Help!! sono nei guai ,soket de trois v1

[bpm]

ciao a tutti,
è micidiale!non posso neanche collegarmi perchè appena lo faccio NIS mi segnala raffiche di attacchi mettendomi blocchi predefiniti per 30minuti per IP sempre diversi ,ma invano perchè le raffiche continuano
A parte il fatto che questa cosa mi rallenta incredibilmente , in un paio di secondi ho l'intera pagina coperta dagli avvvisi degli attacchi che arrivano a raffiche

[bpm]

ah ho già fatto girare antivirus e trojan remover aggiornati ma niente.
Fate in fretta!!

[bpm]

perfino alla mattina alle 7 mi bombardano, è diventato impossibile collegarsi ormai. E tutto da domenica,prima poco o niente.
Tutto mi lascia pensare che ho qualcosa nel mio pc ..almeno spero sia cosi

[arlosko]

Non sei l'unico, ieri sera è successo anche a me, e siccome non sono un esperto di editazioni del file di registro, oggi proverò con il tool di rimozione del sasser(potrebbe essere un further),visto che su internet non sono riuscito a trovare ancora nulla x rimuoverlo.
Ho letto solo che è una variante di Blazer 5.
Tu sai come si togliesse Blazer 5?

[prazision]

qualcuno ha trovato la soluzione?

[bpm]

è di conforto sapere che non sono il solo

[bpm]

io per sasser avevo installato la patch delle microsoft ..non credo sia quello..a meno di varianti..

[arlosko]

Ciao,siccome io non sono al mio pc, volete provare se, con programmi come Spybot o ad-aware si riesce a vedere se si becca il file responsabile dei nostri problemi?
Magari è entrato come cookie...

[andy_mouse]

questo articolo spiega tutto , sempre che si tratti di questo socket de trois 1

Il trojan che gira in questi giorni si chiama così:

Troia Sokets de Trois v1

ha orig francesi ed è una variante di Blazer5

sfrutta il fault di RPC di Microsoft e permette la gestione da remoto del pc attrverso
le porte 5000 e 5001 stabilendo connessioni TCP

(io ho impostato il firewall per bloccarle così rilevo i tentativi di accesso che
continuano a venire da diversi pc a rotazione)

una volta che uno se lo becca i sintomi sono:
cpu al 100%
chiusura inaspettata della applicazioni e dell'antivirus,
impossibilità di aprire il registro di config di windows.

Se cercate su internet viene detto di cancellare alcuni processi attivi (blazer.exe, ms..qualcosa)
ma nei pc che sono stati infettati non erano presenti.
Il processo che va tolto è
wmiprvse32.exe

tuttavia non compare nel task manager perchè viene caricato all'avvio insieme a service.exe

Ho scoperto due varianti:
1. all'avvio viene caricato il processo wmiprvse32.exe separatamente da services.exe

in questo caso basta rimuovere la voce relativa nel registro di Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

e impedire l'accesso alle porte 5000 e 5001 per non ribeccarlo.

2. il processo wmiprvse32.exe viene caricato automaticamente ma non compare alcuna voce in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
quindi non so come si possa togliere.

Quello che sono riuscita a fare è:
- avviare col cavo di rete staccato (wmiprvse32.exe viene avviato ma sono presenti solo 2 processi, mentre se la rete è disponibile diventano centinaia fino ad intasare tutto!);
- eseguire active ports (si scarica cercando con google) e vedere il PID del processo;
- killarlo (io ho usato versione del comando kill faidate per windows (scaricabile: http://www.nextl3vel.net/Chris123NT/...rtExplorer.zip
)(messo in WINNT così lo richiamo da linea di comando passando il PID del processo da killare))

[bpm]

grazie ragazzi,
x arlosko già fatto :-(
x andy : stasera proverò ,non so se riuscirò però subito..magari vi farò qualche domandina a lavori i corso

[arlosko]

ma in pratica non riusciamo a togliercelo...riusciamo solo ad evitare che esca fuori, ma il pc è sempre di una lentezza impressionante (il mouse si muove a scatti con 4-5 secondi di fermo),e gli avvisi di blocco del mio firewall (nis 2002) si moltiplicano come i poani ed i pesci in quel del lago di Gerico 2000 anni fa...
secondo voi symantec lo farà un tool x la rimozione ?

[prazision]

per me il problema è diverso.
faccio la scansione e non mi trova nulla.

ho letto i sintomi(di un'eventuale infezione) e non penso di essere infetto.
da quanto ho capito quelli che ti rileva il Norton sono dei portscanning, il problema è che mi hanno rotto.


che mi conviene fare?
sto tranquillo cosi?

