outpost e win si scornano

[max84]

allora..


dopo aver scaricato outpost free ho disabilitato il firewall di windows e ho installato outpost.
connetto ad internet e outpost dice che svchost.exe vuole connettersi:
remote service UDP:1900
remote address 239.255.255.250
nego perchè non so nemmeno che è 'sto file, ma dopo provo a connettere outlook e IE ma non funziano.. allora capisco che è necessario abilitare l'applicazione () e la riabilito. (mi dite cos'è?) provo e outlook va, IE pure.
utilizzo anche c6 e tutto sembra ok.

spengo e dopo un pò torno.

dopo aver connesso internet, connetto anche c6, outlook, ecc.. dopo circa 1 minuto mi compare un messaggio di errore stranissimo, il quale dice che il pc si riavvierà in automatico fra 1 minuto perchè c'è stato un errore nella cartella NT AUTHORITY/SYSTEM. sotto al conto alla rovescia c'è anche scritto che "il servizio RPC (remote procedure call) è terminato in modo imprevisto"

alla fine il pc si riavvia.

non capisco perchè faccia così.. ora che ci penso, circa 1 mese fa mi era capitata una cosa simile, e cioè avevo il firewall di windows abilitato ma outpost non era installato. in c6 non mi arrivavano mai i file da altri utenti (il "contatore" non partiva nemmeno), e così decisi di deselezionare il firewall di win. appena una persona provò a mandami un file, comparve il messaggio sopra citato, e cioè che c'era stato un errore ecc ecc..

ora invece ho riavviato il pc, disabilitato outpost e riabilitato il firewall di windows.. e tutto è ok da 15 minuti.

non capisco che problema ci sia perchè win xp è installato da due giorni con pochi programmi, ad-aware ha appena fatto la scansione senza alcun problema, di casini vari non dovrebbero essercene..

[MrOZ]

Fai 1 controllo con 1 AV aggiornato.

Quando, dopo ke ti 6 connesso ad internet senza firewall o con esso malconfigurato, ti compare il messaggio di errore RPC è nella maggior parte dei casi il worm blaster

Guarda qui http://forum.hwupgrade.it/showthread...hreadid=526212

[max84]

Quote:

Originariamente inviato da MrOZ
Fai 1 controllo con 1 AV aggiornato.

Quando, dopo ke ti 6 connesso ad internet senza firewall o con esso malconfigurato, ti compare il messaggio di errore RPC è nella maggior parte dei casi il worm blaster

Guarda qui http://forum.hwupgrade.it/showthread...hreadid=526212

ok, ma mi chiedo.. come avrò fatto a prendere il worm che ho installato windows da pochissimo? come dopo guardo.

però non capisco: ora che mi sono connesso, ho acceso win, lasciato il firewall di win attivo, lasciato outpost attivo, e da 20 minuti non ho problemi..

allora mi chiedo:
1) il firewall di win lo devo lasciare attivo anche quando attivo outpost?
2) come faccio a ricevere file da c6 se lascio attivo il firewall di windows?
3) che cos'è il file svchost.exe? è di windows e lo devo lasciare connettersi, giusto?
4) in outpost vado in options=>plug-ins setup poi vado in impostazioni del plug-in chiamato "attack detection" e sotto leggo che c'è una spunta che dice "block all traffic for xxx minutes"
ecco la domanda: la spunta di default non c'è. devo abilitare la funzione per evitare che qualcuno entri nel pc? e la voce "block intruder's ip for xxx minutes" la devo abilitare? anche questa è disabilitata di default. leggendo la guida credo che se non vengissero selezionate, il programma non bloccherebbe niente ma riporterebbe solo il pericolo di attacco.. giusto?

[max84]

forse ho capito.. guardando il link postato e guardando il link postato all'interno del link che hai postato () mi sembra di aver capito che se mi connetto ad internet senza un buon firewall, allora il programma SVCHOST.EXE apre la porta 135 la quale farà entrare il worm. se mi trovo in questa situazione dovrò scaricare il programmino per rimuovere il worm. devo anche scaricare la patch che serve a risolvere il problema di vulnerabilità.

se invece mi connetto ad internet e alla prima connessione dico al firewall di bloccare il svchost.exe, allora la 135 non si apre e non arriverà il worm. ma in questo caso devo installare comunque la patch x la vulnerabilità?


è tutto giusto? se c'è qualcosa di sbagliato mi correggi? a breve dovrò formattare e reinstallare windows e non so se ho capito bene o meno..


e comunque: la prossima volta che eseguirò internet dovrò bloccare oppure no sto SVCHOST?

[MrOZ]

E' sempre meglio utilizzare 1 solo firewall (così come 1 solo AV in real-time), x' potrebbero sorgere conflitti tra i 2 prog ke svolgono la stessa funzione. Se usi outpost il firewall di win nn ti serve, disabilitalo.

