
Devo installare KB835732?

si...nella lingua che hai di windows

Originariamente inviato da tury
Cia raga...
Ieri è successo anche a me...
Mi faceva andare la cpu al 100, e risucchiava tutte le risorse del pc, con conseguenza spegnimento del pc...poi non mi faceva connettere più ad internet.... ho dovuto formattare, ora che pach devo scaricare prima che lo ribecco?
Cq non è il worm solito, questo ti rovina anche il pc, anche la scheda madre mi dava 2 bip e 1 più piccolo appena accendevo il pc..
Che pallll:muro:

Come non detto, ribeccato!!!!
:lamer:

Originariamente inviato da seb87
si...nella lingua che hai di windows
fatto, e ora?

e io che credevo fosse il mio pc impazzito ieri sera, quindi ho formattato... mi dava lo stesso problema, ho riformattato, ho installato norton personal firewall e ora non rompe più le palline, sto facendo il winupdate

hey, funziona!!! :eek:
sono già 6 minuti ke sto collegato!

grazie seb87 :ave: :ave: :ave:

Un'ultima cosa:
su http://www.hwinit.net/modules/news/article.php?storyid=435
c'è scritto:" in seguito terminare il processo avserve.exe dal task manager". Ke significa?

Cmq sono troppo contento ke se ne andato :D
grazie di tutto seb87 :ave:

Originariamente inviato da nascimentos
Un'ultima cosa:
su http://www.hwinit.net/modules/news/article.php?storyid=435
c'è scritto:" in seguito terminare il processo avserve.exe dal task manager". Ke significa?

Cmq sono troppo contento ke se ne andato :D
grazie di tutto seb87 :ave:

Non è ancora andato via!!!
Devi terminare il processo da task manager premendo ctrl + alt+ canc e terminare l'applicazione... poi vai nella cartella C:\WINDOWS e cancella avserve2..

Ciao ciao ...

ciao ragazzi, come molti di voi sapranno ieri è natto il nuovo worm "sasser" lo trovate su www.symantec.com

dopo aver seguito le istruzioni per rimuoverlo dal registro ed aver aggironato il norton antivirus ho tolto il worm dal sistema....

ma non esiste però una patch che blocchi questa falla?

Ogni volta che mi collego vengo infettato di nuovo!

C'è al patch microsoft,il link è in questo thread da qualche parte....

Originariamente inviato da tury
Non è ancora andato via!!!
Devi terminare il processo da task manager premendo ctrl + alt+ canc e terminare l'applicazione... poi vai nella cartella C:\WINDOWS e cancella avserve2..

Ciao ciao ...
cos'è task manager?

Salve ragazzi, io avevo il vostro stesso problema e ho risolto installando la patch della microzozz ma, io nn il file avserve.exe nella directory di win, ne in nessun altra! Potrebbre dipendere dal fatto ke ho win 2000??

Originariamente inviato da nascimentos
cos'è task manager?


Task manager e un programma di windows dove trovi applicazioni aperte, processi in funzione, utilizzo cpu ecc...
Tu devi andare in task manager e processi e cliccare termina processo del avserve.. poi puoi eliminarlo dalla cartella windows.

Originariamente inviato da tury
Task manager e un programma di windows dove trovi applicazioni aperte, processi in funzione, utilizzo cpu ecc...
Tu devi andare in task manager e processi e cliccare termina processo del avserve.. poi puoi eliminarlo dalla cartella windows.
puoi dirmi il percorso?

ora funziona tutto:sofico:

Originariamente inviato da mross83
Salve ragazzi, io avevo il vostro stesso problema e ho risolto installando la patch della microzozz ma, io nn il file avserve.exe nella directory di win, ne in nessun altra! Potrebbre dipendere dal fatto ke ho win 2000??
nemmeno io ce l'ho avserve! e ho winXP!

Originariamente inviato da nascimentos
puoi dirmi il percorso?

non dirmi che non hai mai fatto alt+ctrl+canc :mbe:

Originariamente inviato da LuPellox85
e io che credevo fosse il mio pc impazzito ieri sera, quindi ho formattato... mi dava lo stesso problema, ho riformattato, ho installato norton personal firewall e ora non rompe più le palline, sto facendo il winupdate

Ci 6 caduto anche tu , vecchio scarpone :D :D :D

Originariamente inviato da nascimentos
nemmeno io ce l'ho avserve! e ho winXP!


quoto......PERCHE MAI????


cioè ho installato la patch, non mi si riavvia più, ma nel task manager
rimangono queste voci....è normale??

lsass.exe ; smss.exe

perché non siete infetti :) il riavvio è dovuto alla scansione del worm alla ricerca dei computer vulnerabili.

si quei files sono normali ;)

Scusate se sono un po' duro ma vorrei sapere:

1) ho scaricato e installato la patch di windows che avete gentilemte indicato sopra ed ho fatto un bell'aggiornamento al mio norton 2003. Il pc non mi ha ancora fatto scherzi strani quindi presumo che ancora non fosse infetto ... A questo punto, con quella patch, il mio pc è veramente protetto da questo virus?