[MartiniG.]

Quote:

Originariamente inviato da prazision
per me il problema è diverso.
faccio la scansione e non mi trova nulla.

ho letto i sintomi(di un'eventuale infezione) e non penso di essere infetto.
da quanto ho capito quelli che ti rileva il Norton sono dei portscanning, il problema è che mi hanno rotto.


che mi conviene fare?
sto tranquillo cosi?

Usi un peer to peer? tipo emule? se è così non sono attacchi, ma altri utenti.

[prazision]

si uso emule e soulseek ma quegli avvisi li ho anche quando non sto usando i peertopeer.
ma in ogni caso non sono pericolosi questi altri 'utenti?

[MartiniG.]

Quote:

Originariamente inviato da prazision
si uso emule e soulseek ma quegli avvisi li ho anche quando non sto usando i peertopeer.
ma in ogni caso non sono pericolosi questi altri 'utenti?

Gli avvisi li hai soltanto quando non usi il peer to peer, se hai un router prova a chiudere la porta 4662 TCP e la porta 4672 UDP sono quelle che utilizza emule, soulseek non lo conosco.

Tranquillo, non sono assolutamente pericolosi.

[prazision]

ok grazie, non ho un router(almeno penso ihihhih, dai non celho).

norton internet security continua a segnalarmi:

tentativo di connettersi al comp. locale tramite il cavallo di Troia Sokets de Trois v1. Trojan bloccato...

cmq non saranno pericolosi ma scassano e poi ho come paura che prima o poi non mi dira'+ che lha bloccato e saro' fottu**

[MartiniG.]

Quote:

Originariamente inviato da prazision
ok grazie, non ho un router(almeno penso ihihhih, dai non celho).

norton internet security continua a segnalarmi:

tentativo di connettersi al comp. locale tramite il cavallo di Troia Sokets de Trois v1. Trojan bloccato...

cmq non saranno pericolosi ma scassano e poi ho come paura che prima o poi non mi dira'+ che lha bloccato e saro' fottu**

Dovresti avere l'opzione per nascondere gli avvisi, almeno non ti rompi le balle

[prazision]

ok occhio non vede cuore non duole.
faro' cosi
grazie

[arlosko]

Allora,andiamo con ordine:
Io ho come sistema operativo Win98SE,il mio firewall è NIS 2002 e l'antivirus è il NAV 2002,entrambi aggiornati a domenica 16.05.04 - Domenica sera,quando mi sono connesso ad internet, mi è successo quanto segue:
A) Il Pc è lentissimo,mi sembrava di avere un 386,anche per spostare il mouse dovevo attendere 4-5 secondi
B) Gli avvisi di "Blocco predefinito a sokets de trois"e"Trovato blocco predefinito a sokets de trois" erano 5 al secondo
C) Ogni 5 minuti di navigazione la connessione veniva terminata (io ho Alice ADSL).Dovevo quindi riconnettermi e dopo altri 5 minuti risuccedeva quanto già detto.
D) NAV 2002 non rilevava nulla.
E) Se non mi connetto il pc funziona regolarmente

Potete dirmi se in base a queste caratteristiche io possa dire che sul mio pc ha preso dimora il suddetto sokets de trois v1 so ?!?

[MartiniG.]

Quote:

Originariamente inviato da arlosko
Allora,andiamo con ordine:
Io ho come sistema operativo Win98SE,il mio firewall è NIS 2002 e l'antivirus è il NAV 2002,entrambi aggiornati a domenica 16.05.04 - Domenica sera,quando mi sono connesso ad internet, mi è successo quanto segue:
A) Il Pc è lentissimo,mi sembrava di avere un 386,anche per spostare il mouse dovevo attendere 4-5 secondi
B) Gli avvisi di "Blocco predefinito a sokets de trois"e"Trovato blocco predefinito a sokets de trois" erano 5 al secondo
C) Ogni 5 minuti di navigazione la connessione veniva terminata (io ho Alice ADSL).Dovevo quindi riconnettermi e dopo altri 5 minuti risuccedeva quanto già detto.
D) NAV 2002 non rilevava nulla.
E) Se non mi connetto il pc funziona regolarmente

Potete dirmi se in base a queste caratteristiche io possa dire che sul mio pc ha preso dimora il suddetto sokets de trois v1 so ?!?

allora, fai come questo:
http://forum.materiel.be/materielbe/...sujet-4644.htm

e dai una occhio a tutti i troian qui:
http://www.tuttoirc.it/listaditrojan.php