Virus, trojan o cosa??

einj · 24-09-2003, 09:24

Ieri ho formattato un pc e ci ho messo win2000, stavo finendo di installare tutti i programmi ed ho avuto la malagurata idea di connettermi a internet per scaricare la posta senza aver ancora installato il firewall (Sygate) tanto mi son detto per 30 sec che vuoi che succeda??

beh pare siano bastati perchè succedesse qualcosa di strano...windows ha segnalato un errore al scvhost.exe e che lo chiudeva, al momento la cosa mi è parsa strana visto msblast cosi ho chiuso la connessione internet ed ho riavviato...ho messo il firewall, e controllato con il tool della symantec di nn avere preso il blast e mi ha segnalato che il sistema è pulito...però ogni 20ina di minuti il firewall mi segnala tentativi di accesso al file ntkrnl.exe da parte di un indirizzo di rete 192.168.0.25 che genera traffico UDP sulle porte 137 o 138 (d0vrebbero essere quelle del netbios mi pare)...pensavo di essermi beccato un altro virus strano o un trojan, ma secondo i miei check con Nortona Antivirus aggiornato a ieri, l'antivirus online della TrendMicro HouseCall, Spybot e The Cleaner nn ci sono ospiti indesiderati sul mio pc...che cavolo è che cerca di connettersi al kernel? è il kernel ormai infetto che cerca di connettersi a qualche altra macchina?? anche netstat da shell nn segnala cose strane....mi son pure spulciato tutti i iprocessi attivi e le chiave di registro in RUN...nulla di nulla...voi sapete dirmi che cavolo è? mi tocca riformattare per essere sicuro??

Bilancino · 24-09-2003, 09:48

Quote:

Originariamente inviato da einj
Ieri ho formattato un pc e ci ho messo win2000, stavo finendo di installare tutti i programmi ed ho avuto la malagurata idea di connettermi a internet per scaricare la posta senza aver ancora installato il firewall (Sygate) tanto mi son detto per 30 sec che vuoi che succeda??

beh pare siano bastati perchè succedesse qualcosa di strano...windows ha segnalato un errore al scvhost.exe e che lo chiudeva, al momento la cosa mi è parsa strana visto msblast cosi ho chiuso la connessione internet ed ho riavviato...ho messo il firewall, e controllato con il tool della symantec di nn avere preso il blast e mi ha segnalato che il sistema è pulito...però ogni 20ina di minuti il firewall mi segnala tentativi di accesso al file ntkrnl.exe da parte di un indirizzo di rete 192.168.0.25 che genera traffico UDP sulle porte 137 o 138 (d0vrebbero essere quelle del netbios mi pare)...pensavo di essermi beccato un altro virus strano o un trojan, ma secondo i miei check con Nortona Antivirus aggiornato a ieri, l'antivirus online della TrendMicro HouseCall, Spybot e The Cleaner nn ci sono ospiti indesiderati sul mio pc...che cavolo è che cerca di connettersi al kernel? è il kernel ormai infetto che cerca di connettersi a qualche altra macchina?? anche netstat da shell nn segnala cose strane....mi son pure spulciato tutti i iprocessi attivi e le chiave di registro in RUN...nulla di nulla...voi sapete dirmi che cavolo è? mi tocca riformattare per essere sicuro??

Per prima cosa è ormai necessario creare un cd-rw con tutte le patch per la sicurezza così ad ogni format non si usa internet per aggiornare il sistema, infatti nel tuo caso sei stato subito preso di mira. Quando ti colleghi altri pc infetti lanciano scansioni di ip e ci sei capitato in mezzo, utilizzando la vulnerabilità ti hanno arrestato il pc ma il tuo pc non ha potuto scaricare il worm poichè i server in cui è ospitato saranno stati chiusi.

In definitiva dovrebbe succedere questo:

<Ti colleghi ad internet senza patch e firewall

<2 Ti attaccano e utilizzando la vulnerabilità fanno scaricare il worm nel tuo pc e poi viene eseguito. Se il server in cui ospista il worm è down il tuo pc si arresta ma non ha il worm installato.