2) Un mio amico invece l'ha attualmete sul pc perchè il panda antivirus non gli ha chiaramente trovato nulla; ora io gli porto un cd con la patch di windows, la installo sul suo pc e poi che faccio ? basta che gli cancelli manualmente i files che avete detto sopra ho bisogna aspettare il giusto aggiornamento del panda ?

Grazie mille a tutti ;)

Originariamente inviato da xxxtommy
quoto......PERCHE MAI????


cioè ho installato la patch, non mi si riavvia più, ma nel task manager
rimangono queste voci....è normale??

lsass.exe ; smss.exe

lsass.exe ; smss.exe sono dei processi di windows

Originariamente inviato da marco760
Scusate se sono un po' duro ma vorrei sapere:

1) ho scaricato e installato la patch di windows che avete gentilemte indicato sopra ed ho fatto un bell'aggiornamento al mio norton 2003. Il pc non mi ha ancora fatto scherzi strani quindi presumo che ancora non fosse infetto ... A questo punto, con quella patch, il mio pc è veramente protetto da questo virus?

2) Un mio amico invece l'ha attualmete sul pc perchè il panda antivirus non gli ha chiaramente trovato nulla; ora io gli porto un cd con la patch di windows, la installo sul suo pc e poi che faccio ? basta che gli cancelli manualmente i files che avete detto sopra ho bisogna aspettare il giusto aggiornamento del panda ?

Grazie mille a tutti ;)

x rimanere protetti basta installare la patch microsoft e bloccare col firewall le porte attraverso le quali il worm si diffonde: su TCP la 445, 5554 e 9996.


Segui la provcedura di rimozione manuale, elimina i file incriminati e quelli infetti, installa la patch sul pc del tuo amico ed un firewall.

Io come firewall ho solo il norton però mi sembra sia il 2002 ... va bene lo stesso ? Oppure è meglio che scarichi il sygate personal firewall.. ?

Originariamente inviato da marco760
Io come firewall ho solo il norton però mi sembra sia il 2002 ... va bene lo stesso ? Oppure è meglio che scarichi il sygate personal firewall.. ?
Meglio il sygate!;)

Ok... virus eliminato... ora xò mi rimangono 2 problemi:
1) overnet non si avvia, dà un errore:

"L'istruzione a "0x077f48de5" ha fatto riferimento alla memoria "0x000038f9". La memoria non poteva essere "read". Fare click su ok per terminare l'applicazione."

2)alcuni file .avi che prima riuscivo a visualizzare adesso non riesco + a visualizzarli.....

mi è venuto in mente che potrebbe essere un errore di accesso a qualche file, per l'errore del win mediaplayer che potrebbe essere di accesso e perchè qualcuno (nn ricordo chi) ha postato su questo tread il fatto che questo worm toglie i privilegi da admin...
Pensate possa essere questo? e se si: come lo risolvo ???????:muro: :muro: :muro: :muro:

Ho risolto il problema installando la patch, però mi succede quanto segue: ogni volta che avvio win xp, dopo pochi secondi, anche senza essere connesso, mi appare la finestra "connessione di rete" col seguente messaggio:

"Da un utente o da un programma sono state richieste informazioni da bb2.afraid.org. Quale connessione utilizzare?"

E' un problema legato al Sasser? Come posso far sì che questa finestra non appaia sempre all'avvio di win xp?

Originariamente inviato da eraser
http://www.hwinit.net/modules/news/article.php?storyid=435
G R A Z I E

la prima cosa che mi è venuta in mente è stata quella di accedere immediatamente al Vs. forum, perchè ero certa di trovare la soluzione al problema! (gente davvero in gamba qui!)

magari per fare prima, visto che il tempo che si ha a disposizione è terribilmente esiguo. posto qui i link per scaricare le patches:


per chi ha il sistema operativo windows xp, in italiano:

http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3

per chi ha invece come sistema windows 2000, sempre in italiano:

http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=0692C27E-F63A-414C-B3EB-D2342FBB6C00


SPERO IN QUALCHE MODO DI ESSERE STATA UTILE!

Ciao a tutti... anche io sono rimasto infetto e ho lottato tutto il pomeriggio per cercare di levarlo.