La prima regola x avere 1 pc sicuro è aggiornare i programmi affinchè nn presentino delle vulnerabilità, il sistema operativo in primis. Altrimenti AV e firewall servono a poco. Quindi è bene installare tutte le patch microsoft relative alla sicurezza, o almeno quelle critiche.

Per nn prendere il worm blaster devi settare il firewall in modo da bloccare il traffico attraverso il netbios, usando delle opzioni di default ke alcuni firewall hanno già preimpostate o agendo manualmente e bloccando le porte dalla 135 alla 139 e la 445.

SVCHOST.EXE è 1 file di windows ke presiede a vari processi ed ai servizi integrati in winXP. Con sygate puoi bloccare questo file e navigare tranquillamente, con altri firewall no e devi consentirgli l'accesso a internet x' è 1 file di sistema ke controlla certi moduli ke servono durante la navigazione.
Di solito x settare 1 firewall si inizia negando l'accesso a tutto e poi pian piano consentendo l'accesso ad internet solo a quei componenti ke sono strettamente necessari alla navigazione.

[max84]

Quote:

Originariamente inviato da MrOZ
E' sempre meglio utilizzare 1 solo firewall (così come 1 solo AV in real-time), x' potrebbero sorgere conflitti tra i 2 prog ke svolgono la stessa funzione. Se usi outpost il firewall di win nn ti serve, disabilitalo.

La prima regola x avere 1 pc sicuro è aggiornare i programmi affinchè nn presentino delle vulnerabilità, il sistema operativo in primis. Altrimenti AV e firewall servono a poco. Quindi è bene installare tutte le patch microsoft relative alla sicurezza, o almeno quelle critiche.

Per nn prendere il worm blaster devi settare il firewall in modo da bloccare il traffico attraverso il netbios, usando delle opzioni di default ke alcuni firewall hanno già preimpostate o agendo manualmente e bloccando le porte dalla 135 alla 139 e la 445.

SVCHOST.EXE è 1 file di windows ke presiede a vari processi ed ai servizi integrati in winXP. Con sygate puoi bloccare questo file e navigare tranquillamente, con altri firewall no e devi consentirgli l'accesso a internet x' è 1 file di sistema ke controlla certi moduli ke servono durante la navigazione.
Di solito x settare 1 firewall si inizia negando l'accesso a tutto e poi pian piano consentendo l'accesso ad internet solo a quei componenti ke sono strettamente necessari alla navigazione.

si, hai ragione sul fatto che dovrei aggiornare, ma con un 56k è difficile fare tutto..
in outpost, se nego l'accesso a svchost, non parte niente.
ieri ho scaricato la patch per cercare il worm e ho scaricato la patch di windows. come mai non ha trovato il worm? non era lui a farmi comparire il messaggio di errore? poi ho installato la patch per la sicurezza.
ora come sono messo? svchost può accedere ad internet, giusto? e le porte dalla 135 alla 139 e 445, con la patch, sono sicure o vanno comunque bloccate?

[max84]

up..


alla fine non ho capito perchè la patch della symantech non abbia trovato in worm nonostante il pc si riavviasse comunque


come faccio in outpost free a bloccare le porte indicate? non è possibile? non ho trovato da nessuna parte opzioni simili.

[MrOZ]

Quote:

Originariamente inviato da max84
up..

come faccio in outpost free a bloccare le porte indicate? non è possibile? non ho trovato da nessuna parte opzioni simili.

Se nn ricordo male in outpost free nn c'è la possibilità di creare manualmente regole ad hoc, x' il prog dispone già di regole preconfigurate nel suo DB ke riconoscono automaticamente molti prog.
Ci dovrebbe essere l'opzione x disabilitare il netbios o 1 simile funzione di protezione.

[max84]

Quote:

Originariamente inviato da MrOZ
Se nn ricordo male in outpost free nn c'è la possibilità di creare manualmente regole ad hoc, x' il prog dispone già di regole preconfigurate nel suo DB ke riconoscono automaticamente molti prog.
Ci dovrebbe essere l'opzione x disabilitare il netbios o 1 simile funzione di protezione.

aspetta.. c'è un'opzione che si chiama "allow netbios comunication", però è disabilitata di deafult e non l'ho mai abilitata..


allora, ricapitoliamo:
1) mi connetto ad internet per la prima volta ma non ho outpost bensì solo il firewall di win attivo xchè devo scaricare outpost free
2) scarico outpost e lo faccio funzionare. all'inizio senza problemi ma dopo alcune esecuzioni compare messaggio di errore dicendo che il pc si dovrà riavviare entro 1 minuto. questo accade dopo alcuni secondi di connessione avvenuta ad internet
3) scarico il tool della symantech (o come si scrive) per il riconoscimento del worm.. ma il worm non c'è!
4) il netbios è disabilitato
5) se non faccio partire svchost.exe (o come si chiama) non parte internet


insomma, alla fine, chi è che mi ha fatto comparire il messaggio di errore!? se avessi avuto il worm, ok, ma non ce l'ho..
quando reinstallerò windows xp, posso bloccare da subito svchost alla prima connessione internet, oppure non è proprio possibile!?

non ci sto capendo NIENTE

[MrOZ]

Anch'io nn ci sto capendo + niente x' ci stai bombardando di domande .

