Per ki ha beccato il virus MSBLASTER: dubbio!

[magnavox]

Come la maggior parte degli utilizzatori di Windows XP,
ho avuto la "fortuna" di imbattermi nel virus MSBLASTER",
ma dopo le opportune procedure l'ho eleiminato, o almeno credo!

Adesso ho un dubbio... per l'occasione ho installato un
firewall, Zone Alarm Free, il quale mi segnala appena avvio il
PC un tentativo di connessione da parte del servizio SVCHOST.EXE,
Generic Host Process in genere è una cosa normale per questo servizio,
ma avendo installato il firewall DOPO aver preso il virus nn posso fare il confronto.

In genere SVCHOST.EXE si trova replicato 4 volte nel Task Manager...
...è normale, questo lo so... ma oggi ho provato a terminare uno
ad uno questi reply di SVCHOST.EXE fino a quando mi è comparsa
la stessa finestra tipica del contro alla rovescia dell'RPC ke
causava il virus ed in più il firewall mi segnalava dei tentativi
di accesso tra cui la porta 135!!!

PE 2003/08/15 11:51:38 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:5000 N/A
ACCESS 2003/08/15 11:51:50 +2:00 GMT Spooler SubSystem App was blocked from connecting to the Internet. N/A N/A
PE 2003/08/15 11:53:12 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:135 N/A
PE 2003/08/15 11:53:16 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:53 N/A
ACCESS 2003/08/15 11:53:18 +2:00 GMT Generic Host Process for Win32 Services was temporarily blocked from connecting to the Internet. N/A N/A
PE 2003/08/15 11:53:26 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:135 N/A
PE 2003/08/15 11:53:28 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:53 N/A
PE 2003/08/15 11:55:12 +2:00 GMT Generic Host Process for Win32 Services 0.0.0.0:5000 N/A


E' normale (potrebbe essere l'update di XP) oppure è il virus ke è troppo bastardo????

Qualkuno con una installazione ankora pulita di XP puo' provare?

Spero ke il mio sia un falso allarme!

p.s.: okkio ke installando la patch con il virus ankora attivo ve lo ritrovate ankora conservato sul PC
in quanto la patch effettua un punto di ripristino e il file, trovandosi nella cartella del SO, viene backuppato
anke esso!!!

[bizzu]

Domanda banale: per "opportune procedure" cosa intendi? Hai usato un tool apposito (come quello di Symantec)?
Te lo chiedo perché io avevo provato a rimuoverlo con l'antivirus ma non ci ero riuscito senza il programmino apposta.

[magnavox]

Quote:

Originariamente inviato da bizzu
Domanda banale: per "opportune procedure" cosa intendi? Hai usato un tool apposito (come quello di Symantec)?
Te lo chiedo perché io avevo provato a rimuoverlo con l'antivirus ma non ci ero riuscito senza il programmino apposta.

No, ho eliminato manualmente il virus.

[CYRANO]

Io non mi son beccato il virus , eppure il doppio processo Svhost mi lasciava a aperte 3 porte : la 135 , la 5000 e un'altra che non ricordo.
Ho bloccato i 2 processi con il Fw Sygate 5.1 e ora tutte le porte "basse" sonoi stealth!






Ciaozzz

[magnavox]

Quote:

Originariamente inviato da CYRANO
Io non mi son beccato il virus , eppure il doppio processo Svhost mi lasciava a aperte 3 porte : la 135 , la 5000 e un'altra che non ricordo.
Ho bloccato i 2 processi con il Fw Sygate 5.1 e ora tutte le porte "basse" sonoi stealth!






Ciaozzz

Daccordo, ma la cosa ke mi insospettisce è ke se li blokko nn riesco a visualizzare alcune pagine internet... forse è normale... ma...

[Besk]

Io non ho preso il virus, ma ho notato che anche io ho l'SVCHOST attivo, anche nel firewall c'è, e gli è permesso accedere alal rete. Se blocco questo programma dal firewall avrò problemi?

[gigihertz]

Azz. tornato dalle ferie mi sono accorto di averlo preso 'sto virus...Che debbo fare ????? AIUTTTTTTTTTTTTT

[Bilancino]

Quote:

Originariamente inviato da gigihertz
Azz. tornato dalle ferie mi sono accorto di averlo preso 'sto virus...Che debbo fare ????? AIUTTTTTTTTTTTTT

Semplice tolgi il worm e metti la patch, dettagli sono in rilievo su OT o nel mio sito.