VERIFICATE CON ME la presenza di questi files o processi :

se siete ancora infetti dovreste avere nel task manager :

avserve.exe oppure xxxx_up.exe in esecuzione

dove xxxx sono delle cifre random

Poi in C:\windows\system32\ dovreste avere lo script cmd.ftp

dovrebbe essere lo script fetente che chiama il virus nella rete...

io per ora l'ho rinominato dopo aver installato la pach di windows e dopo aver scansionato tutto con il norton.

è bastato installare la path (ho windows2000) ed ora è tutto OK...


Di nuovo grazie!

Vorrei chiedervi una cosa, dopo aver installato la patch Microsoft, riuscite a connettervi al sito della Symantec? Io non ci riesco!! E non riesco a capire come mai, avete qualche idea a rigurdo? Succede anche a voi?

Originariamente inviato da Dryness
Vorrei chiedervi una cosa, dopo aver installato la patch Microsoft, riuscite a connettervi al sito della Symantec? Io non ci riesco!! E non riesco a capire come mai, avete qualche idea a rigurdo? Succede anche a voi?


CIAO!
onestamente non ci avevo pensato, cmq ho provato ora e riesco tranquillamente a connettermi al sito della Symantec.

non so dirti come mai a te non succeda.... non sono così brava!!! :)

ah!... aggiungo che come consigliato qui sul forum ho anche scaricaricato un firewall (Sygate Personal Firewall).

Originariamente inviato da LuPellox85
non dirmi che non hai mai fatto alt+ctrl+canc :mbe:
no, questa è stata la prima volta

Originariamente inviato da eraser
perché non siete infetti :) il riavvio è dovuto alla scansione del worm alla ricerca dei computer vulnerabili.

si quei files sono normali ;)
Quindi io sto apposto così?

Cmq io ancora nn hoi capito ke roba è sto task manager!

io ho soltanto la cartella tasks in c:>windows:>

Alcuni tool di rimozione x il worm sasser:

http://www.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html

http://forum.gladiator-antivirus.com/index.php?showtopic=14112

Originariamente inviato da nascimentos
Cmq io ancora nn hoi capito ke roba è sto task manager!

io ho soltanto la cartella tasks in c:>windows:>

devi premere contemporaneamente i 3 tasti CTRL, ALT e CANC , allora ti si aprirà una finestrella informativa che in win xp ha varie schede, vai nella scheda processi e lì vedrai tutti i vari processi attivi al momento con il relativo consumo in memoria.

Ciao.

Originariamente inviato da MrOZ
devi premere contemporaneamente i 3 tasti CTRL, ALT e CANC , allora ti si aprirà una finestrella informativa che in win xp ha varie schede, vai nella scheda processi e lì vedrai tutti i vari processi attivi al momento con il relativo consumo in memoria.

Ciao.
grazie!

Originariamente inviato da wolfwood11


"L'istruzione a "0x077f48de5" ha fatto riferimento alla memoria "0x000038f9". La memoria non poteva essere "read". Fare click su ok per terminare l'applicazione."

Io avendo sempre avuto un firewall non ho risentito di questo worm...
Da ieri visualizzo anche io messaggi di quel tipo :muro:
Ho appena installato la patch, non se se risolverò anche questo..
Qualcun altro ha questi messaggi di errore oppure sa dirmi a cosa sono dovuti???
Ciao e grazie ;)

ho lo stesso problema vostro, ma quando mi collego per scaricare le patch di aggiornamento, sul mio browser compare la pagina bianca come se l'indirizzo fosse sbagliato. Ovvero selezione la patch, seleziono la lingua, ma non riesco a scaricalrla. Inoltre non mi compare sul taskmanager avserve, ma il problema della chiusura automatica dopo qualche minuto di navigazione persiste. Grazie per eventuali suggerimenti. Antonella

Originariamente inviato da wolfwood11
Ok... virus eliminato... ora xò mi rimangono 2 problemi:
1) overnet non si avvia, dà un errore:

"L'istruzione a "0x077f48de5" ha fatto riferimento alla memoria "0x000038f9". La memoria non poteva essere "read". Fare click su ok per terminare l'applicazione."



a me non si avvia il control center dell'avg (non si avvia in automatico, in manuale sì) dandomi lo stesso errore. inoltre stamattina, dopo aver applicato la patch microsoft, si è presentato avserve2 (ieri avevo solo avserve), che ho cancellato manualmente. in seguito ho anche bloccato alcune porte consigliate qualche post fa con il firewall...staremo a vedere

Anche io in seguito all'installazione della patch
Microsoft e all'eliminazione di avserve.exe dai processi in ctrl+alt+canc e da REGEDIT ho ancora 2 problemi:
1.non riesco più a connettermi al sito della symantec
2.all'avvio compaiono continuamente richieste di connessione a internet fino a che non mi connetto..

ecco il fix
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html

ecco la patch

http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3

:)

Qualcuno non potrebbe rendere disponibile il removal tool di symantec affinchè tutti coloro che non riescono ad accedere al sito symantec possano rimuovere il "virus", grazie 1000!!

