RPC...tornato ?

[qbert]

La prima apparizione risale alla settimana scorsa. La classica finestra di pop-up che avvisa dell'arresto improvviso di qualche file (nn ricodo ora) e quindi del riavvio del PC entro 30 sec. mi pare.
Ok. Ho beccato il SASSER o similare.
La cosa mi pare molto strana in quanto l'antivirus è attivo e aggiornato (avast).
Il firewall è attivo (outpost agnitum).
Il sistema è provvisto di sp2 (WinXP).

Non capisco insomma come possa essere successo...ma di primo impatto non saprei cercare altre spiegazioni.
Dopo una rapida ricerca su questa sezione, vedo un pochino i consigli e come fare...
Inannzitutto disattivo la connessione ed effettuo una scansione con l'antivirus...inutile dire che non viene rilevato niente di anormale.
Allora dai serizi di windows setto la RPC(remote procedure control) sulla tab "ripristino" metto su riavvia il servizio.
Lascio le cose come stanno...e riattivo la scheda di rete.
Il tutto procede senza problemi...fino ad oggi.
Nuovamente la finestrella della RPC che questa volta fa riferiemento al file "lsass.exe" e solito countdown.
Allora rientro nei servizi e questa volta sulla tab ripristino seleziono "nessuna azione" in tutte e tre le possibilità.
Riavvio ed ora "sembra" tornato alla normalità.

La mia domanda ora è se l'RPC oltre ad essere "stato" una porta per portare problemi, ci segnala che effettivamente qualcosa sul nostro sistema no va e nel caso cosa potrebbe essere o come posso interpretarlo ??

Cia e grazie

[juninho85]

secondo me quel file non e Isass(n.b.:i maiuscola) ma lsass(L minuscola)

[qbert]

infatti è una l (elle minuscola) e non una I (maiuscola)
Vedi le differenze

Cia

[bluepix]

Due cose da fare(se no lo hai già fatto):
applicare la patch:
http://www.microsoft.com/technet/sec.../MS04-011.mspx
e
lanciare, in modalità provisoria Stinger.exe

http://vil.nai.com/vil/stinger/

ciao

[qbert]

Stinger già lanciato, non ha trovato niente.
La patch non dovrebbe essere già compresa nel SP2 di WinXP ?

Grazie cia

[bluepix]

Hai ragione. La patch è già compresa nel SP2.

[qbert]

Suggerimenti...consigli...nada nada ??

[bluepix]

Qualche informazione in più l'ho trovata qui..se può servire..

http://us.mcafee.com/virusInfo/defau...virus_k=125007

[qbert]

Interessante..dalla descrizione sembrerebbe il mio caso...appena sono a casa controllo, poi ti faccio sapere.
Grazie per la collaborazione

[bluepix]

Ti segnalo un'altra pagina molto più tecnica.. fuori dalla mia portata

http://securityresponse.symantec.com...ass.worms.html

e se vuoi sapere proprio tutto di tutto su sasser ecco il dovumento che fa per te:

http://www.trendmicro.com/NR/rdonlyr...nt040812US.pdf

[juninho85]

facci sapere

[3dsst]

lo ha preso un mio amico quel virus adesso nn ricordo bene il nome lui aveva antivir se non sbaglio lo a levato scaricando il bitdefender free che è solo uno scanner prova anche tu non costa niente e poi puo rimanere li tranquillo senza andare in conflitto con il tuo antivirus
ma mi raccomando disattiva il sistema di ripristino perche ne crea una copia anche li dentro e indi appena riavvii te lo ribecchi
facci sapere poi che hai fatto e se hai risolto