Ciao

einj · 24-09-2003, 10:12

si lo so di solito nn faccio ste cappelle, nn pensavo che in 30 sec mi avrebbero subito puntato...prima avevo win98se e la mia bella immagine ghostata, stavo finendo di installare tutte le cose prima di farla per win2000 ma ho commesso una leggerezza...

A parte il mio errore, qualcuno mi sa aiutare a capire che cavolo di cosa mi ha attaccato?? magari riesco ad estirpare sta cosa senza format c

Bilancino · 24-09-2003, 10:23

Quote:

Originariamente inviato da einj
A parte il mio errore, qualcuno mi sa aiutare a capire che cavolo di cosa mi ha attaccato?? magari riesco ad estirpare sta cosa senza format c

ma non devi fare format, installa un firewall tipo sygate 5.1 alla prima richiesta di connessione del processo svchost.exe lo neghi cosi la porta 135 usata per stabile una connessione è chiusa e puoi aggiornare il pc.

Ciao

einj · 24-09-2003, 10:26

si ho già chiuse le porte sul traffico UDP e bloccato ntkrnl.exe con il sygate...infatti mi accorgo degli attacchi perchèil sygate mi dice di aver bloccato l'utilizzo dall'esterno, in pratica se c'è ho blindato sta cosa nel pc però la vorrei prorpio levare e non avere questi avvisi...

einj · 25-09-2003, 07:20

ho scoperto di aver formattato per niente, dopo aver ripristinato il sistema operativo (windows2000 senza alcun service pack) e installato sygate SENZA ESSERMI MAI CONNESSO ad internet mi è arrivato nuovamente un avviso che il firewall aveva bloccato l'accesso ad un file di sistema...quindi c'è qualche problema di conflitto, avevo già installato qualche settimana prima win2k con sp4 e il sygate non dava questo tipo di problemi...

vabbè finchè non metto il sp4 ho messo su outpost firewall ed è tutto ok...

24-09-2003, 09:24	#1
einj Senior Member Iscritto dal: Mar 2000 Messaggi: 1624	Virus, trojan o cosa?? Ieri ho formattato un pc e ci ho messo win2000, stavo finendo di installare tutti i programmi ed ho avuto la malagurata idea di connettermi a internet per scaricare la posta senza aver ancora installato il firewall (Sygate) tanto mi son detto per 30 sec che vuoi che succeda?? beh pare siano bastati perchè succedesse qualcosa di strano...windows ha segnalato un errore al scvhost.exe e che lo chiudeva, al momento la cosa mi è parsa strana visto msblast cosi ho chiuso la connessione internet ed ho riavviato...ho messo il firewall, e controllato con il tool della symantec di nn avere preso il blast e mi ha segnalato che il sistema è pulito...però ogni 20ina di minuti il firewall mi segnala tentativi di accesso al file ntkrnl.exe da parte di un indirizzo di rete 192.168.0.25 che genera traffico UDP sulle porte 137 o 138 (d0vrebbero essere quelle del netbios mi pare)...pensavo di essermi beccato un altro virus strano o un trojan, ma secondo i miei check con Nortona Antivirus aggiornato a ieri, l'antivirus online della TrendMicro HouseCall, Spybot e The Cleaner nn ci sono ospiti indesiderati sul mio pc...che cavolo è che cerca di connettersi al kernel? è il kernel ormai infetto che cerca di connettersi a qualche altra macchina?? anche netstat da shell nn segnala cose strane....mi son pure spulciato tutti i iprocessi attivi e le chiave di registro in RUN...nulla di nulla...voi sapete dirmi che cavolo è? mi tocca riformattare per essere sicuro?? __________________ CASE:SilverStone Lascala SST-LC20 Nero - ALI:LC-POWER Metatron ARKANGEL 850W - MOBO:Asus P8Z77V - CPU:Intel I2600K OC @ 4.5GHz 1.320v - DISSI:Noctua NH-C12P + Noctua NF-F12-PWM - RAM:Samsung Greeen DDR3L 1600 OC @2133 1.5v (9-10-10-28) - VGA:Sapphire HD7850 OC @1210/5520 1.178v - HD:SSD Samsung 840 256GB + WD Green 2TBx2 (Stripe) + Samsung EcoGreen F4 2 TB - FAN:Noctua NF-B9x2 + Noctua NF-R8x2