Ciao a tutti.

Ho avuto anch'io problemi con questo worm.
Ho seguito tutte le indicazioni:installata la patch per windows xp,usato il tool della symantec per rimuoverlo,ho cancellato il file ansver2.exe dalla cartella di windows ed ho riavviato.

Sebbene non mi sovraccarichi più la cpu e la banda di upload rimane un problema..appena avviato windows mi compare una finesta di prompt con scritto:

[5/10] Command line: ""...
[5/10] Detected CPU: Vendor: "AMD" Name: "Athlon XP/MP 0.18u Socket A (Palomino)" Family: 6 Model: 6 Stepping: 2
[5/10] CPU: Enhanced 3dNow! support activated!
[1/10] LeakerBot (0.3.0) "Release" on "Win32" starting up...
[2/10] Debugging with debuglevel of 10...
[5/10] Assigning base subsystems...
[5/10] Initializing base subsystems...
[5/10] KillProcess(): Own thread token opened.
[5/10] KillProcess(): Privileges adjusted.
[5/10] KillProcess(): Privileges dropped.
[5/10] Installing bot...
[5/10] Checking for multiple copies...
[5/10] First copy running...
[5/10] Adding registry autostart...
[7/10] Initializing RNG...
[7/10] Starting the startup thread...
[2/10] CThread::Start(cthread.cpp): Starting CStartupThread thread using CreateThread().
[5/10] Initializing subsystems...
[5/10] Starting threads...
[2/10] CThread::Start(cthread.cpp): Starting CIRC thread using CreateThread().
[2/10] CThread::Start(cthread.cpp): Starting CThread thread using CreateThread().
[2/10] CThread::Start(cthread.cpp): Starting CThread thread using CreateThread().
[7/10] Starting the main loop...
[5/10] CSocketServer(0x00AAAA44h): Binding SendFile to port 22995.
[5/10] CSocketServer(0x00AAAA44h): SendFile listening on port 22995 (listening socket: 172).
[5/10] CSocketServer(0x00AAAA44h): Creating new socket.
[5/10] CSocketServer(0x00AAAA44h): Waiting for connection.


Che mi impedisce di avviare l'autoprotezione di norton2004,e di collegarsi al suo sito per fare l'update.

Non so propio come risolvere il problem..confido in voi grazie.

Originariamente inviato da retyty85
Ciao a tutti.

Ho avuto anch'io problemi con questo worm.
Ho seguito tutte le indicazioni:installata la patch per windows xp,usato il tool della symantec per rimuoverlo,ho cancellato il file ansver2.exe dalla cartella di windows ed ho riavviato.

Sebbene non mi sovraccarichi più la cpu e la banda di upload rimane un problema..appena avviato windows mi compare una finesta di prompt con scritto:

[5/10] Command line: ""...
[5/10] Detected CPU: Vendor: "AMD" Name: "Athlon XP/MP 0.18u Socket A (Palomino)" Family: 6 Model: 6 Stepping: 2
[5/10] CPU: Enhanced 3dNow! support activated!
[1/10] LeakerBot (0.3.0) "Release" on "Win32" starting up...
[2/10] Debugging with debuglevel of 10...
[5/10] Assigning base subsystems...
[5/10] Initializing base subsystems...
[5/10] KillProcess(): Own thread token opened.
[5/10] KillProcess(): Privileges adjusted.
[5/10] KillProcess(): Privileges dropped.
[5/10] Installing bot...
[5/10] Checking for multiple copies...
[5/10] First copy running...
[5/10] Adding registry autostart...
[7/10] Initializing RNG...
[7/10] Starting the startup thread...
[2/10] CThread::Start(cthread.cpp): Starting CStartupThread thread using CreateThread().
[5/10] Initializing subsystems...
[5/10] Starting threads...
[2/10] CThread::Start(cthread.cpp): Starting CIRC thread using CreateThread().
[2/10] CThread::Start(cthread.cpp): Starting CThread thread using CreateThread().
[2/10] CThread::Start(cthread.cpp): Starting CThread thread using CreateThread().
[7/10] Starting the main loop...
[5/10] CSocketServer(0x00AAAA44h): Binding SendFile to port 22995.
[5/10] CSocketServer(0x00AAAA44h): SendFile listening on port 22995 (listening socket: 172).
[5/10] CSocketServer(0x00AAAA44h): Creating new socket.
[5/10] CSocketServer(0x00AAAA44h): Waiting for connection.


Che mi impedisce di avviare l'autoprotezione di norton2004,e di collegarsi al suo sito per fare l'update.