Ciao

[FiReBat]

Nelle mie reti ho avuto questo virus..

ma il dubbio mi sorge spontaneo.. se non viene trasferito via mail come cazzo si prende??

Che il mio firewall su linux lo blocchi??? Paura >_<


Funge la tecnica di bloccare tramite ip filtering di win2k le porte? una volta bloccate riusciro' a scaricare la patch???

Newbie rulez

[Bilancino]

Questo virus si prende perchè attraverso la vulnerabilità è possibile contringere il pc a scaricare il worm........se si blocca la porta 135 non è possibile scaricare il worm e quindi è possibile installare la patch tranquillamente.

Ciao

[Besk]

Come si fa a bloccare una porta con il norton firewall?

[Bilancino]

Quote:

Originariamente inviato da Besk
Come si fa a bloccare una porta con il norton firewall?

non ricordo, ma nelle impostazioni avanzate c'è forse la possibilità di creare una regola manuale...........

Ciao

[mirage12345]

Quote:

Originariamente inviato da Besk
Io non ho preso il virus, ma ho notato che anche io ho l'SVCHOST attivo, anche nel firewall c'è, e gli è permesso accedere alal rete. Se blocco questo programma dal firewall avrò problemi?

Se non sbaglio, e Bilancino lo può confermare, dei 4 svchost bisogna bloccare quello che gestisce i servizi di rete per non avere attacchi sulle porte. In pratica una volta attivato il firewall e avviata la connessione bisogna col firewall negare l'accesso all'svchost che si apre in quel momento e che il firewall segnala. Spero di non sbagliarmi.

[Besk]

Quote:

Originariamente inviato da mirage12345
Se non sbaglio, e Bilancino lo può confermare, dei 4 svchost bisogna bloccare quello che gestisce i servizi di rete per non avere attacchi sulle porte. In pratica una volta attivato il firewall e avviata la connessione bisogna col firewall negare l'accesso all'svchost che si apre in quel momento e che il firewall segnala. Spero di non sbagliarmi.

Az bel casino, provo a cancellare dal firewall tutti e 4 i SVCHOST e appena lo richiede lo nego al primo

[Bilancino]

Quote:

Originariamente inviato da mirage12345
Se non sbaglio, e Bilancino lo può confermare, dei 4 svchost bisogna bloccare quello che gestisce i servizi di rete per non avere attacchi sulle porte. In pratica una volta attivato il firewall e avviata la connessione bisogna col firewall negare l'accesso all'svchost che si apre in quel momento e che il firewall segnala. Spero di non sbagliarmi.

Si è così bisogna bloccare svchost.exe che gestisce la rete, ed è il primo che chiede subito di uscire.

Ciao

[Besk]

Ho tolto, ma quando si è collegato non mi ha chiesto niente, ha dato automaticamente il permesso..

Cosa faccio lo blocco?

[Bilancino]

Quote:

Originariamente inviato da Besk
Ho tolto, ma quando si è collegato non mi ha chiesto niente, ha dato automaticamente il permesso..

Cosa faccio lo blocco?

fai il test di pcflank se la porta 135 è aperta allora devi bloccare questo processo...........comunque con la patch non si corrono più rischi.

Ciao

[red_ka.it]

ciao raga tornando dalle vacanze bella sorpresa, mia sorella aveva usato il pc e quindi preso il virus nonostante il sygate ben settato, quindi mi sono messo subito all'opera e non appena lo beccavo con l'antivirus mi usciva la finestra bastarda in questione, inoltre mi sono trovato al 18 agosto ad essere al febbraio 5125; aggiusto l'orario dal bios e poi con una scansione becco il virus e lo cancello normalmente, da allora nessun problema, ora mi chiedoossibile sia stato così facile eliminare un virus che tante ne sta combinando? faccio un altra passata con avg o mi consigliate qualche altro tool + potente? ciao grz!!!


porca si stava meglio a Corfù !!!!!!!!!!

[cmasi]

Messa la patch e continua il problema,il mio firewall mi da attacchi continui e come programma mi dice svchost.exe,ho messo la patch ho fatto il controllo con rpceck,ma non capisco come mai,ho controllato nel registro e non ci sono ne msblaster e nemmeno penis2 cosa debbo fare?
Ho letto molti post ma nessuno mi è stato di aiuto vermanete.

[Bilancino]

La patch serve per togliere la vulnerabilità ma non per bloccare gli attacchi..........

Ciao