24-09-2003, 10:12	#3
einj Senior Member Iscritto dal: Mar 2000 Messaggi: 1624	si lo so di solito nn faccio ste cappelle, nn pensavo che in 30 sec mi avrebbero subito puntato...prima avevo win98se e la mia bella immagine ghostata, stavo finendo di installare tutte le cose prima di farla per win2000 ma ho commesso una leggerezza... A parte il mio errore, qualcuno mi sa aiutare a capire che cavolo di cosa mi ha attaccato?? magari riesco ad estirpare sta cosa senza format c __________________ CASE:SilverStone Lascala SST-LC20 Nero - ALI:LC-POWER Metatron ARKANGEL 850W - MOBO:Asus P8Z77V - CPU:Intel I2600K OC @ 4.5GHz 1.320v - DISSI:Noctua NH-C12P + Noctua NF-F12-PWM - RAM:Samsung Greeen DDR3L 1600 OC @2133 1.5v (9-10-10-28) - VGA:Sapphire HD7850 OC @1210/5520 1.178v - HD:SSD Samsung 840 256GB + WD Green 2TBx2 (Stripe) + Samsung EcoGreen F4 2 TB - FAN:Noctua NF-B9x2 + Noctua NF-R8x2

24-09-2003, 10:26	#5
einj Senior Member Iscritto dal: Mar 2000 Messaggi: 1624	si ho già chiuse le porte sul traffico UDP e bloccato ntkrnl.exe con il sygate...infatti mi accorgo degli attacchi perchèil sygate mi dice di aver bloccato l'utilizzo dall'esterno, in pratica se c'è ho blindato sta cosa nel pc però la vorrei prorpio levare e non avere questi avvisi... __________________ CASE:SilverStone Lascala SST-LC20 Nero - ALI:LC-POWER Metatron ARKANGEL 850W - MOBO:Asus P8Z77V - CPU:Intel I2600K OC @ 4.5GHz 1.320v - DISSI:Noctua NH-C12P + Noctua NF-F12-PWM - RAM:Samsung Greeen DDR3L 1600 OC @2133 1.5v (9-10-10-28) - VGA:Sapphire HD7850 OC @1210/5520 1.178v - HD:SSD Samsung 840 256GB + WD Green 2TBx2 (Stripe) + Samsung EcoGreen F4 2 TB - FAN:Noctua NF-B9x2 + Noctua NF-R8x2

25-09-2003, 07:20	#6
einj Senior Member Iscritto dal: Mar 2000 Messaggi: 1624	ho scoperto di aver formattato per niente, dopo aver ripristinato il sistema operativo (windows2000 senza alcun service pack) e installato sygate SENZA ESSERMI MAI CONNESSO ad internet mi è arrivato nuovamente un avviso che il firewall aveva bloccato l'accesso ad un file di sistema...quindi c'è qualche problema di conflitto, avevo già installato qualche settimana prima win2k con sp4 e il sygate non dava questo tipo di problemi... vabbè finchè non metto il sp4 ho messo su outpost firewall ed è tutto ok... __________________ CASE:SilverStone Lascala SST-LC20 Nero - ALI:LC-POWER Metatron ARKANGEL 850W - MOBO:Asus P8Z77V - CPU:Intel I2600K OC @ 4.5GHz 1.320v - DISSI:Noctua NH-C12P + Noctua NF-F12-PWM - RAM:Samsung Greeen DDR3L 1600 OC @2133 1.5v (9-10-10-28) - VGA:Sapphire HD7850 OC @1210/5520 1.178v - HD:SSD Samsung 840 256GB + WD Green 2TBx2 (Stripe) + Samsung EcoGreen F4 2 TB - FAN:Noctua NF-B9x2 + Noctua NF-R8x2

Strumenti
Mostra una versione stampabile Invia questa pagina per email