Non so propio come risolvere il problem..confido in voi grazie.


Ti 6 beccato un trojan/backdoor, il Leakerbot

Ciao

Mi son dimenticato di specificare che ho formattato tutto l'hard disk da cima a fondo per ben 5 volte.
Quindi a meno che quel trojan non abbia collegamenti con il worm, non vedo come possa averlo preso,visto che a parte la patch di xp e il tool della symantec non ho scaricato altri file.

Comunque ora provo a fare uno scan con 'spybot search&destroy'
sperando faccia qualcosa.....nel caso non riuscissi a risolvere il problema mi toccherà formattare per la 10 volta in 2 giorni..fra un pò spacco tutto :mad:

Originariamente inviato da Dryness
Qualcuno non potrebbe rendere disponibile il removal tool di symantec affinchè tutti coloro che non riescono ad accedere al sito symantec possano rimuovere il "virus", grazie 1000!!

QUI http://forum.gladiator-antivirus.com/index.php?act=ST&f=110&t=14152&st=0#entry47673

Con overnet ho risolto disinstallando completamente il programma e reinstallando....

per i 2 files .avi ... beh, ho proprio perso l'accesso a quelli... nn li posso cancellare ne scansirecon l'antivirus...
mi era successa la stessa cosa tempo fa con delle cartelle vuote... e nn ci ho fatto troppo caso, xchè erano prorpio 2 cartelle vuote...
ma adesso non so più da dove derivi questo problema, se da sasser o qualcos'altro....

inoltre anche a me s'era presentato avserve2, ma l'ho cancellato senza troppe remore... non dava gli stessi problemi di prestazioni del primo avserve, comunque...

anche io sono stato vittima del virus....:cry:

Originariamente inviato da retyty85
Ciao a tutti.

Ho avuto anch'io problemi con questo worm.
Ho seguito tutte le indicazioni:installata la patch per windows xp,usato il tool della symantec per rimuoverlo,ho cancellato il file ansver2.exe dalla cartella di windows ed ho riavviato.

Sebbene non mi sovraccarichi più la cpu e la banda di upload rimane un problema..appena avviato windows mi compare una finesta di prompt con scritto:

[5/10] Command line: ""...
[5/10] Detected CPU: Vendor: "AMD" Name: "Athlon XP/MP 0.18u Socket A (Palomino)" Family: 6 Model: 6 Stepping: 2
[5/10] CPU: Enhanced 3dNow! support activated!
[1/10] LeakerBot (0.3.0) "Release" on "Win32" starting up...
[2/10] Debugging with debuglevel of 10...
[5/10] Assigning base subsystems...
[5/10] Initializing base subsystems...
[5/10] KillProcess(): Own thread token opened.
[5/10] KillProcess(): Privileges adjusted.
[5/10] KillProcess(): Privileges dropped.
[5/10] Installing bot...
[5/10] Checking for multiple copies...
[5/10] First copy running...
[5/10] Adding registry autostart...
[7/10] Initializing RNG...
[7/10] Starting the startup thread...
[2/10] CThread::Start(cthread.cpp): Starting CStartupThread thread using CreateThread().
[5/10] Initializing subsystems...
[5/10] Starting threads...
[2/10] CThread::Start(cthread.cpp): Starting CIRC thread using CreateThread().
[2/10] CThread::Start(cthread.cpp): Starting CThread thread using CreateThread().
[2/10] CThread::Start(cthread.cpp): Starting CThread thread using CreateThread().
[7/10] Starting the main loop...
[5/10] CSocketServer(0x00AAAA44h): Binding SendFile to port 22995.
[5/10] CSocketServer(0x00AAAA44h): SendFile listening on port 22995 (listening socket: 172).
[5/10] CSocketServer(0x00AAAA44h): Creating new socket.
[5/10] CSocketServer(0x00AAAA44h): Waiting for connection.


Che mi impedisce di avviare l'autoprotezione di norton2004,e di collegarsi al suo sito per fare l'update.

Non so propio come risolvere il problem..confido in voi grazie.


Anch'io stessa cosa :(

quote:
--------------------------------------------------------------------------------
Originariamente inviato da Dryness
Qualcuno non potrebbe rendere disponibile il removal tool di symantec affinchè tutti coloro che non riescono ad accedere al sito symantec possano rimuovere il "virus", grazie 1000!!
--------------------------------------------------------------------------------



QUI http://forum.gladiator-antivirus.co...st=0#entry47673

Grazie!!