Cmq ti scarichi la patch cumulativa microsoft di questo mese ed il firewall ke vuoi (ad es outpost free se ti piace quello).
Quando formatterai, prima di connetterti ad internet installerai la patch ed il firewall (disattivando quello di xp ed assicurandoti di avere l'opzione netbios disabilitata).

x svchost, dipende se il firewall ti permette di negargli l'accesso e di navigare al contempo senza problemi; ad es. con sygate puoi farlo con altri FW no.

Io, ad es, nn ho mai negato l'accesso a svchost (x' nn potrei) e nn ho neanke mai preso il blaster.
Settando il firewall ti conviene andare x gradi,negando tutto il resto e permettere solo ciò ke è strettamente necessario alla navigazione ed alle applicazioni ke usi durante la navigazione.

[max84]

Quote:

Anch'io nn ci sto capendo + niente x' ci stai bombardando di domande

Quote:

Cmq ti scarichi la patch cumulativa microsoft di questo mese

ma.. come faccio a trovare la patch cumulativa? da dove?



ah, una domanda: che programma è il tftp.exe? all'inizio quando è saltata fuori la richiesta di connessione l'ho negata, ma non so che sia..

[MrOZ]

Scusa ...nn volevo essere offensivo, era solo 1 battuta di spirito


Qui trovi la patch cumulativa di Nov http://www.microsoft.com/technet/tre...n/MS03-048.asp



tftp.exe dovrebbe essere 1 parte del client ftp di windows che serve (anke o solo) x aggiornare il firmware di 1 prodotto; alcune ditte lo integrano nel prog di agg del firmware dei loro prodotti.
Hai ad es periferiche della Umax o Linksys???

Ho anke letto xò ke tramite 1 exploit si può creare 1 buffer overflow ke può costringere la macchina a scaricare 1 trojan da 1 determinato sito.

[max84]

Quote:

Originariamente inviato da MrOZ
Scusa ...nn volevo essere offensivo, era solo 1 battuta di spirito


Qui trovi la patch cumulativa di Nov http://www.microsoft.com/technet/tre...n/MS03-048.asp



tftp.exe dovrebbe essere 1 parte del client ftp di windows che serve (anke o solo) x aggiornare il firmware di 1 prodotto; alcune ditte lo integrano nel prog di agg del firmware dei loro prodotti.
Hai ad es periferiche della Umax o Linksys???

Ho anke letto xò ke tramite 1 exploit si può creare 1 buffer overflow ke può costringere la macchina a scaricare 1 trojan da 1 determinato sito.

scusa per il ritardo nel rispondere ma.. eh problemi..

comunque x la patch cumulativa ti ringrazio, dopo darò un'occhiata e spero di non morire di vecchiaia per scaricare un paio di mega..

quindi il consiglio qual è, devo abilitare tftp o meno? per risponderti, no non ho periferiche dei produttori da te citati.


ti ringrazio per i consigli.
..la confusione regna sovrana..

[MrOZ]

Quote:

Originariamente inviato da max84
scusa per il ritardo nel rispondere ma.. eh problemi..

comunque x la patch cumulativa ti ringrazio, dopo darò un'occhiata e spero di non morire di vecchiaia per scaricare un paio di mega..

quindi il consiglio qual è, devo abilitare tftp o meno? per risponderti, no non ho periferiche dei produttori da te citati.


ti ringrazio per i consigli.
..la confusione regna sovrana..

No, finchè nn nn ti servirà (se mai ti servirà), negagli l'accesso e controlla se ti chiede ancora di poter accedere alla rete.

Ai processi ke nn conosci, ke nn ti servono o x navigare o x fare altro su internet o x agg prog, nega sempre l'accesso. Riabilitali solo se dovessi riscontrare prob.

[max84]

Quote:

Originariamente inviato da MrOZ
No, finchè nn nn ti servirà (se mai ti servirà), negagli l'accesso e controlla se ti chiede ancora di poter accedere alla rete.

Ai processi ke nn conosci, ke nn ti servono o x navigare o x fare altro su internet o x agg prog, nega sempre l'accesso. Riabilitali solo se dovessi riscontrare prob.

ho capito..
ti ringrazio.