Ho formattato tutto e reinstallato windows xp,prima di installare la connessione ad internet, ho messo le 2 patch ed ho fatto subito la scansione con il tool della symantec ,ho istallato zone alarm pro per adesso non mi da nessunissimo problema(incociamo le dita:p ).

ciao

domanda:
se vado sul sito di win update e faccio installare tutti gli aggiornamenti disponibili, è in essi inclusa anche la suddetta "patch" di cui parlate?


ps: ho appena formattato l'altro pc per quell cazz di sasser.

ciao

Io ti consiglio di scaricarti le 2 patch per il blaster,metterle su un cd o su un floppy,così appena avrai finito di installare windows le applichi subito senza doverti collegare ad internet.
Ho costatato sulla 'mia pelle'(10 format c: in 2 giorni) che il worm appena ti connetti ad internet sfrutta subito la falla di windows provocando i problemi di cui si è detto fin'ora.

Allora, sul pc del mio amico ho fatto tutto: patch di windows, eliminazione di avserve2 e aggiornamento panda antivirus per il sasser.
Ora tutto funziona bene, però appena avvia il pc si apre una finestra intitolata "C:/windows/system32/scvhost.exe" e iniziano a scorrere in questa finestra un sacco di scritte di vario genere (sembra che voglia collegarsi da qualche parte ma alla fine di ogni tentativo ci viene scritto "failed" o "aborted" non ricordo) .... al momento che viene chiusa la finestra non riappare più fino al riavvio successivo. Ho provato a cercare questo benedetto scvhost.exe anche fra i files nascosti e di sistema ma non c'è verso di trovarlo nè in system32 nè da altre parti. L'ho trovato solo sul registo ma anche cancellando quella chiave al riavvio successivo torna la solita schermata.
Cosa cavolo è ??

Originariamente inviato da retyty85
ciao

Io ti consiglio di scaricarti le 2 patch per il blaster,metterle su un cd o su un floppy,così appena avrai finito di installare windows le applichi subito senza doverti collegare ad internet.
Ho costatato sulla 'mia pelle'(10 format c: in 2 giorni) che il worm appena ti connetti ad internet sfrutta subito la falla di windows provocando i problemi di cui si è detto fin'ora.


Cerca di tirar su una connessione con un altro server da quello che ho capito.

A me sta succedendo un casino totale. Su c: mi sono apparsi 60 file exe mai visti. I file che creo non li vedo piu.

:cry:

io ho appena formattato, ho scaricato e installto le due patch
nel task ho cmq lsass.exe , ma mi pare d'aver capito che quello è normale.
posso stare tranquillo?

pS:qualcuno sa dirmi perche' quando riavvio il pc , il norton autoprotect impega tipo 1 paio di minuti ad attivarsi?
:rolleyes:

anche io ho preso questo maledetto virus,cmq ho installato la patch,ho usato il removal tool e ora il pc nn mi si riavvia + da solo...tuttavia ho ancora problemi di banda sia in upload che in download e nn capisco come mai

Originariamente inviato da marco760
Allora, sul pc del mio amico ho fatto tutto: patch di windows, eliminazione di avserve2 e aggiornamento panda antivirus per il sasser.
Ora tutto funziona bene, però appena avvia il pc si apre una finestra intitolata "C:/windows/system32/scvhost.exe" e iniziano a scorrere in questa finestra un sacco di scritte di vario genere (sembra che voglia collegarsi da qualche parte ma alla fine di ogni tentativo ci viene scritto "failed" o "aborted" non ricordo) .... al momento che viene chiusa la finestra non riappare più fino al riavvio successivo. Ho provato a cercare questo benedetto scvhost.exe anche fra i files nascosti e di sistema ma non c'è verso di trovarlo nè in system32 nè da altre parti. L'ho trovato solo sul registo ma anche cancellando quella chiave al riavvio successivo torna la solita schermata.
Cosa cavolo è ??
ciao!

vai qui --> http://support.microsoft.com/default.aspx?scid=kb;it;314056

l'svchost è un applicazione normalissima in windows,è quello che 'contiene' che potrebbe esser dannoso.

Comunque leggi la descrizione nel link che ho postato..inoltre fai questo:

'Per visualizzare l'elenco dei servizi in esecuzione in Svchost:
Fare clic sul pulsante Start sulla barra delle applicazioni di Windows, quindi scegliere Esegui.
Nella finestra di dialogo Apri digitare CMD, quindi premere INVIO.
Digitare Tasklist /SVC, quindi premere INVIO. '

Così puoi controllare se ci sono alcuni servizi dannosi.

guardate

http://www.newlandscapes.org/task.jpg
mi aveva trovato un worm B..qualcosa nel svchost.exe e norton l'ha pulito, ora ho ciò descritto sopra.
che ne dite?
ci sono un po di svchost con robe che nn conosco che girano all interno:rolleyes:

vedete qualcosa di sospetto, anche tra gli altri files?

Ho installato la pacth di microsoft e stinger ma ogni volta che accendo il pc mi compare la finestra avserve.exe, il sistema è cmq stabile e non si riavvia, come faccio ad eliminare il virus in modo definitivo e con certezza, mi consigliate di comprare Norton antivirus, ho il PC nuovo da una settimana e non vorrei formattare.

non trovo avserve2 in windows e c'è un processo che non riesco a terminare in task manager

Help :cry:

a proposito avendo sempre avuto win 98 per formattare usavo il DOS ora con Win XP come si fà ?

Non riesco a entrare nell'update di windows e scaricare le patch. Esiste un'altro posto dove recuperarle e qualcuno che le ha a disposizione ???? Grazie. Antonella

specifico : per windows2000

credo e spero di averlo eliminato :confused: .

ho fatto l'update di windows, ho scaricato la patch di microsoft, ho scaricato il tool symantec e stinger. (quanta roba!)

Ora il pc rimane acceso e connesso normalmente SGRAT SGRAT, il tool syamntec per SASSER non lo rileva nel pc, non mi compare più la finestra AVSERVE2 e le risorse del PC sembrano utilizzate in quantità corretta (niente 98% CPU o simili...).

Come faccio a prevenirlo d'ora in poi ?

Mi consigliate un buon abbinamento Firewall - antivirus e sopratutto come faccio ad avere la certezza di averlo rimosso ?

Scusate il mio accanimento ma come per gli altri utenti stò virus mi stà facendo sclerare.:muro:

raga anche io sono stato infetto dal Sasser :( maledetti a chi fa ste cose

cmq bando alle ciance credo di avere un altro virus nel sistema. Infatti, eseguendo Stinger, oltre al Sasser, mi ha trovato un IRC Sdbot Trojan nel file c:\windows\System32\system32.exe

C'entra qualcosa con il Sasser? Lo conoscete? Sapete cos'è e come si rimuove?

Grazie per l'attenzione :(

http://www.hwinit.net/modules/news/article.php?storyid=436

ultime news sul Sasser ;)

Chi sa come annientare sto fastidiosissimo Leakerbot????:muro: Mi è comparso dopo l'eliminazione del Sasser Worm!!!
Help me,please...:confused:

Originariamente inviato da retyty85

l'svchost è un applicazione normalissima in windows,è quello che 'contiene' che potrebbe esser dannoso.

Il problema è che la schermata che pare è scvhost e non svchost

Originariamente inviato da alswar
Il problema è che la schermata che pare è scvhost e non svchost
Con buone probabilità è il welchia (conosciuto anche come Nachi)....
Cercate in quiesta sezione e ne saprete di più....

Stavo impazzendo ma grazie a voi sembra tutto risolto,anke a me all'avvio del windows appariva quella skermata dos definita come worm leakerbot ma adesso tutto sembra sparito.Ecco il processo ke ho seguito:

1) Appena avviato windows,chiusura dei processi avserve
2) Cancellazione del file adserve da c:\windows
3) Connessione e scaricamento della patch microsoft e del file stinger x rimuovere sto maledetto worm
4) Installazione della patch e poi scansione dell'hd con stinger

Adesso però mi da continui msg di rikieste di collegamento, vabbè macchisenefrega :D

Originariamente inviato da elbahari
Non riesco a entrare nell'update di windows e scaricare le patch. Esiste un'altro posto dove recuperarle e qualcuno che le ha a disposizione ???? Grazie. Antonella


io potrei inviartela via mail?


fammi sapere

Originariamente inviato da goingon
io potrei inviartela via mail?


fammi sapere


vediamo se riesco ad allegartela qui!

Originariamente inviato da Sgurbat
a proposito avendo sempre avuto win 98 per formattare usavo il DOS ora con Win XP come si fà ?
Se hai il CD d'installazione di WinXP, inserisci quello come se dovessi installare il s.o., ad un certo punto ti permetterà tra l'altro di poter formattare.

PER CHI NON RIESCE PIU' A COLLEGARSI AI SITI DI ANTIVIRUS

E' la variante del SASSER che introduce un file rubrica chiamato HOSTS e si trova in c:\windows\system32\drivers\etc\hosts

Dovete terminare i seguenti processi :

SOUNDTASK.EXE

SCVHOST.EXE e non quello giusto di windows che è SVCHOST.EXE che va bene (non toccatelo)

e poi cancellare il file CMD.FTP in c:\windows\system32

CANCELLATE il file SOUNDTASK.EXE ricercandolo con la funzione CERCA FILE

poi andate nel file HOSTS sopra e apritelo con il NOTEPAD e cancellate il contenuto! SALVATELO vuoto.

RESETTATE

Avevo anche io lo stesso problema.

LEGGETE LA MIA AVVENTURA

http://www.finanzaonline.com/forum/showthread.php?threadid=460958

Originariamente inviato da CharlesIngalls
PER CHI NON RIESCE PIU' A COLLEGARSI AI SITI DI ANTIVIRUS

E' la variante del SASSER che introduce un file rubrica chiamato HOSTS e si trova in c:\windows\system32\drivers\etc\hosts

Dovete terminare i seguenti processi :

SOUNDTASK.EXE

SCVHOST.EXE e non quello giusto di windows che è SVCHOST.EXE che va bene (non toccatelo)

e poi cancellare il file CMD.FTP in c:\windows\system32

CANCELLATE il file SOUNDTASK.EXE ricercandolo con la funzione CERCA FILE

poi andate nel file HOSTS sopra e apritelo con il NOTEPAD e cancellate il contenuto! SALVATELO vuoto.

RESETTATE

Avevo anche io lo stesso problema.


Qui trovate quello che feci io...

http://www.finanzaonline.com/forum/showthread.php?threadid=460958&perpage=15&pagenumber=4

Ho riassunto le principali informazioni su qto virus in un nuovo thread, sperando di fare cosa gradita ;)

Ecco il link: http://forum.hwupgrade.it/showthread.php?s=&threadid=676827

Originariamente inviato da CharlesIngalls
PER CHI NON RIESCE PIU' A COLLEGARSI AI SITI DI ANTIVIRUS

E' la variante del SASSER che introduce un file rubrica chiamato HOSTS e si trova in c:\windows\system32\drivers\etc\hosts

Dovete terminare i seguenti processi :

SOUNDTASK.EXE

SCVHOST.EXE e non quello giusto di windows che è SVCHOST.EXE che va bene (non toccatelo)

e poi cancellare il file CMD.FTP in c:\windows\system32

CANCELLATE il file SOUNDTASK.EXE ricercandolo con la funzione CERCA FILE

poi andate nel file HOSTS sopra e apritelo con il NOTEPAD e cancellate il contenuto! SALVATELO vuoto.

RESETTATE

Avevo anche io lo stesso problema.


grazie mille...... con l'indicazione "HOSTS e si trova in c:\windows\system32\drivers\etc\hosts" ho risolto tutto..... Grazie ancora. Antonella.

Il server internet dell'azienda dove lavoro sembra essere infetto...

Abbiamo provato sia stinger che il removal tools della Symantec

ma non riescano a rimuovere nulla...

processi con i nomi che fate qui non ci sono...

che sia una nuova variante?

qualcuno a qualche notizia?

ragazzi.. ho eliminati il file 1430 se non sbaglio k era quello k norton trovava come virus.. ma questi??? li elimino tutti??

http://djhuzi.no-ip.biz/system32.jpg

di tutti fanne uno zip e mandamelo a [email protected] ;)

Originariamente inviato da Dj Huzi
ragazzi.. ho eliminati il file 1430 se non sbaglio k era quello k norton trovava come virus.. ma questi??? li elimino tutti??

http://djhuzi.no-ip.biz/system32.jpg

Tratto dal sito symantec, per entrambe le varianti: link (http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html)



cut

5. Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts

6. Attempts to connect to randomly-generated IP addresses on TCP port 445. If a connection is made to a computer, the worm sends shellcode to that computer which may cause it to run a remote shell on TCP port 9996. The worm then uses the shell to cause the computer to connect back to the FTP server on port 5554 and retrieve a copy of the worm. This copy will have a name consisting of 4 or 5 digits followed by _up.exe (eg 74354_up.exe).

In pratica, tutti quei files sono COPIE del worm che esso stesso crea per essere inviate agli host contattati, se questi "rispondono" richiedendo il file tramite shell remota.

Credo che sia il caso che tu cancelli tutti quei files, cmq anche una scansione con un AV aggiornato "dovrebbe" eliminarli :rolleyes:

http://www.hwinit.net/modules/news/article.php?storyid=437

altre news

misà che c'è lo zampino dei creatori del netsky :)

ma in linux succedono tutti sti macelli?

ecco li ho tolti tutti......ho provato vari antivirus ma non me li trovava...

Originariamente inviato da Paki
Se hai il CD d'installazione di WinXP, inserisci quello come se dovessi installare il s.o., ad un certo punto ti permetterà tra l'altro di poter formattare.

ho win xp preinstallato con il cd di ripristino (non la versione full) funziona lo stesso ?

Ogni volta che formatti devi rifare l'attivazione ?

il thread è diventato troppo incasinato e qualunque persona che arriva qui per trovare la soluzione si perde tra i post.

La soluzione per il worm è qui http://forum.hwupgrade.it/showthread.php?s=&threadid=677091

chiudo questo thread :)

Ciao

Eraser :)